Подключение серверов с поддержкой Azure Arc к Microsoft Defender для облака

В этой статье приводятся рекомендации по подключению сервера с поддержкой Azure Arc к Microsoft Defender для облака. Это поможет вам начать сбор связанных с безопасностью конфигураций и журналов событий, чтобы вы могли рекомендовать действия и улучшить общий уровень безопасности в Azure.

В следующих процедурах вы включите и настроите Microsoft Defender для облака ценовой категории "Стандартный" в подписке Azure. Это обеспечивает расширенные возможности для защиты и обнаружения угроз. Процесс состоит из следующих шагов.

• Настройка рабочей области Log Analytics, в которой выполняется статистическое вычисление журналов и событий для анализа.
• Назначьте политики безопасности по умолчанию для Defender для облака.
• Проверьте рекомендации Defender для облака.
• Примените рекомендуемые конфигурации на серверах с поддержкой Azure Arc с помощью рекомендаций по быстрому исправлению.

Важно!

В процедурах в этой статье предполагается, что вы уже развернули виртуальные машины или серверы, работающие локально или в других облаках, и подключили их к Azure Arc. Если вы этого еще не сделали, воспользуйтесь приведенными ниже сведениями для автоматизации данного процесса.

• Экземпляр GCP Ubuntu
• Экземпляр GCP Windows
• Экземпляр AWS Ubuntu EC2
• Экземпляр AWS Ubuntu EC2
• Виртуальная машина VMware vSphere Ubuntu
• Виртуальная машина VMware vSphere Windows Server
• Бокс Vagrant Ubuntu
• Бокс Vagrant Windows

Необходимые компоненты

1. Клонируйте репозиторий Azure Arc Jumpstart.

   git clone https://github.com/microsoft/azure_arc
   

2. Как уже упоминалось, перед началом на Azure Arc должны быть развернуты и подключены виртуальные машины или серверы без операционной системы. В этом сценарии используется экземпляр Google Cloud Platform (GCP), подключенный к службе Azure Arc и отображаемый как ресурс в Azure. Эти действия показаны на приведенных ниже снимках экрана.

   

   

3. Установите или обновите Azure CLI. Azure CLI должен работать под управлением версии 2.7 или более поздней. Для проверки установленной версии используйте команду az --version.

4. Создайте субъект-службу Azure.

   Чтобы подключить виртуальную машину или сервер без операционной системы к Azure Arc, требуется субъект-служба Azure с назначенной ролью участника. Чтобы создать его, войдите в учетную запись Azure и выполните приведенную ниже команду. Эту команду также можно выполнить в Azure Cloud Shell.

   az login
   az account set -s <Your Subscription ID>
   az ad sp create-for-rbac -n "<Unique SP Name>" --role contributor --scopes "/subscriptions/<Your Subscription ID>"
   

   Например:

   az ad sp create-for-rbac -n "http://AzureArcServers" --role contributor --scopes "/subscriptions/00000000-0000-0000-0000-000000000000"
   

   Выходные данные должны выглядеть так:

   {
     "appId": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
     "displayName": "http://AzureArcServers",
     "password": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
     "tenant": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX"
   }
   

Примечание.

Мы настоятельно рекомендуем ограничить субъект-службу определенной подпиской Azure и группой ресурсов.

Подключение Microsoft Defender для облака

1. Данные, собранные в Microsoft Defender для облака, хранятся в рабочих областях Log Analytics. Вы можете использовать предложенную по умолчанию, которую создает Defender для облака, или создать ее самостоятельно. Если вы хотите создать выделенную рабочую область, можно автоматизировать развертывание, изменив файл параметров для шаблона Azure Resource Manager (шаблон ARM) и включив в него имя и расположение рабочей области:

   

2. Чтобы развернуть шаблон ARM, перейдите в папку развертывания и выполните следующую команду:

   az deployment group create --resource-group <Name of the Azure resource group> \
   --template-file <The `log_analytics-template.json` template file location> \
   --parameters <The `log_analytics-template.parameters.json` template file location>
   

3. Если вы планируете использовать определенную пользователем рабочую область, укажите ее в Defender для облака с помощью следующей команды, чтобы он использовал ее вместо варианта по умолчанию:

   az security workspace-setting create --name default \
   --target-workspace '/subscriptions/<Your subscription ID>/resourceGroups/<Name of the Azure resource group>/providers/Microsoft.OperationalInsights/workspaces/<Name of the Log Analytics Workspace>'
   

4. Выберите уровень Microsoft Defender для облака. Уровень "бесплатный" по умолчанию включен для всех подписок Azure, и он обеспечит непрерывную оценку безопасности и конкретные действия по улучшению безопасности. В этом руководство вы примените уровень "Стандартный" для виртуальных машин Azure, чтобы расширить возможности унифицированного управления безопасностью и защиты от угроз в гибридных облачных рабочих нагрузках. Чтобы включить для виртуальных машин Microsoft Defender для облака уровня "Стандартный", выполните следующую команду:

   az security pricing create -n VirtualMachines --tier 'standard'
   

5. Назначьте инициативу политики по умолчанию для Microsoft Defender для облака: Defender для облака предоставляет свои рекомендации по безопасности на основе политик. Существует специальная инициатива, которая группирует политики Defender для облака по идентификатору определения 1f3afdf9-d0c9-4c3d-847f-89da613e70a8. Следующая команда назначит инициативу Defender для облака вашей подписке.

   az policy assignment create --name 'Azure Security Center Default <Your subscription ID>' \
   --scope '/subscriptions/<Your subscription ID>' \
   --policy-set-definition '1f3afdf9-d0c9-4c3d-847f-89da613e70a8'
   

Интеграция Azure Arc и Microsoft Defender для облака

После успешного подключения Microsoft Defender для облака вы получите рекомендации по защите ресурсов, в том числе сервером с поддержкой Azure Arc. Defender для облака периодически анализирует состояние безопасности ресурсов Azure, чтобы выявить потенциальные уязвимости.

В разделе "Вычисления и приложения" в разделе "Виртуальные машины и серверы" Microsoft Defender для облака представлен обзор всех обнаруженных рекомендаций по безопасности для виртуальных машин и компьютеров Azure, включая виртуальные машины Azure, классические виртуальные машины Azure, серверы и компьютеры Azure Arc.

Microsoft Defender для облака рекомендует на серверах с поддержкой Azure Arc устанавливать агент Log Analytics. Каждая рекомендация также включает:

• краткое описание рекомендации;
• ее влияние на оценку безопасности, в нашем случае это состояние Высокий.
• действия по исправлению, которые необходимо выполнить для применения рекомендации;

Для получения конкретных рекомендаций, как на следующем снимке экрана, вы также получите функцию Быстрое исправление, которая позволяет быстро применять рекомендацию по исправлению на нескольких ресурсах.

Следующее Быстрое исправление применяет шаблон ARM для развертывания расширения агента Log Analytics на компьютере с поддержкой Azure Arc.

Вы можете активировать исправление с помощью шаблона ARM на панели мониторинга для защиты рабочей нагрузки, выбрав рабочую область Log Analytics, используемую для Microsoft Defender для облака, а затем выбрав вариант Исправить 1 ресурс.

После применения рекомендации на сервере с поддержкой Azure Arc ресурс будет помечен как работоспособный.

Очистка среды

Чтобы очистить среду, выполните указанные ниже действия.

1. Удалите виртуальные машины из каждой среды, используя инструкции по удалению из каждого руководства.

   • Экземпляр GCP Ubuntu и экземпляр GCP Windows
   • Экземпляр AWS Ubuntu EC2
   • Виртуальная машина VMware vSphere на Ubuntu и Виртуальная машина VMware vSphere на Windows Server.
   • Бокс Vagrant Ubuntu и бокс Vagrant Windows

2. Удалите рабочую область Log Analytics, выполнив следующий скрипт в Azure CLI. Укажите имя рабочей области, которое использовалось при создании рабочей области Log Analytics.

az monitor log-analytics workspace delete --resource-group <Name of the Azure resource group> --workspace-name <Log Analytics Workspace Name> --yes