Hybride Sicherheitsüberwachung mithilfe von Azure Security Center und Azure Sentinel

Log Analytics
Monitor
Security Center
Sentinel
Azure Stack

Diese Referenzarchitektur veranschaulicht, wie Azure Security Center und Azure Sentinel verwendet werden können, um die Sicherheitskonfiguration und die Telemetrie der lokalen Workloads und der Workloads des Azure-Betriebssystems zu überwachen.This reference architecture illustrates how to use Azure Security Center and Azure Sentinel to monitor the security configuration and telemetry of on-premises and Azure operating system workloads. Dies schließt Azure Stack ein.This includes Azure Stack.

Abbildung, die den bereitgestellten Microsoft Monitoring Agent sowohl auf lokalen Systemen als auch auf Azure-basierten virtuellen Computern zeigt, die Daten an Azure Security Center und Azure Sentinel übertragen

Laden Sie eine Visio-Datei dieser Architektur herunter.Download a Visio file of this architecture.

Typische Einsatzmöglichkeiten für diese Architektur sind:Typical uses for this architecture include:

  • Bewährte Methoden für die Integration der lokalen Sicherheits- und Telemetrieüberwachung in Azure-basierten WorkloadsBest practices for integrating on-premises security and telemetry monitoring with Azure-based workloads
  • Integrieren von Azure Security Center in Azure StackHow to integrate Azure Security Center with Azure Stack
  • Integrieren von Azure Security Center in Azure SentinelHow to integrate Azure Security Center with Azure Sentinel

AufbauArchitecture

Die Architektur umfasst die folgenden Komponenten:The architecture consists of the following components:

  • Azure Security Center .Azure Security Center. Dabei handelt es sich um eine erweiterte, einheitliche Plattform für das Sicherheitsmanagement, die Microsoft allen Azure-Abonnenten anbietet.This is an advanced, unified security-management platform that Microsoft offers to all Azure subscribers. Security Center ist als Cloud Security Posture Management (CSPM) und Cloud Workload Protection Platform (CWPP) segmentiert.Security Center is segmented as a cloud security posture management (CSPM) and cloud workload protection platform (CWPP). CWPP wird durch workloadzentrierte Sicherheitsschutzlösungen definiert, die in der Regel auf Agents basieren.CWPP is defined by workload-centric security protection solutions, which are typically agent-based. Azure Security Center bietet Bedrohungsschutz für Azure-Workloads, sowohl lokal als auch in anderen Clouds, einschließlich virtueller Windows- und Linux-Computer (VMs), Container, Datenbanken und Internet der Dinge (IoT).Azure Security Center provides threat protection for Azure workloads, both on-premises and in other clouds, including Windows and Linux virtual machines (VMs), containers, databases, and Internet of Things (IoT). Wenn dieser Dienst aktiviert ist, wird der Log Analytics-Agent automatisch in Azure Virtual Machines bereitgestellt.When activated, the Log Analytics agent deploys automatically into Azure Virtual Machines. Für lokale Windows- und Linux-Server und VMs können Sie den Agent manuell bereitstellen. Verwenden Sie das Bereitstellungstool Ihrer Organisation, z. B. Microsoft Endpoint Protection-Manager oder skriptgesteuerte Bereitstellungsmethoden.For on-premises Windows and Linux servers and VMs, you can manually deploy the agent, use your organization's deployment tool, such as Microsoft Endpoint Protection Manager, or utilize scripted deployment methods. Security Center beginnt damit, den Sicherheitsstatus aller VMs, Netzwerke, Anwendungen und Daten zu bewerten.Security Center begins assessing the security state of all your VMs, networks, applications, and data.
  • Azure Sentinel .Azure Sentinel. Es handelt sich um eine cloudnative SIEM- (Security Information and Event Management) und SOAR-Lösung (Security Orchestration Automated Response), die erweiterte KI- und Sicherheitsanalysen verwendet, um Sie dabei zu unterstützen, Bedrohungen in Ihrem gesamten Unternehmen zu erkennen, zu bekämpfen, zu verhindern und darauf zu reagieren.Is a cloud-native Security Information and Event Management (SIEM) and security orchestration automated response (SOAR) solution that uses advanced AI and security analytics to help you detect, hunt, prevent, and respond to threats across your enterprise.
  • Azure Stack .Azure Stack. Es handelt sich um ein Produktportfolio, das die Dienste und Funktionen von Azure auf die Umgebung Ihrer Wahl ausdehnt, vom Rechenzentrum bis hin zu Edge-Standorten und Außenstellen.Is a portfolio of products that extend Azure services and capabilities to your environment of choice, from the datacenter to edge locations and remote offices. Systeme, die Sie in Azure Stack integrieren, nutzen normalerweise Racks mit vier bis zu sechzehn Servern, die von vertrauenswürdigen Hardwarepartnern zusammengestellt und direkt in Ihr Rechenzentrum geliefert werden.Systems that you integrate with Azure Stack typically utilize racks of four to sixteen servers, built by trusted hardware partners and delivered straight to your datacenter.
  • Azure Monitor.Azure Monitor. Erfasst Telemetriedaten von einer Vielzahl von lokalen und Azure-Quellen.Collects monitoring telemetry from a variety of on-premises and Azure sources. Verwaltungstools, wie die Tools in Azure Security Center und Azure Automation, pushen ebenfalls Protokolldaten in Azure Monitor.Management tools, such as those in Azure Security Center and Azure Automation, also push log data to Azure Monitor.
  • Log Analytics-ArbeitsbereichLog Analytics workspace. Azure Monitor speichert Protokolldaten in einem Log Analytics-Arbeitsbereich, der ein Container ist, der Daten und Konfigurationsinformationen enthält.Azure Monitor stores log data in a Log Analytics workspace, which is a container that includes data and configuration information.
  • Log Analytics-Agent:Log Analytics agent. Der Log Analytics-Agent erfasst Überwachungsdaten vom Gastbetriebssystem und von VM-Workloads in Azure, anderen Cloudanbietern und lokal.The Log Analytics agent collects monitoring data from the guest operating system and VM workloads in Azure, other cloud providers, and on-premises. Der Log Analytics-Agent unterstützt Proxykonfiguration, und in diesem Szenario fungiert in der Regel ein OMS-Gateway (Microsoft Operations Management Suite) als Proxy.The Log Analytics Agent supports Proxy configuration and, typically in this scenario, a Microsoft Operations Management Suite (OMS) Gateway acts as proxy.
  • Lokales Netzwerk.On-premises network. Dies ist die Firewall, die für die Unterstützung von ausgehendem HTTPS-Datenverkehr von definierten Systemen konfiguriert ist.This is the firewall configured to support HTTPS egress from defined systems.
  • Lokale Windows- und Linux-Systeme.On-premises Windows and Linux systems. Systeme, auf denen der Log Analytics-Agent installiert ist.Systems with the Log Analytics Agent installed.
  • Azure Windows- und Linux-VMs.Azure Windows and Linux VMs. Systeme, auf denen der Azure Security Center-Überwachungs-Agent installiert ist.Systems on which the Azure Security Center monitoring agent is installed.

EmpfehlungenRecommendations

Die folgenden Empfehlungen gelten für die meisten Szenarios.The following recommendations apply for most scenarios. Sofern Sie keine besonderen Anforderungen haben, die Vorrang haben, sollten Sie diese Empfehlungen befolgen.Follow these recommendations unless you have a specific requirement that overrides them.

Azure Security Center-UpgradeAzure Security Center upgrade

Diese Referenzarchitektur verwendet Azure Security Center zur Überwachung von lokalen Systemen, Azure-VMs, Azure Monitor-Ressourcen und sogar VMs, die von anderen Cloudanbietern gehostet werden.This reference architecture uses Azure Security Center to monitor on-premises systems, Azure VMs, Azure Monitor resources, and even VMs hosted by other cloud providers. Um diese Funktionalität zu unterstützen, wird der gebührenbasierte Standardtarif von Azure Security Center benötigt.To support that functionality, the standard fee-based tier of Azure Security Center is needed. Es wird empfohlen, die 30-tägige kostenlose Testversion zu verwenden, um Ihre Anforderungen zu überprüfen.We recommend that you use the 30-day free trial to validate your requirements.

Details zu den Azure Security Center-Preisen finden Sie hier.Details about Azure Security Center pricing can be found here.

Angepasster Log Analytics-ArbeitsbereichCustomized Log Analytics Workspace

Azure Sentinel benötigt Zugriff auf einen Log Analytics-Arbeitsbereich.Azure Sentinel needs access to a Log Analytics workspace. In diesem Szenario können Sie den ASC Log Analytics-Standardarbeitsbereich nicht mit Azure Sentinel verwenden.In this scenario, you can’t use the default ASC Log Analytics workspace with Azure Sentinel. Sie müssen einen angepassten Arbeitsbereich erstellen.You’ll need to create a customized workspace. Datenaufbewahrung für einen angepassten Arbeitsbereich basiert auf dem Tarif des Arbeitsbereichs. Preismodelle für Überwachungsprotokolle finden Sie hier.Data retention for a customized workspace is based on the workspace pricing tier, and you can find pricing models for Monitor Logs here.

Hinweis

Azure Sentinel kann für Arbeitsbereiche in einer beliebigen GA-Region (allgemeine Verfügbarkeit) von Log Analytics mit Ausnahme der Regionen „China“ und „Deutschland (Sovereign)“ ausgeführt werden.Azure Sentinel can run on workspaces in any general availability (GA) region of Log Analytics except the China and Germany (Sovereign) regions. Die von Azure Sentinel generierten Daten (z. B. Vorfälle, Lesezeichen und Warnungsregeln, die möglicherweise einige aus diesen Arbeitsbereichen stammende Kundendaten enthalten) werden entweder in „Europa“ (für Arbeitsbereiche in Europa), in „Australien“ (für Arbeitsbereiche in Australien) oder in „USA, Osten“ (für Arbeitsbereiche in allen anderen Regionen) gespeichert.Data that Azure Sentinel generates, such as incidents, bookmarks, and alert rules, which may contain some customer data sourced from these workspaces, is saved either in Europe (for Europe-based workspaces), in Australia (for Australia-based workspaces), or in the East US (for workspaces located in any other region).

Überlegungen zur SkalierbarkeitScalability considerations

Der Log Analytics-Agent für Windows und Linux ist so konzipiert, dass die Leistung von VMs oder physischen Systemen nur ganz minimal beeinträchtigt wird.The Log Analytics Agent for Windows and Linux is designed to have very minimal impact on the performance of VMs or physical systems.

Der Azure Security Center-Betriebsprozess beeinträchtigt nicht die normalen betrieblichen Prozeduren.Azure Security Center operational process won’t interfere with your normal operational procedures. Stattdessen überwacht er Ihre Bereitstellungen passiv und bietet Empfehlungen basierend auf den Sicherheitsrichtlinien, die Sie aktivieren.Instead, it passively monitors your deployments and provides recommendations based on the security policies you enable.

Überlegungen zur VerwaltbarkeitManageability considerations

Azure Security Center-RollenAzure Security Center roles

Security Center bewertet die Konfiguration Ihrer Ressourcen, um Sicherheitsprobleme und Schwachstellen zu identifizieren, und zeigt Informationen im Zusammenhang mit einer Ressource an, wenn Ihnen die Rolle des Besitzers, Mitwirkenden oder Lesers für das Abonnement oder die Ressourcengruppe zugewiesen wurde, zu der eine Ressource gehört.Security Center assesses your resources’ configuration to identify security issues and vulnerabilities, and displays information related to a resource when you are assigned the role of owner, contributor, or reader for the subscription or resource group to which a resource belongs.

Neben diesen Rollen gibt es zwei spezifische Security Center-Rollen:In addition to these roles, there are two specific Security Center roles:

  • Sicherheitsleseberechtigter.Security Reader. Ein Benutzer, der dieser Rolle angehört, verfügt nur über Leserechte für Security Center.A user that belongs to this role has read only rights to Security Center. Der Benutzer kann Empfehlungen, Warnungen, eine Sicherheitsrichtlinie und Sicherheitszustände anzeigen, jedoch keine Änderungen vornehmen.The user can observe recommendations, alerts, a security policy, and security states, but can’t make changes.

  • Sicherheitsadministrator. Ein Benutzer, der dieser Rolle angehört, hat die gleichen Rechte wie der Sicherheitsleseberechtigte und kann darüber hinaus Sicherheitsrichtlinien aktualisieren sowie Warnungen und Empfehlungen verwerfen.Security Admin. A user that belongs to this role has the same rights as the Security Reader, and also can update security policies, and dismiss alerts and recommendations. Normalerweise handelt es sich hierbei um Benutzer, die die Workload verwalten.Typically, these are users that manage the workload.

  • Die beiden Sicherheitsrollen Sicherheitsleseberechtigter und Sicherheitsadministrator besitzen nur in Security Center Zugriff.The security roles, Security Reader and Security Admin, have access only in Security Center. Die Sicherheitsrollen besitzen keinen Zugriff auf andere Dienstbereiche von Azure wie Storage, Web, Mobile oder Internet der Dinge (IoT).The security roles don’t have access to other Azure service areas, such as storage, web, mobile, or IoT.

Azure Sentinel-AbonnementAzure Sentinel subscription

  • Für das Abonnement, in dem sich der Azure Sentinel-Arbeitsbereich befindet, benötigen Sie Berechtigungen für Mitwirkende, um Azure Sentinel zu aktivieren.To enable Azure Sentinel, you need contributor permissions to the subscription in which the Azure Sentinel workspace resides.
  • Für die Ressourcengruppe, zu der der Arbeitsbereich gehört, benötigen Sie Berechtigungen für Mitwirkende oder für Leser, um Azure Sentinel zu verwenden.To use Azure Sentinel, you need contributor or reader permissions on the resource group to which the workspace belongs.
  • Azure Sentinel ist ein kostenpflichtiger Dienst.Azure Sentinel is a paid service. Weitere Informationen finden Sie unter Azure Sentinel – Preise.For more information, refer to Azure Sentinel pricing.

SicherheitshinweiseSecurity considerations

In einer Sicherheitsrichtlinie werden die Sicherheitsmechanismen definiert, die für Ressourcen in einem angegebenen Abonnement zu empfehlen sind.A security policy defines the set of controls that are recommended for resources within a specified subscription. In Azure Security Center definieren Sie Richtlinien für Ihre Azure-Abonnements entsprechend den Sicherheitserfordernissen Ihres Unternehmens sowie dem Typ der Anwendungen oder der Vertraulichkeit der Daten für jedes Abonnement.In Azure Security Center, you define policies for your Azure subscriptions according to your company's security requirements and the type of applications or data sensitivity for each subscription.

Die Sicherheitsempfehlungen und -überwachung werden entsprechend den in Azure Security Center aktivierten Sicherheitsrichtlinien umgesetzt.The security policies that you enable in Azure Security Center drive security recommendations and monitoring. Weitere Informationen zu Sicherheitsrichtlinien finden Sie unter Stärken der Sicherheitsrichtlinie mit Azure Security Center.To learn more about security policies, refer to Strengthen your security policy with Azure Security Center. Sie können Sicherheitsrichtlinien in Azure Security Center nur auf der Verwaltungs- oder Abonnementgruppenebene zuweisen.You can assign security policies in Azure Security Center only at the management or subscription group levels.

Hinweis

Teil eins der Referenzarchitektur beschreibt, wie Azure Security Center zum Überwachen von Azure-Ressourcen, lokalen Systemen und Azure Stack-Systemen aktiviert wird.Part one of the reference architecture details how to enable Azure Security Center to monitor Azure resources, on-premises systems, and Azure Stack systems.

Bereitstellen der LösungDeploy the solution

Erstellen eines Log Analytics-Arbeitsbereichs im Azure-PortalCreate a Log Analytics workspace in Azure Portal

  1. Melden Sie sich am Azure-Portal als Benutzer mit Sicherheitsadministratorberechtigungen an.Sign into the Azure portal as a user with Security Admin privileges.
  2. Wählen Sie im Azure-Portal Alle Dienste aus.In the Azure portal, select All services. Geben Sie in der Liste mit den Ressourcen Log Analytics ein.In the list of resources, enter Log Analytics. Sobald Sie mit der Eingabe beginnen, wird die Liste auf der Grundlage Ihrer Eingabe gefiltert.As you begin entering, the list filters based on your input. Wählen Sie Log Analytics-Arbeitsbereiche aus.Select Log Analytics workspaces.
  3. Wählen Sie Hinzufügen auf der Seite „Log Analytics“ aus.Select Add on the Log Analytics page.
  4. Geben Sie einen Namen für den neuen Log Analytics-Arbeitsbereich ein, z. B. ASC-SentinelWorkspace.Provide a name for the new Log Analytics workspace, such as ASC-SentinelWorkspace. Dieser Name muss in allen Azure Monitor-Abonnements global eindeutig sein.This name must be globally unique across all Azure Monitor subscriptions.
  5. Wählen Sie ein anderes Abonnement aus der Dropdownliste aus, wenn die Standardauswahl nicht geeignet ist.Select a subscription by selecting from the drop-down list if the default selection is not appropriate.
  6. Wählen Sie als Ressourcengruppe eine vorhandene Ressourcengruppe aus, oder erstellen Sie eine neue Ressourcengruppe.For Resource Group, choose to use an existing resource group or create a new one.
  7. Wählen Sie unter Speicherort eine verfügbare Geolocation aus.For Location, select an available geolocation.
  8. Wählen Sie OK aus, um die Konfiguration abzuschließen.Select OK to complete the configuration. Neuer für die Architektur erstellter ArbeitsbereichNew Workspace created for the architecture

Aktivieren von Security CenterEnable Security Center

Während Sie noch am Azure-Portal als Benutzer mit Sicherheitsadministratorberechtigungen angemeldet sind, wählen Sie im Bereich Security Center aus.While you're still signed into the Azure portal as a user with Security Admin privileges, select Security Center in the panel. Security Center – Übersicht wird geöffnet:Security Center - Overview opens:

Blatt des Dashboards „Security Center – Übersicht“ wird geöffnet

Security Center aktiviert automatisch den Free-Tarif für alle Ihre Azure-Abonnements, für die Sie oder ein anderer Abonnementbenutzer nicht zuvor ein Onboarding durchgeführt haben.Security Center automatically enables the Free tier for any of the Azure subscriptions not previously onboarded by you or another subscription user.

Upgrade auf den Standard-TarifUpgrade to the Standard tier

Wichtig

Diese Referenzarchitektur verwendet die 30-tägige kostenlose Testversion des Security Center-Standardtarifs.This reference architecture uses the 30-day free trial of Security Center Standard tier.

  1. Wählen Sie im Hauptmenü von Security Center die Option Erste Schritte aus.On the Security Center main menu, select Getting Started.
  2. Wählen Sie die Schaltfläche Upgrade jetzt ausführen aus.Select the Upgrade Now button. Security Center listet Ihre Abonnements und Arbeitsbereiche auf, die für die Verwendung im Standard-Tarif geeignet sind.Security Center lists your subscriptions and workspaces that are eligible for use in the Standard tier.
  3. Sie können berechtigte Arbeitsbereiche und Abonnements auswählen, um Ihre Testversion zu starten.You can select eligible workspaces and subscriptions to start your trial. Wählen Sie den zuvor erstellten Arbeitsbereich ASC-SentinelWorkspace aus.Select the previously created workspace, ASC-SentinelWorkspace. aus dem Dropdownmenü aus.from the drop-down menu.
  4. Wählen Sie im Hauptmenü von Security Center Testversion starten aus.In the Security Center main menu, select Start trial.
  5. Das Dialogfeld Agents installieren sollte angezeigt werden.The Install Agents dialog box should display.
  6. Wählen Sie die Schaltfläche Agents installieren aus.Select the Install Agents button. Das Blatt Security Center – Abdeckung wird angezeigt, und Sie sollten Ihr ausgewähltes Abonnement auf der Registerkarte Standardabdeckung beobachten. Blatt „Sicherheitsabdeckung“, das Ihre Abonnements anzeigt, sollte geöffnet werdenThe Security Center - Coverage blade displays and you should observe your selected subscription in the Standard coverage tab. Security Coverage blade showing your subscriptions should be open

Sie haben jetzt automatische Bereitstellung aktiviert, und Security Center installiert den Log Analytics-Agent für Windows (HealthService.exe) und den omsagent für Linux auf allen unterstützten Azure-VMs und allen neuen VMs, die Sie erstellen.You've now enabled automatic provisioning and Security Center will install the Log Analytics Agent for Windows (HealthService.exe) and the omsagent for Linux on all supported Azure VMs and any new ones that you create. Sie können diese Richtlinie deaktivieren und manuelle Verwaltung verwenden, aber es wird dringend empfohlen, automatische Bereitstellung zu verwalten.You can turn off this policy and manually manage it, although we strongly recommend automatic provisioning.

Weitere Informationen zu den spezifischen Security Center-Features, die unter Windows und Linux verfügbar sind, finden Sie unter Featureabdeckung für Computer.To learn more about the specific Security Center features available in Windows and Linux, refer to Feature coverage for machines.

Aktivieren von Azure Security Center-Überwachung von lokalen Windows-ComputernEnable Azure Security Center monitoring of on-premises Windows computers

  1. Wählen Sie im Azure-Portal auf dem Blatt Security Center – Übersicht die Registerkarte Erste Schritte aus.In the Azure Portal on the Security Center - Overview blade, select the Get Started tab.
  2. Wählen Sie unter Neue Nicht-Azure-Computer hinzufügen die Option Konfigurieren aus.Select Configure under Add new non-Azure computers. Eine Liste Ihrer Log Analytics-Arbeitsbereiche wird angezeigt und sollte ASC-SentinelWorkspace enthalten.A list of your Log Analytics workspaces displays, and should include the ASC-SentinelWorkspace.
  3. Wählen Sie diesen Arbeitsbereich aus.Select this workspace. Das Blatt Direkt-Agent wird mit einem Link zum Herunterladen eines Windows- oder Linux-Agents sowie Schlüsseln für Ihre Arbeitsbereichsidentifizierung(ID) geöffnet, die Sie zum Konfigurieren des Agents benötigen.The Direct Agent blade opens with a link for downloading a Windows agent and keys for your workspace identification (ID) to use when you configure the agent.
  4. Klicken Sie auf den Link Windows-Agent herunterladen für den entsprechenden Prozessortyp Ihres Computers, um die Setupdatei herunterzuladen.Select the Download Windows Agent link applicable to your computer processor type to download the setup file.
  5. Klicken Sie rechts neben Arbeitsbereichs-ID auf Kopieren, und fügen Sie die ID in den Editor ein.To the right of Workspace ID, select Copy, and then paste the ID into Notepad.
  6. Wählen Sie rechts neben Primärschlüssel die Option Kopieren aus, und fügen Sie den Schlüssel dann in den Editor ein.To the right of Primary Key, select Copy, and then paste the key into Notepad.

Installieren des Windows-AgentsInstall the Windows agent

Führen Sie die folgenden Schritte aus, um den Agent auf den Zielcomputern zu installieren.To install the agent on the targeted computers, follow these steps.

  1. Kopieren Sie die Datei auf den Zielcomputer, und führen Sie dann Setup aus.Copy the file to the target computer and then Run Setup.
  2. Wählen Sie auf der Seite Willkommen die Option Weiter aus.On the Welcome page, select Next.
  3. Lesen Sie die Seite Lizenzbedingungen durch, und klicken Sie anschließend auf Ich stimme zu.On the License Terms page, read the license and then select I Agree.
  4. Auf der Seite Zielordner können Sie den Standardinstallationsordner entweder ändern oder beibehalten. Klicken Sie anschließend auf Weiter.On the Destination Folder page, change or keep the default installation folder and then select Next.
  5. Stellen Sie über die Seite Agent-Setupoptionen eine Verbindung zwischen dem Agent und Azure Log Analytics her, und klicken Sie anschließend auf Weiter.On the Agent Setup Options page, choose to connect the agent to Azure Log Analytics and then select Next.
  6. Fügen Sie auf der Seite Azure Log Analytics die Arbeitsbereichs-ID und den Arbeitsbereichsschlüssel (Primärschlüssel) ein, die Sie im vorherigen Schritt in Editor kopiert haben.On the Azure Log Analytics page, paste the Workspace ID and Workspace Key (Primary Key) that you copied into Notepad in the previous procedure.
  7. Wenn der Computer in einen Log Analytics-Arbeitsbereich in Azure Government Cloud melden soll, wählen Sie Azure US-Regierung aus der Dropdownliste Azure Cloud aus.If the computer should report to a Log Analytics workspace in Azure Government cloud, select Azure US Government from the Azure Cloud drop-down list. Wenn der Computer über einen Proxyserver mit dem Log Analytics-Dienst kommunizieren muss, wählen Sie Erweitert aus, und geben Sie dann die URL sowie die Portnummer des Proxyservers an.If the computer needs to communicate through a proxy server to the Log Analytics service, select Advanced, and then provide the proxy server's URL and port number.
  8. Nachdem Sie die erforderlichen Konfigurationseinstellungen angegeben haben, wählen Sie Weiter aus.After you provide the necessary configuration settings, select Next. Setupseite des Log Analytics Agents zum Herstellen einer Verbindung des Agents mit einem Azure Log Analytics-ArbeitsbereichLog Analytics Agent setup page for connecting agent to an Azure Log Analytics workspace
  9. Überprüfen Sie Ihre Auswahl auf der Seite Bereit zum Installieren, und klicken Sie dann auf Installieren.On the Ready to Install page, review your choices and then select Install.
  10. Wählen Sie auf der Seite Die Konfiguration wurde erfolgreich abgeschlossen die Option Fertig stellen aus.On the Configuration completed successfully page, select Finish.

Nach der Fertigstellung wird der Log Analytics-Agent in der Windows-Systemsteuerung angezeigt, und Sie können die Konfiguration überprüfen und sicherstellen, dass der Agent verbunden ist.When complete, the Log Analytics agent appears in Windows Control Panel, and you can review your configuration and verify that the agent is connected.

Weitere Informationen zum Installieren und Konfigurieren des Agents finden Sie unter Installieren des Log Analytics-Agents auf Windows-Computern.For further information about installing and configuring the agent, refer to Install Log Analytics agent on Windows computers.

Der Log Analytics-Agent-Dienst erfasst Ereignis- und Leistungsdaten und führt Tasks und andere Workflows aus, die in einem Management Pack definiert sind.The Log Analytics Agent service collects event and performance data, executes tasks, and other workflows defined in a management pack. Security Center erweitert die Plattformen für den Cloudworkloadschutz durch die Integration in Microsoft Defender Advanced Threat Protection (ATP) für Server.Security Center extends its cloud workload protection platforms by integrating with Microsoft Defender Advanced Threat Protection (ATP) for Servers. Dadurch stehen umfassende EDR-Funktionen (Endpoint Detection and Response; Endpunkterkennung und -reaktion) zur Verfügung.Together, they provide comprehensive endpoint detection and response (EDR) capabilities.

Weitere Informationen zu Microsoft Defender ATP finden Sie unter Integrieren von Servern in den Microsoft Defender ATP-Dienst.For more information about Microsoft Defender ATP, refer to Onboard servers to the Microsoft Defender ATP service.

Aktivieren von Azure Security Center-Überwachung von lokalen Linux-ComputernEnable Azure Security Center monitoring of on-premises Linux computers

  1. Kehren Sie zur Registerkarte Erste Schritte zurück, wie zuvor beschrieben.Return to the Getting Started tab as previously described.
  2. Wählen Sie unter Neue Nicht-Azure-Computer hinzufügen die Option Konfigurieren aus.Select Configure under Add new non-Azure computers. Es wird eine Liste Ihrer Log Analytics-Arbeitsbereiche angezeigt.A list of your Log Analytics workspaces displays. Die Liste sollte den ASC-SentinelWorkspace enthalten, den Sie erstellt haben.The list should include the ASC-SentinelWorkspace that you created.
  3. Wählen Sie auf dem Blatt Direkt-Agent unter AGENT FÜR LINUX HERUNTERLADEN UND ONBOARDING DURCHFÜHREN die Option Kopieren aus, um den Befehl wget zu kopieren.On the Direct Agent blade under DOWNLOAD AND ONBOARD AGENT FOR LINUX, select copy to copy the wget command.
  4. Öffnen Sie den Editor, und fügen Sie diesen Befehl dann ein.Open Notepad and then paste this command. Speichern Sie diese Datei an einem Speicherort, auf den Sie auf Ihrem Linux-Computer zugreifen können.Save this file to a location that you can access from your Linux computer.

Hinweis

Unter Unix- und Linux-Betriebssystemen ist wget ein Tool für den nicht interaktiven Dateidownload aus dem Web.On Unix and Linux operating systems, wget is a tool for non-interactive file downloading from the web. Es unterstützt HTTPS, FTPS und Proxys.It supports HTTPS, FTPs, and proxies.

Der Linux-Agent verwendet das Linux Audit Daemon-Framework.The Linux agent uses the Linux Audit Daemon framework. Security Center integriert Funktionen dieses Frameworks im Log Analytics-Agent, wodurch Überwachungsdatensätze mithilfe des Log Analytics-Agents für Linux erfasst, erweitert und in Ereignissen aggregiert werden können.Security Center integrates functionalities from this framework within the Log Analytics agent, which enables audit records to be collected, enriched, and aggregated into events by using the Log Analytics Agent for Linux. In Security Center werden ständig neue Analysen hinzugefügt, die Linux-Signale verwenden, um schädliches Verhalten auf cloudbasierten und lokalen Linux-Computern zu erkennen.Security Center continuously adds new analytics that use Linux signals to detect malicious behaviors on cloud and on-premises Linux machines.

Eine Liste der Linux-Warnungen finden Sie in der Referenztabelle der Warnungen.For a list of the Linux alerts, refer to the Reference table of alerts.

Installieren des Linux-AgentsInstall the Linux agent

Führen Sie die folgenden Schritte aus, um den Agent auf den Linux-Zielcomputern zu installieren:To install the agent on the targeted Linux computers, follow these steps:

  1. Öffnen Sie auf dem Linux-Computer die Datei, die Sie zuvor gespeichert haben.On your Linux computer, open the file that you previously saved. Wählen Sie den gesamten Inhalt aus, und kopieren Sie ihn. Öffnen Sie eine Terminalkonsole, und fügen Sie den Befehl dann ein.Select and copy the entire content, open a terminal console, and then paste the command.
  2. Nachdem die Installation abgeschlossen ist, können Sie überprüfen, ob omsagent installiert ist, indem Sie den Befehl pgrep ausführen.Once the installation finishes, you can validate that the omsagent is installed by running the pgrep command. Der Befehl gibt die PID (Prozess-ID) von omsagent zurück.The command will return the omsagent process identifier (PID). Die Protokolle für den Agent befinden sich unter /var/opt/microsoft/omsagent/“Arbeitsbereichs-ID“/log/ .You can find the logs for the agent at: /var/opt/microsoft/omsagent/"workspace id"/log/.

Es kann bis zu 30 Minuten dauern, bis der neue Linux-Computer in Security Center angezeigt wird.It can take up to 30 minutes for the new Linux computer to display in Security Center.

Aktivieren von Azure Security Center-Überwachung von Azure Stack-VMsEnable Azure Security Center monitoring of Azure Stack VMs

Nachdem Sie das Onboarding Ihres Azure-Abonnements durchgeführt haben, können Sie Security Center zum Schützen Ihrer in Azure Stack ausgeführten VMs einrichten, indem Sie die VM-Erweiterung zur Update- und Konfigurationsverwaltung für Azure Monitor aus dem Azure Stack-Marketplace hinzufügen.After you onboard your Azure subscription, you can enable Security Center to protect your VMs running on Azure Stack by adding the Azure Monitor, Update and Configuration Management VM extension from the Azure Stack marketplace. Dazu ist Folgendes erforderlich:To do this:

  1. Kehren Sie zur Registerkarte Erste Schritte zurück, wie zuvor beschrieben.Return to the Getting Started tab as previously described.
  2. Wählen Sie unter Neue Nicht-Azure-Computer hinzufügen die Option Konfigurieren aus.Select Configure under Add new non-Azure computers. Eine Liste Ihrer Log Analytics-Arbeitsbereiche wird angezeigt und sollte den von Ihnen erstellten ASC-SentinelWorkspace enthalten.A list of your Log Analytics workspaces displays, and it should include the ASC-SentinelWorkspace that you created.
  3. Auf dem Blatt Direkt-Agent ist ein Link zum Herunterladen des Agents und der Schlüssel für Ihre Arbeitsbereich-ID zur Verwendung während der Agent-Konfiguration vorhanden.On the Direct Agent blade there is a link for downloading the agent and keys for your workspace ID to use during agent configuration. Sie müssen den Agent nicht manuell herunterladen.You don’t need to download the agent manually. Er wird in den folgenden Schritten als VM-Erweiterung installiert.It’ll be installed as a VM extension in the following steps.
  4. Klicken Sie rechts neben Arbeitsbereichs-ID auf Kopieren, und fügen Sie die ID dann in den Editor ein.To the right of Workspace ID, select Copy, and then paste the ID into Notepad.
  5. Wählen Sie rechts neben Primärschlüssel die Option Kopieren aus, und fügen Sie den Schlüssel dann in den Editor ein.To the right of Primary Key, select Copy, and then paste the key into Notepad.

Aktivieren der ASC-Überwachung von Azure Stack-VMsEnable ASC monitoring of Azure Stack VMs

In Azure Security Center wird die VM-Erweiterung Azure Monitor, Update- und Konfigurationsverwaltung gebündelt mit Azure Stack verwendet.Azure Security Center uses the Azure Monitor, Update and Configuration Management VM extension bundled with Azure Stack. Führen Sie die folgenden Schritte aus, um die Erweiterung Azure Monitor, Update- und Konfigurationsverwaltung zu aktivieren:To enable the Azure Monitor, Update and Configuration Management extension, follow these steps:

  1. Melden Sie sich auf einer neuen Browserregisterkarte am Azure Stack-Portal an.In a new browser tab, sign into your Azure Stack portal.
  2. Wechseln Sie zur Seite Virtuelle Computer, und wählen Sie dann die VM aus, die mit Security Center geschützt werden soll.Refer to the Virtual machines page, and then select the virtual machine that you want to protect with Security Center.
  3. Wählen Sie Erweiterungen.Select Extensions. Die Liste der auf dieser VM installierten VM-Erweiterungen wird angezeigt.The list of VM extensions installed on this VM displays.
  4. Wählen Sie die Registerkarte Hinzufügen aus. Das Menüblatt Neue Ressource wird geöffnet und zeigt die Liste der verfügbaren VM-Erweiterungen an.Select the Add tab. The New Resource menu blade opens and displays the list of available VM extensions.
  5. Wählen Sie die Erweiterung Azure Monitor, Update- und Konfigurationsverwaltung aus, und wählen Sie dann Erstellen aus.Select the Azure Monitor, Update and Configuration Management extension and then select Create. Das Konfigurationsblatt Erweiterung installieren wird geöffnet.The Install extension configuration blade opens.
  6. Fügen Sie auf dem Konfigurationsblatt Erweiterung installieren die Arbeitsbereichs-ID und den Arbeitsbereichsschlüssel (Primärschlüssel) ein, die Sie im vorherigen Schritt in Editor kopiert haben.On the Install extension configuration blade, paste the Workspace ID and Workspace Key (Primary Key) that you copied into Notepad in the previous procedure.
  7. Nachdem Sie die erforderlichen Konfigurationseinstellungen angegeben haben, wählen Sie OK aus.When you finish providing the necessary configuration settings, select OK.
  8. Nach Abschluss der Erweiterungsinstallation wird die Erweiterung mit dem Status Bereitstellung erfolgreich angezeigt.Once the extension installation completes, its status will display as Provisioning Succeeded. Es kann bis zu einer Stunde dauern, bis die VM im Security Center-Portal angezeigt wird.It might take up to one hour for the VM to appear in the Security Center portal.

Weitere Informationen zum Installieren und Konfigurieren des Agents für Windows finden Sie unter Installieren des Agents mithilfe des Setup-Assistenten.For more information about installing and configuring the agent for Windows, refer to Install the agent using setup wizard.

Informationen zur Behebung von Problemen mit dem Linux-Agent finden Sie unter Beheben von Problemen mit dem Log Analytics-Agent für Linux.For troubleshooting issues for the Linux agent, refer to How to troubleshoot issues with the Log Analytics agent for Linux.

Jetzt können Sie Ihre Azure-VMs und Nicht-Azure-Computer zentral überwachen.Now you can monitor your Azure VMs and non-Azure computers in one place. Azure Compute bietet einen Überblick über alle VMs und Computer zusammen mit Empfehlungen.Azure Compute provides you with an overview of all VMs and computers along with recommendations. Jede Spalte stellt einen Satz von Empfehlungen dar, und die Farben zeigen die VMs oder Computer sowie den aktuellen Sicherheitsstatus für diese Empfehlung an.Each column represents one set of recommendations, and the color represents the VMs or computers and the current security state for that recommendation. In Security Center werden in Sicherheitswarnungen außerdem alle erkannten Bedrohungen für diese Computer angezeigt.Security Center also provides any detections for these computers in security alerts. ASC-Liste der auf dem Blatt „Compute“ überwachten SystemeASC list of systems monitored on the Compute blade

Auf dem Blatt Compute werden zwei Arten von Symbolen dargestellt:There are two types of icons represented on the Compute blade:

Lila Computersymbol, das einen nicht von Azure überwachten Computer darstellt Nicht-Azure-ComputerNon-Azure computer

Blaues Terminalsymbol, das einen von Azure überwachten Computer darstellt Azure-ComputerAzure computer

Hinweis

Teil zwei der Referenzarchitektur verbindet Warnungen aus Azure Security Center und streamt sie in Azure Sentinel.Part two of the reference architecture will connect alerts from Azure Security Center and stream them into Azure Sentinel.

Die Rolle von Azure Sentinel besteht darin, Daten aus verschiedenen Datenquellen zu erfassen und Datenkorrelation über diese Datenquellen hinweg auszuführen.The role of Azure Sentinel is to ingest data from different data sources and perform data correlation across these data sources. Azure Sentinel nutzt Machine Learning und KI, um Bedrohungsbekämpfung, Warnungserkennung und Reaktionen auf Bedrohungen intelligenter zu gestalten.Azure Sentinel leverages machine learning and AI to make threat hunting, alert detection, and threat responses smarter.

Zum Durchführen des Onboardings von Azure Sentinel müssen Sie Azure Sentinel zuerst aktivieren und dann eine Verbindung mit Ihren Datenquellen herstellen.To onboard Azure Sentinel, you need to enable it, and then connect your data sources. Azure Sentinel enthält eine Reihe von Connectors für Microsoft-Lösungen, die vorkonfiguriert verfügbar sind und Echtzeitintegration bieten, u. a. für Microsoft Security Center, Microsoft Threat Protection-Lösungen, Microsoft 365-Quellen (darunter Office 365), Azure Active Directory (Azure AD), Azure ATP, Microsoft Cloud App Security und viele weitere.Azure Sentinel comes with a number of connectors for Microsoft solutions, which are available out of the box and provide real-time integration, including Microsoft Security Center, Microsoft Threat Protection solutions, Microsoft 365 sources (including Office 365), Azure Active Directory (Azure AD), Azure ATP, Microsoft Cloud App Security, and more. Außerdem stehen integrierte Connectors für Sicherheitslösungen von anderen Anbietern als Microsoft zur Verfügung.Additionally, there are built-in connectors to the broader security ecosystem for non-Microsoft solutions. Sie können auch Common Event Format (CEF), Syslog oder eine REST-API verwenden, um Ihre Datenquellen mit Azure Sentinel zu verbinden.You can also use Common Event Format, syslog, or the Representational State Transfer API to connect your data sources with Azure Sentinel.

Anforderungen für die Integration von Azure Sentinel in Azure Security CenterRequirements for integrating Azure Sentinel with Azure Security Center

  1. Ein Microsoft Azure-Abonnement.A Microsoft Azure Subscription
  2. Ein Log Analytics Arbeitsbereich, der nicht der Standardarbeitsbereich ist, der beim Aktivieren von Azure Security Center erstellt wird.A Log Analytics workspace that isn't the default workspace created when you enable Azure Security Center.
  3. Azure Security Center mit aktiviertem Security Center-Standard-Tarif.Azure Security Center with Security Center Standard tier enabled.

Wenn Sie den vorherigen Abschnitt durchgearbeitet haben, sollten alle drei Anforderungen erfüllt sein.All three requirements should be in place if you worked through the previous section.

Globale VoraussetzungenGlobal prerequisites

  • Für das Abonnement, in dem sich der Azure Sentinel-Arbeitsbereich befindet, benötigen Sie Berechtigungen für Mitwirkende, um Azure Sentinel zu aktivieren.To enable Azure Sentinel, you need contributor permissions to the subscription in which the Azure Sentinel workspace resides.
  • Für die Ressourcengruppe, zu der der Arbeitsbereich gehört, benötigen Sie Berechtigungen für Mitwirkende oder für Leser, um Azure Sentinel zu verwenden.To use Azure Sentinel, you need contributor or reader permissions on the resource group to which the workspace belongs.
  • Möglicherweise benötigen Sie zusätzliche Berechtigungen, um eine Verbindung mit bestimmten Datenquellen herzustellen.You might need additional permissions to connect specific data sources. Sie benötigen keine zusätzlichen Berechtigungen, um eine Verbindung mit ASC herzustellen.You don't need additional permissions to connect to ASC.
  • Azure Sentinel ist ein kostenpflichtiger Dienst.Azure Sentinel is a paid service. Weitere Informationen finden Sie unter Azure Sentinel – Preise.For more information, refer to Azure Sentinel pricing.

Aktivieren von Azure SentinelEnable Azure Sentinel

  1. Melden Sie sich am Azure-Portal als ein Benutzer an, der über die Berechtigung „Mitwirkender“ für ASC-SentinelWorkspace verfügt.Sign into the Azure portal with a user that has contributor rights for ASC-Sentinelworkspace.
  2. Suchen Sie nach Azure Sentinel, und wählen Sie diese Lösung aus.Search for and select Azure Sentinel. Suchen nach dem Begriff „Azure Sentinel“ im Azure-PortalIn the Azure portal search for the term "Azure Sentinel"
  3. Wählen Sie Hinzufügen.Select Add.
  4. Wählen Sie auf dem Blatt Azure Sentinel Die Option ASC-SentinelWorkspace aus.On the Azure Sentinel blade, select ASC-Sentinelworkspace.
  5. Wählen Sie im Navigationsmenü von Azure Sentinel Datenconnectors aus.In Azure Sentinel, select Data connectors from the navigation menu.
  6. Wählen Sie im Katalog für Datenconnectors Azure Security Center aus, und wählen Sie dann die Schaltfläche Connectorseite öffnen aus.From the data connectors gallery, select Azure Security Center, and select the Open connector page button. Azure Sentinel mit geöffneter Seite „Connectors“In Azure Sentinel showing the open Collectors page
  7. Wählen Sie unter Konfiguration die Option Verbinden neben den Abonnements aus, für die Warnungen in Azure Sentinel gestreamt werden sollen.Under Configuration, select Connect next to those subscriptions for which you want alerts to stream into Azure Sentinel. Die Schaltfläche Verbinden ist nur verfügbar, wenn Sie über die erforderlichen Berechtigungen und das ASC-Abonnement mit dem Standard-Tarif verfügen.The Connect button will be available only if you have the required permissions and the ASC Standard tier subscription.
  8. Der Verbindungsstatus sollte nun Wird verbunden lauten.You should now observe the Connection Status as Connecting. Nachdem die Verbindung hergestellt wurde, wechselt er in Verbunden.After connecting, it will switch to Connected.
  9. Nachdem Sie die Konnektivität bestätigt haben, können Sie die ASC-Einstellungen Datenconnector schließen und die Seite aktualisieren, um Warnungen in Azure Sentinel zu beobachten.After confirming the connectivity, you can close ASC Data Connector settings and refresh the page to observe alerts in Azure Sentinel. Möglicherweise dauert es eine Weile, bis die Protokollsynchronisierung mit Azure Sentinel beginnt.It might take some time for the logs to start syncing with Azure Sentinel. Nachdem Sie die Verbindung hergestellt haben, sehen Sie eine Datenzusammenfassung im Diagramm „Empfangene Daten“ und den Verbindungsstatus der Datentypen.After you connect, you'll observe a data summary in the Data received graph and the connectivity status of the data types.
  10. Sie können auswählen, ob durch die Warnungen von Azure Security Center automatisch Incidents in Azure Sentinel generiert werden sollen.You can select whether you want the alerts from Azure Security Center to automatically generate incidents in Azure Sentinel. Wählen Sie unter Incidents erstellen die Option Aktiviert aus, um die Standardanalyseregel zu aktivieren, durch die aus Warnungen automatisch Incidents erstellt werden.Under Create incidents, select Enabled to turn on the default analytics rule that automatically creates incidents from alerts. Anschließend können Sie diese Regel unter Analytics auf der Registerkarte Aktive Regeln bearbeiten.You can then edit this rule under Analytics, in the Active rules tab.
  11. Um das relevante Schema für die Azure Security Center-Warnungen in Log Analytics zu verwenden, suchen Sie nach SecurityAlert.To use the relevant schema in Log Analytics for the Azure Security Center alerts, search for SecurityAlert.

Ein Vorteil der Verwendung von Azure Sentinel als SIEM besteht darin, dass Datenkorrelationen über mehrere Quellen hinweg ermöglicht werden, wodurch Sie eine End-to-End-Sichtbarkeit der sicherheitsbezogenen Ereignisse Ihrer Organisation erhalten.One advantage of using Azure Sentinel as your SIEM is that it provides data correlation across multiple sources, which enables you to have an end-to-end visibility of your organization’s security-related events.

Hinweis

Informationen dazu, wie Sie die Sichtbarkeit Ihrer Daten erhöhen und potenzielle Bedrohungen identifizieren können, finden Sie in den Azure Playbooks im TechNet-Katalog, die über eine Sammlung von Ressourcen einschließlich eines Labs verfügen, in dem Sie Angriffe simulieren können.To learn how to increase visibility in your data and identify potential threats, refer to Azure playbooks on TechNet Gallery, which has a collection of resources including a lab in which you can simulate attacks. Sie sollten dieses Lab nicht in einer Produktionsumgebung verwenden.You should not use this lab in a production environment.

Weitere Informationen zu Azure Sentinel finden Sie in den folgenden Artikeln:To learn more about Azure Sentinel, refer to the following articles:

  • Schnellstart: Erste Schritte mit Azure SentinelQuickstart: Get started with Azure Sentinel
  • Tutorial: Standardmäßig verfügbare Erkennung von BedrohungenTutorial: Detect threats out-of-the-box

Überlegungen zu KostenCost considerations

ReferencesReferences

Azure MonitorAzure Monitor

Azure Security CenterAzure Security Center

Azure SentinelAzure Sentinel

Azure StackAzure Stack