Verbinden von Servern mit Azure Arc-Unterstützung mit Azure Security CenterConnect Azure Arc enabled servers to Azure Security Center

Dieser Artikel enthält Anleitungen zum Onboarding eines Servers mit Azure Arc-Unterstützung in Azure Security Center.This article provides guidance on how to onboard an Azure Arc enabled server to Azure Security Center (Azure Security Center). Dies hilft Ihnen beim Sammeln sicherheitsrelevanter Konfigurationen und Ereignisprotokolle, damit Sie Maßnahmen empfehlen und Ihren allgemeinen Sicherheitsstatus in Azure verbessern können.This helps you start collecting security-related configurations and event logs so you can recommend actions and improve your overall Azure security posture.

In den folgenden Schritten aktivieren und konfigurieren Sie den Azure Security Center-Tarif „Standard“ in Ihrem Azure-Abonnement.In the following procedures, you enable and configure Azure Security Center Standard tier on your Azure subscription. Dadurch werden Advanced Threat Protection (ATP)- und Erkennungsfunktionen bereitstellt.This provides advanced threat protection (ATP) and detection capabilities. Der Prozess umfasst:The process includes:

  • Einrichten eines Log Analytics-Arbeitsbereichs, in dem Protokolle und Ereignisse zur Analyse aggregiert werdenSetup a Log Analytics workspace where logs and events are aggregated for analysis.
  • Zuweisen der Standardsicherheitsrichtlinien von Security CenterAssign Security Center's default security policies.
  • Prüfen der Empfehlungen von Azure Security CenterReview Azure Security Center's recommendations.
  • Anwenden empfohlener Konfigurationen auf Server mit Azure Arc-Unterstützung mithilfe der Maßnahmen zur schnellen ProblembehebungApply recommended configurations on Azure Arc enabled servers using the Quick Fix remediations.

Wichtig

In den Verfahren in diesem Artikel wird davon ausgegangen, dass Sie bereits VMs oder Server bereitgestellt haben, die lokal oder in anderen Clouds ausgeführt werden, und diese mit Azure Arc verbunden haben. Falls nicht, können Sie diese Schritte mithilfe der folgenden Informationen automatisieren.The procedures in this article assumes you've already deployed VMs, or servers that are running on-premises or on other clouds, and you have connected them to Azure Arc. If you haven't, the following information can help you automate this.

VoraussetzungenPrerequisites

  1. Klonen Sie das Repository für den Schnelleinstieg in Azure Arc.Clone the Azure Arc Jumpstart repository.

    git clone https://github.com/microsoft/azure_arc
    
  2. Wie erwähnt, beginnt diese Anleitung an dem Punkt, an dem Sie bereits VMs oder Bare-Metal-Server bereitgestellt und mit Azure Arc verbunden haben. Für dieses Szenario verwenden wir eine Google Cloud Platform-Instanz (GCP), die bereits mit Azure Arc verbunden wurde und als Ressource in Azure sichtbar ist.As mentioned, this guide starts at the point where you already deployed and connected VMs or bare-metal servers to Azure Arc. For this scenario, we use a Google Cloud Platform (GCP) instance that has been already connected to Azure Arc and is visible as a resource in Azure. Dies wird in den folgenden Screenshots veranschaulicht:As shown in the following screenshots:

    Screenshot eines Servers mit Azure Arc-Unterstützung im Azure-Portal.

    Screenshot der Details eines Servers mit Azure Arc-Unterstützung im Azure-Portal.

  3. Installieren oder aktualisieren Sie Azure CLI.Install or update Azure CLI. Die ausgeführte Azure CLI-Version muss mindestens 2.7 sein.Azure CLI should be running version 2.7 or later. Überprüfen Sie mit az --version Ihre aktuell installierte Version.Use az --version to check your current installed version.

  4. Erstellen Sie einen Azure-Dienstprinzipal.Create an Azure service principal.

    Um eine VM oder einen Bare-Metal-Server mit Azure Arc zu verbinden, ist ein Azure-Dienstprinzipal erforderlich, dem die Rolle „Mitwirkender“ zugewiesen ist.To connect a VM or bare-metal server to Azure Arc, Azure service principal assigned with the Contributor role is required. Zum Erstellen dieses Dienstprinzipals melden Sie sich bei Ihrem Azure-Konto an und führen den folgenden Befehl aus.To create it, sign in to your Azure account and run the following command. Sie können diesen Befehl auch in Azure Cloud Shell ausführen.You can also run this command in Azure Cloud Shell.

    az login
    az ad sp create-for-rbac -n "<Unique SP Name>" --role contributor
    

    Beispiel:For example:

    az ad sp create-for-rbac -n "http://AzureArcServers" --role contributor
    

    Das Ergebnis sollte wie folgt aussehen:Output should look like this:

    {
      "appId": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
      "displayName": "AzureArcServers",
      "name": "http://AzureArcServers",
      "password": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
      "tenant": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX"
    }
    

Hinweis

Es wird dringend empfohlen, dass Sie für den Dienstprinzipal ein bestimmtes Azure-Abonnement und eine bestimmte Ressourcengruppe festlegen.We highly recommend that you scope the service principal to a specific Azure subscription and resource group.

Durchführen des Onboardings in Azure Security CenterOnboard Azure Security Center

  1. Von Azure Security Center gesammelte Daten werden in einem Log Analytics-Arbeitsbereich gespeichert.Data collected by Azure Security Center is stored in a Log Analytics workspace. Sie können entweder den vom Azure Security Center erstellten Standardarbeitsbereich oder einen von Ihnen erstellten benutzerdefinierten Arbeitsbereich nutzen.You can either use the default one created by Azure Security Center or a custom one created by you. Wenn Sie einen dedizierten Arbeitsbereich erstellen möchten, können Sie die Bereitstellung automatisieren. Bearbeiten Sie dazu die Parameterdatei in der Azure Resource Manager-Vorlage (ARM-Vorlage), und geben Sie einen Namen und einen Speicherort für Ihren Arbeitsbereich an:If you want to create a dedicated workspace, you can automate the deployment by editing the Azure Resource Manager template (ARM template) parameters file, provide a name and location for your workspace:

    Screenshot einer ARM-Vorlage.

  2. Navigieren Sie zum Bereitstellen der ARM-Vorlage zum Bereitstellungsordner, und führen Sie den folgenden Befehl aus:To deploy the ARM template, navigate to the deployment folder and run the following command:

    az deployment group create --resource-group <Name of the Azure resource group> \
    --template-file <The `log_analytics-template.json` template file location> \
    --parameters <The `log_analytics-template.parameters.json` template file location>
    
  3. Wenn Sie sich für einen benutzerdefinierten Arbeitsbereich entscheiden, sollten Sie Security Center anweisen, diesen anstelle des Standardarbeitsbereichs zu nutzen. Führen Sie dazu den folgenden Befehl aus:If you are going for an user-defined workspace, you should instruct Security Center to use it instead of the default one, use the following command:

    az security workspace-setting create --name default \
    --target-workspace '/subscriptions/<Your subscription ID>/resourceGroups/<Name of the Azure resource group>/providers/Microsoft.OperationalInsights/workspaces/<Name of the Log Analytics Workspace>'
    
  4. Wählen Sie den Azure Security Center-Tarif aus.Select the Azure Security Center tier. Der Free-Tarif ist für alle Ihre Azure-Abonnements standardmäßig aktiviert und bietet eine kontinuierliche Sicherheitsbeurteilung und umsetzbare Sicherheitsempfehlungen.The Free tier is enabled on all your Azure subscriptions by default and will provide continuous security assessment and actionable security recommendations. In dieser Anleitung verwenden Sie den Tarif „Standard“ für Azure Virtual Machines, der diese Funktionen erweitert, eine einheitliche Sicherheitsverwaltung bietet und Workloads in Ihren Hybrid Clouds vor Bedrohungen schützt.In this guide, you use the Standard tier for Azure Virtual Machines that extends these capabilities providing unified security management and threat protection across your hybrid cloud workloads. Um den Tarif „Standard“ von Azure Security Center für VMs zu aktivieren, führen Sie den folgenden Befehl aus:To enable the Standard tier of Azure Security Center for VMs, run the following command:

    az security pricing create -n VirtualMachines --tier 'standard'
    
  5. Weisen Sie die Security Center-Standardrichtlinieninitiative zu.Assign the default Security Center policy initiative. Azure Security Center gibt Sicherheitsempfehlungen auf Grundlage von Richtlinien.Azure Security Center makes its security recommendations based on policies. Es gibt eine spezielle Initiative, die Security Center-Richtlinien anhand der Definitions-ID 1f3afdf9-d0c9-4c3d-847f-89da613e70a8 gruppiert.There is an specific initiative that groups Security Center policies with the definition ID 1f3afdf9-d0c9-4c3d-847f-89da613e70a8. Mit dem folgenden Befehl wird die Azure Security Center-Initiative Ihrem Abonnement zugewiesen.The following command will assign the Azure Security Center initiative to your subscription.

    az policy assignment create --name 'Azure Security Center Default <Your subscription ID>' \
    --scope '/subscriptions/<Your subscription ID>' \
    --policy-set-definition '1f3afdf9-d0c9-4c3d-847f-89da613e70a8'
    

Integration von Azure Arc und Azure Security CenterAzure Arc and Azure Security Center integration

Nach erfolgreichem Onboarding von Azure Security Center erhalten Sie Empfehlungen zum Schutz Ihrer Ressourcen, einschließlich Ihrer Server mit Azure Arc-Unterstützung.After you successfully onboard Azure Security Center, you'll get recommendations to help you protect your resources, including your Azure Arc enabled servers. Azure Security Center analysiert regelmäßig den Sicherheitsstatus Ihrer Azure-Ressourcen, um mögliche Sicherheitsrisiken auszumachen.Azure Security Center will periodically analyze the security state of your Azure resources to identify potential security vulnerabilities.

Im Abschnitt Compute & Apps unter VM & Server bietet Azure Security Center eine Übersicht über alle ermittelten Sicherheitsempfehlungen für ihre VMs und Computer, einschließlich Azure-VMs, Azure Classic-VMs, Server und Azure Arc-Computer.In the Compute & Apps section under VM & Servers, Azure Security Center provides an overview of all the discovered security recommendations for your VMs and computers, including Azure VMs, Azure classic VMs, servers, and Azure Arc machines.

Screenshot von „Compute & Apps“ in Azure Security Center.

Auf den Servern mit Azure Arc-Unterstützung empfiehlt Azure Security Center, den Log Analytics-Agent zu installieren.On the Azure Arc enabled servers, Azure Security Center recommends installing the Log Analytics agent. Jede Empfehlung umfasst außerdem Folgendes:Each recommendation also includes:

  • Eine Kurzbeschreibung der EmpfehlungA short description of the recommendation.
  • Eine Bewertung der Auswirkung auf die Sicherheit, in diesem Fall mit dem Status HochA secure score impact, in this case, with a status of High.
  • Die Schritte zur Bereinigung, die zum Implementieren der Empfehlung ausgeführt werden müssenThe remediation steps to carry out in order to implement the recommendation.

Bei bestimmten Empfehlungen, wie im folgenden Screenshot, ist eine schnelle Problembehebung angegeben, mit der Sie eine Empfehlung für mehrere Ressourcen rasch umsetzen können.For specific recommendations, like in the following screenshot, you will also get a Quick Fix that enables you to quickly remediate a recommendation on multiple resources.

Screenshot einer Azure Security Center-Empfehlung für den Server mit Azure Arc-Unterstützung.

Screenshot einer Azure Security Center-Empfehlung für die Installation von Log Analytics.

Die folgende empfohlene schnelle Problembehebung besteht in der Verwendung einer ARM-Vorlage zum Bereitstellen der Erweiterung „Microsoft Monitoring Agent“ auf dem Computer mit Azure Arc.The following remediation Quick Fix is using an ARM template to deploy the Microsoft Monitoring Agent extension on the Azure Arc machine.

Screenshot einer von Azure Security Center vorgeschlagenen schnellen Problembehebung in Form einer ARM-Vorlage

Sie können die Korrektur mit der ARM-Vorlage im Azure Security Center-Dashboard auslösen, indem Sie den für Azure Security Center verwendeten Log Analytics-Arbeitsbereich auswählen und dann 1 Ressource korrigieren auswählen.You can trigger the remediation with the ARM template from the Azure Security Center dashboard, by selecting the Log Analytics workspace used for Azure Security Center and then choosing Remediate 1 resource.

Screenshot der Auslösung eines Korrekturschritts in Azure Security Center.

Nachdem Sie die Empfehlung auf den Server mit Azure Arc-Unterstützung angewendet haben, wird die Ressource als fehlerfrei markiert.After you apply the recommendation on the Azure Arc enabled server, the resource will be marked as healthy.

Screenshot eines fehlerfreien Servers mit Azure Arc-Unterstützung.

Bereinigen Ihrer UmgebungClean up your environment

Führen Sie die folgenden Schritte aus, um die Umgebung zu bereinigen.Complete the following steps to clean up your environment.

  1. Entfernen Sie die virtuellen Computer aus jeder Umgebung anhand der Löschanweisungen in den folgenden Anleitungen.Remove the virtual machines from each environment by following the teardown instructions from each guide.

  2. Entfernen Sie den Log Analytics-Arbeitsbereich, indem Sie in der Azure CLI das folgende Skript ausführen.Remove the Log Analytics workspace by executing the following script in Azure CLI. Geben Sie den Namen des Arbeitsbereichs an, den Sie beim Erstellen des Log Analytics-Arbeitsbereichs verwendet haben.Provide the workspace name you used when creating the Log Analytics workspace.

az monitor log-analytics workspace delete --resource-group <Name of the Azure resource group> --workspace-name <Log Analytics Workspace Name> --yes