Připojení serverů s podporou Azure ARC k Azure SentinelConnect Azure Arc enabled servers to Azure Sentinel

Tento článek poskytuje pokyny k tomu, jak připojit servery s podporou Azure ARC do Azure Sentinel.This article provides guidance on how to onboard Azure Arc enabled servers to Azure Sentinel. To vám umožní začít shromažďovat události týkající se zabezpečení a začít je vzájemně korelovat s ostatními zdroji dat.This enables you to start collecting security-related events and start correlating them with other data sources.

Následující postupy povolí a nakonfigurují Azure Sentinel v předplatném Azure.The following procedures will enable and configure Azure Sentinel on your Azure subscription. Tento proces zahrnuje:This process includes:

  • Nastavení Log Analytics pracovního prostoru, kde jsou protokoly a události agregované pro účely analýzy a korelace.Setting up a Log Analytics workspace where logs and events are aggregated for analysis and correlation.
  • Povolení služby Azure Sentinel v pracovním prostoru.Enabling Azure Sentinel on the workspace.
  • Připojení serverů s povoleným ARC Azure do Azure Sentinel pomocí funkce správy rozšíření a Azure Policy.Onboarding Azure Arc enabled servers on Azure Sentinel using the extension management feature and Azure Policy.

Důležité

Postupy v tomto článku předpokládají, že už máte nasazené virtuální počítače nebo servery, které jsou spuštěné místně nebo v jiných cloudech, a Vy jste je připojili ke službě Azure ARC. Pokud jste to neudělali, můžou vám tyto informace automatizovat.The procedures in this article assumes you've already deployed VMs, or servers that are running on-premises or on other clouds, and you have connected them to Azure Arc. If you haven't, the following information can help you automate this.

PožadavkyPrerequisites

  1. Naklonujte úložiště rychlé zprovoznění pro Azure ARC.Clone the Azure Arc Jumpstart repository.

    git clone https://github.com/microsoft/azure_arc
    
  2. Jak už bylo uvedeno, tato příručka začíná v bodě, kde jste již nasadili a připojili virtuální počítače nebo holé servery do Arc Azure. V tomto scénáři používáme instanci Google Cloud Platform (GCP), která už je připojená ke službě Azure ARC a je viditelná jako prostředek v Azure.As mentioned, this guide starts at the point where you already deployed and connected VMs or bare-metal servers to Azure Arc. For this scenario, we use a Google Cloud Platform (GCP) instance that has been already connected to Azure Arc and is visible as a resource in Azure. Jak je znázorněno na následujících snímcích obrazovky:As shown in the following screenshots:

    Snímek obrazovky s přehledem serveru s podporou ARC Azure v Azure Portal.

    Snímek obrazovky zobrazující podrobnosti o serveru ARC Azure v Azure Portal.

  3. Nainstalovat nebo aktualizovat rozhraní příkazového řádku Azure CLI.Install or update Azure CLI. V Azure CLI by měla běžet verze 2,7 nebo novější.Azure CLI should be running version 2.7 or later. Použijte az --version ke kontrole aktuálně nainstalované verze.Use az --version to check your current installed version.

  4. Vytvoření instančního objektu AzureCreate an Azure service principal.

    Aby bylo možné připojit virtuální počítač nebo holý Server k Azure ARC, je nutné použít instanční objekt Azure přiřazený k roli přispěvatele.To connect a VM or bare-metal server to Azure Arc, Azure service principal assigned with the Contributor role is required. Pokud ho chcete vytvořit, přihlaste se ke svému účtu Azure a spusťte následující příkaz.To create it, sign in to your Azure account and run the following command. Případně to můžete udělat také v Azure Cloud Shell.Alternatively, this can also be done in Azure Cloud Shell.

    az login
    az ad sp create-for-rbac -n "<Unique SP Name>" --role contributor
    

    Například:For example:

    az ad sp create-for-rbac -n "http://AzureArcServers" --role contributor
    

    Výstup by měl vypadat takto:Output should look like this:

    {
      "appId": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
      "displayName": "AzureArcServers",
      "name": "http://AzureArcServers",
      "password": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
      "tenant": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX"
    }
    

Poznámka

Důrazně doporučujeme nastavit obor instančního objektu na konkrétní předplatné Azure a skupinu prostředků.We highly recommend that you scope the service principal to a specific Azure subscription and resource group.

Onboarding Azure SentineluOnboard Azure Sentinel

Brána Azure Sentinel používá agenta Log Analytics ke shromáždění souborů protokolu pro servery se systémem Windows a Linux a předávají je do Azure Sentinel.Azure Sentinel uses the Log Analytics agent to collect log files for Windows and Linux servers and forwards them to Azure Sentinel. Shromážděná data se ukládají do Log Analytics pracovního prostoru.The data collected is stored in a Log Analytics workspace. Vzhledem k tomu, že nemůžete použít výchozí pracovní prostor vytvořený Azure Security Center vlastní, je vyžadován.Since you can't use the default workspace created by Azure Security Center a custom one is required. Můžete mít nezpracované události a výstrahy pro Azure Security Center v rámci stejného vlastního pracovního prostoru jako Sentinel Azure.You could have raw events and alerts for Azure Security Center within the same custom workspace as Azure Sentinel.

  1. Vytvořte vyhrazený pracovní prostor Log Analytics a v horní části povolte řešení Sentinel Azure.Create a dedicated Log Analytics workspace and enable the Azure Sentinel solution on the top of it. Pomocí této šablony Azure Resource Manager (šablona ARM) můžete vytvořit nový pracovní prostor Log Analytics, definovat řešení Sentinel Azure a povolit ho pro tento pracovní prostor.Use this Azure Resource Manager template (ARM template) to create a new Log Analytics workspace, define the Azure Sentinel solution, and enable it for the workspace. K automatizaci nasazení můžete upravit soubor parametrůšablony ARM a zadat jeho název a umístění pro váš pracovní prostor.To automate the deployment you can edit the ARM template parameters file, provide a name and location for your workspace.

    Snímek obrazovky s šablonou ARM

  2. Nasazení šablony ARMDeploy the ARM template. Přejděte do složky pro nasazení a spusťte následující příkaz.Navigate to the deployment folder and run the following command.

az deployment group create --resource-group <Name of the Azure resource group> \
--template-file <The `sentinel-template.json` template file location> \
--parameters <The `sentinel-template.parameters.json` template file location>

Například:For example:

Snímek obrazovky příkazu AZ Deployment Group Create

Zprovoznění virtuálních počítačů s povoleným obloukem Azure v Azure SentinelOnboard Azure Arc enabled VMs on Azure Sentinel

Po nasazení funkce Azure Sentinel do svého pracovního prostoru Log Analytics musíte k ní připojit zdroje dat.After you've deployed Azure Sentinel to your Log Analytics workspace, you need to connect data sources to it.

Existují konektory pro služby společnosti Microsoft a řešení jiných výrobců z ekosystému zabezpečovacích produktů.There are connectors for Microsoft services, and third-party solutions from the security products ecosystem. K připojení zdrojů dat pomocí Azure Sentinel můžete použít také CEF (Common Event Format), syslog nebo REST API.You can also use Common Event Format (CEF), syslog, or REST API to connect your data sources with Azure Sentinel.

U serverů a virtuálních počítačů můžete nainstalovat agenta Microsoft Monitoring Agent (MMA) nebo agenta Azure Sentinel, který shromáždí protokoly a předává je do Azure Sentinel.For servers and VMs, you can install the Microsoft Monitoring Agent (MMA) agent or the Azure Sentinel agent that collects the logs and forwards them to Azure Sentinel. Agenta Azure ARC můžete nasadit několika způsoby:You can deploy the agent in multiple ways with Azure Arc:

  • Správa rozšíření: Tato funkce na serverech s podporou ARC Azure umožňuje nasazení rozšíření virtuálních počítačů agenta MMA do virtuálních počítačů s jiným systémem než Azure nebo Linux.Extension management: This feature in Azure Arc enabled servers allows you to deploy the MMA agent VM extensions to a non-Azure Windows or Linux VMs. K řízení nasazení rozšíření na servery s podporou ARC Azure můžete použít Azure Portal, Azure CLI, šablonu ARM a skript prostředí PowerShell.You can use the Azure portal, Azure CLI, an ARM template, and PowerShell script to manage extension deployment to Azure Arc enabled servers.

  • Azure Policy: můžete přiřadit zásadu pro audit, pokud je na serveru s podporou ARC Azure nainstalovaný agent MMA.Azure Policy: You can assign a policy to audit if the Azure Arc enabled server has the MMA agent installed. Pokud agent není nainstalovaný, můžete k jeho automatickému nasazení na virtuální počítač použít funkci rozšíření pomocí úlohy nápravy, a to s možností registrace, která porovnává s virtuálními počítači Azure.If the agent isn't installed, you can use the extensions feature to automatically deploy it to the VM using a remediation task, an enrollment experience that compares to Azure VMs.

Vyčištění prostředíClean up your environment

K vyčištění prostředí proveďte následující kroky.Complete the following steps to clean up your environment.

  1. Odeberte virtuální počítače z každého prostředí pomocí instrukcí rozboru ze všech následujících průvodců.Remove the virtual machines from each environment using the teardown instructions from each of the following guides.

  2. Odstraňte pracovní prostor Log Analytics spuštěním následujícího skriptu v Azure CLI.Remove the Log Analytics workspace by running the following script in Azure CLI. Zadejte název pracovního prostoru, který jste použili při vytváření Log Analytics pracovního prostoru.Provide the workspace name you used when creating the Log Analytics workspace.

az monitor log-analytics workspace delete --resource-group <Name of the Azure resource group> --workspace-name <Log Analytics Workspace Name> --yes