Поделиться через

Руководство по Использование Центра безопасности Azure для мониторинга виртуальных машин

  • Статья

Центр безопасности Azure поможет получить рекомендации по безопасности ресурсов Azure. Центр безопасности предлагает встроенный мониторинг безопасности. Это позволяет распознавать угрозы, которые в противном случае могли быть не замечены. В этом руководстве вы узнаете о центре безопасности Azure и научитесь:

  • Настройка сбора данных
  • Устанавливать политики безопасности.
  • Просматривать и устранять неполадки конфигурации.
  • Просматривать обнаруженные угрозы.

Обзор центра безопасности

Центр безопасности выявляет потенциальные проблемы в конфигурации виртуальных машины и целевые угрозы безопасности. Это могут быть виртуальные машины, которые отсутствуют в группах безопасности сети, незашифрованные диски и атаки методом подбора по протоколу удаленного рабочего стола (RDP). Эти сведения отображаются на панели мониторинга центра безопасности в виде удобных диаграмм.

Чтобы открыть панель мониторинга Центра безопасности, в портал Azure в меню выберите центр безопасности. На панели мониторинга можно просмотреть работоспособность системы безопасности среды Azure, узнать количество текущих рекомендаций и изучить текущее состояние оповещений об угрозах. Вы можете развернуть каждую детальную диаграмму, чтобы просмотреть подробные сведения.

Панель мониторинга центра безопасности

Возможности центра безопасности Azure выходят за пределы обнаружения данных, так как он предоставляет рекомендации для выявленных проблем. Например, если виртуальная машина была развернута без группы безопасности сети, будет создана рекомендация, содержащая необходимые действия по исправлению. Эти рекомендации также дают возможность автоматизировать исправления, не покидая контекст центра безопасности Azure.

Снимок экрана: страница

Настройка сбора данных

Прежде чем вы сможете просмотреть конфигурации безопасности виртуальных машин, в центре безопасности нужно настроить сбор данных. Это подразумевает включение сбора данных, при котором на все виртуальные машины в вашей подписке автоматически устанавливается Microsoft Monitoring Agent.

  1. На панели мониторинга центра безопасности щелкните Политика безопасности и выберите свою подписку.
  2. Для параметра Сбор данных в разделе Автоматическая подготовка выберите Вкл.
  3. В разделе Конфигурация рабочей области по умолчанию выберите Использовать рабочие области, созданные центром безопасности (по умолчанию) .
  4. В разделе События безопасности оставьте выбранным параметр по умолчанию Общий.
  5. Щелкните Сохранить в верхней части страницы.

После этого на всех виртуальных машинах будет установлен агент сбора данных центра безопасности Azure, который начнет сбор данных.

Настройка политики безопасности

Политика безопасности определяет элементы центра безопасности, для которых собираются данные и предоставляются рекомендации. Вы можете применять различные политики безопасности к разным наборам ресурсов Azure. Несмотря на то, что по умолчанию ресурсы Azure вычисляются для всех элементов политики, отдельные элементы политики можно отключать для всех ресурсов Azure или для группы ресурсов. Подробные сведения о настройке политик безопасности в центре безопасности Azure см. в этой статье.

Чтобы настроить политику безопасности для всей подписки, выполните следующие шаги:

  1. На панели мониторинга центра безопасности щелкните Политика безопасности и выберите свою подписку.
  2. В колонке Политика безопасности выберите Политика безопасности.
  3. В разделе политики безопасности колонки Политика безопасности включите или отключите элементы политики, применяемые к подписке.
  4. После завершения выбора параметров нажмите Сохранить вверху колонки.

Уникальная политика

Просмотр состояния работоспособности конфигурации виртуальной машины

После включения сбора данных и настройки политики безопасности центр безопасности начинает отображать оповещения и рекомендации. На развертываемые виртуальные машины устанавливается агент сбора данных. Центр безопасности Azure заполняется данными для этих новых виртуальных машин. Подробные сведения о работоспособности конфигурации виртуальных машин см. в статье Защита виртуальных машин в центре безопасности Azure.

По мере сбора данных сведения о работоспособности ресурсов для каждой виртуальной машины и связанного ресурса Azure объединяются. Сведения отображаются на удобной для чтения диаграмме.

Чтобы просмотреть состояние работоспособности ресурса:

  1. На панели мониторинга центра безопасности в разделе Предотвращение выберите Вычисления.
  2. В колонке Вычисления выберите Виртуальные машины и компьютеры. Это представление содержит сводку состояния конфигурации для всех виртуальных машин.

Вычисление работоспособности

Выберите определенную виртуальную машину, чтобы увидеть все рекомендации для нее.

Исправление проблем конфигурации

После того, как центр безопасности Azure начинает получать данные конфигурации, на основе настроенной политики безопасности создаются рекомендации. Например, если для виртуальной машины не была настроена связанная группа безопасности сети, создается рекомендация для ее создания.

Вот как можно просмотреть список всех рекомендаций.

  1. Щелкните элемент Рекомендации на панели мониторинга центра безопасности.
  2. Выберите конкретную рекомендацию. Откроется колонка со списком всех ресурсов, к которым относится эта рекомендация.
  3. Чтобы применить рекомендацию, выберите ресурс.
  4. Следуйте инструкциям по исправлению.

Во многих случаях центр безопасности предоставляет практические инструкции, позволяющие выполнить рекомендацию, не покидая центр безопасности. В следующем примере центр безопасности обнаруживает группу безопасности сети с правилом входящего трафика без ограничений. В этой рекомендации можно нажать кнопку Изменить правила для входящего трафика. Отобразится пользовательский интерфейс, необходимый для изменения правила.

Рекомендации

После исправления проблем относящиеся к ним рекомендации помечаются как выполненные.

Просмотр обнаруженных угроз

Помимо рекомендаций по настройке ресурсов центр безопасности также отображает оповещения об обнаружении угроз. Функция оповещения системы безопасности объединяет данные, полученные с каждой виртуальной машины, из сетевых журналов Azure и подключенных партнерских решений, для обнаружения угроз безопасности ресурсов Azure. Подробные сведения о возможностях обнаружения угроз Центра безопасности см. в этой статье.

Для использования функции оповещения системы безопасности требуется повысить ценовую категорию центра безопасности с Бесплатный до Стандартный. При переходе на более высокую ценовую категорию предоставляется бесплатная пробная версия.

Вот как можно изменить ценовую категорию.

  1. На панели мониторинга центра безопасности щелкните Политика безопасности и выберите свою подписку.
  2. Выберите ценовую категорию.
  3. Выберите Стандартный и нажмите кнопку Сохранить в верхней части колонки.

После изменения ценовой категории диаграмма оповещений системы безопасности начнет заполняться выявленными угрозами безопасности.

Оповещения безопасности

Щелкните оповещение, чтобы увидеть дополнительные сведения. Например, можно просмотреть такие сведения об угрозе, как ее описание, время обнаружения, число попыток и рекомендуемые действия по исправлению. В следующем примере была обнаружена атака методом подбора по протоколу RDP, которая безуспешно предпринималась 294 раза. Рекомендуемое решение также указано.

Атака по протоколу RDP

Дальнейшие действия

В этом руководстве вы настроили центр безопасности Azure, а затем проверили в нем виртуальные машины. Вы ознакомились с выполнением следующих задач:

  • Настройка сбора данных
  • Устанавливать политики безопасности.
  • Просматривать и устранять неполадки конфигурации.
  • Просматривать обнаруженные угрозы.

Перейдите к следующему руководству, чтобы узнать больше о создании конвейера CI/CD с помощью Jenkins, GitHub и Docker.

Создание конвейера для непрерывной интеграции и доставки с использованием Jenkins, GitHub и Docker