Verbinden von Servern mit Azure Arc-Unterstützung mit Microsoft Defender für Cloud

  • Artikel

Dieser Artikel enthält Anleitungen zum Onboarding eines Servers mit Azure Arc-Unterstützung in Microsoft Defender für Cloud. Dies hilft Ihnen beim Sammeln sicherheitsrelevanter Konfigurationen und Ereignisprotokolle, damit Sie Maßnahmen empfehlen und Ihren allgemeinen Sicherheitsstatus in Azure verbessern können.

In den folgenden Schritten aktivieren und konfigurieren Sie den Microsoft Defender für Cloud-Tarif „Standard“ in Ihrem Azure-Abonnement. Dadurch werden erweiterter Schutz vor Bedrohungen und Erkennungsfunktionen bereitstellt. Der Prozess umfasst:

  • Einrichten eines Log Analytics-Arbeitsbereichs, in dem Protokolle und Ereignisse zur Analyse aggregiert werden
  • Zuweisen der Standardsicherheitsrichtlinien für Defender für Cloud.
  • Beleuchten der Defender für Cloud-Empfehlungen.
  • Anwenden empfohlener Konfigurationen auf Server mit Azure Arc-Unterstützung mithilfe der Maßnahmen zur schnellen Problembehebung

Wichtig

In den Verfahren in diesem Artikel wird davon ausgegangen, dass Sie bereits VMs oder Server bereitgestellt haben, die lokal oder in anderen Clouds ausgeführt werden, und diese mit Azure Arc verbunden haben. Falls nicht, können Sie diese Schritte mithilfe der folgenden Informationen automatisieren.

Voraussetzungen

  1. Klonen Sie das Repository für den Schnelleinstieg in Azure Arc.

    git clone https://github.com/microsoft/azure_arc

  2. Wie erwähnt, beginnt diese Anleitung an dem Punkt, an dem Sie bereits VMs oder Bare-Metal-Server bereitgestellt und mit Azure Arc verbunden haben. Für dieses Szenario verwenden wir eine GCP-Instanz (Google Cloud Platform), die bereits mit Azure Arc verbunden wurde und als Ressource in Azure sichtbar ist. Dies wird in den folgenden Screenshots veranschaulicht:

    A screenshot of an Azure Arc-enabled server in the Azure portal.

    A screenshot of details from an Azure Arc-enabled server in the Azure portal.

  3. Installieren oder aktualisieren Sie Azure CLI. Die ausgeführte Version der Azure-Befehlszeilenschnittstelle muss mindestens 2.7 sein. Überprüfen Sie mit az --version Ihre aktuell installierte Version.

  4. Erstellen Sie einen Azure-Dienstprinzipal.

    Um eine VM oder einen Bare-Metal-Server mit Azure Arc zu verbinden, ist ein Azure-Dienstprinzipal erforderlich, dem die Rolle „Mitwirkender“ zugewiesen ist. Zum Erstellen dieses Dienstprinzipals melden Sie sich bei Ihrem Azure-Konto an und führen den folgenden Befehl aus. Sie können diesen Befehl auch in Azure Cloud Shell ausführen.

    az login
az account set -s <Your Subscription ID>
az ad sp create-for-rbac -n "<Unique SP Name>" --role contributor --scopes "/subscriptions/<Your Subscription ID>"

    Beispiel:

    az ad sp create-for-rbac -n "http://AzureArcServers" --role contributor --scopes "/subscriptions/00000000-0000-0000-0000-000000000000"

    Die Ausgabe sollte wie folgt aussehen:

    {
  "appId": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
  "displayName": "http://AzureArcServers",
  "password": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
  "tenant": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX"
}

Hinweis

Es wird dringend empfohlen, dass Sie für den Dienstprinzipal ein bestimmtes Azure-Abonnement und eine bestimmte Ressourcengruppe festlegen.

Onboarding von Microsoft Defender für Cloud

  1. Von Microsoft Defender für Cloud gesammelte Daten werden in einem Log Analytics-Arbeitsbereich gespeichert. Sie können entweder den vom Defender für Cloud erstellten Standardarbeitsbereich oder einen von Ihnen erstellten benutzerdefinierten Arbeitsbereich nutzen. Wenn Sie einen dedizierten Arbeitsbereich erstellen möchten, können Sie die Bereitstellung automatisieren. Bearbeiten Sie dazu die Parameterdatei in der Azure Resource Manager-Vorlage (ARM-Vorlage), und geben Sie einen Namen und einen Speicherort für Ihren Arbeitsbereich an:

    A screenshot of an ARM template.

  2. Navigieren Sie zum Bereitstellen der ARM-Vorlage zum Bereitstellungsordner, und führen Sie den folgenden Befehl aus:

    az deployment group create --resource-group <Name of the Azure resource group> \
--template-file <The `log_analytics-template.json` template file location> \
--parameters <The `log_analytics-template.parameters.json` template file location>

  3. Wenn Sie sich für einen benutzerdefinierten Arbeitsbereich entscheiden, sollten Sie Defender für Cloud anweisen, diesen anstelle des Standardarbeitsbereichs zu nutzen. Führen Sie dazu den folgenden Befehl aus:

    az security workspace-setting create --name default \
--target-workspace '/subscriptions/<Your subscription ID>/resourceGroups/<Name of the Azure resource group>/providers/Microsoft.OperationalInsights/workspaces/<Name of the Log Analytics Workspace>'

  4. Wählen Sie einen Microsoft Defender für Cloud-Tarif aus. Der Free-Tarif ist für alle Ihre Azure-Abonnements standardmäßig aktiviert und bietet eine kontinuierliche Sicherheitsbeurteilung und umsetzbare Sicherheitsempfehlungen. In dieser Anleitung verwenden Sie den Tarif „Standard“ für Azure Virtual Machines, der diese Funktionen erweitert, eine einheitliche Sicherheitsverwaltung bietet und Workloads in Ihren Hybrid Clouds vor Bedrohungen schützt. Führen Sie den folgenden Befehl aus, um den Standard-Tarif von Microsoft Defender für Cloud für virtuelle Computer zu aktivieren:

    az security pricing create -n VirtualMachines --tier 'standard'

  5. Weisen Sie die Standardrichtlinieninitiative für Microsoft Defender für Cloud zu. Defender für Cloud erstellt die Sicherheitsempfehlungen basierend auf Richtlinien. Es gibt eine spezielle Initiative, die Defender für Cloud-Richtlinien anhand der Definitions-ID 1f3afdf9-d0c9-4c3d-847f-89da613e70a8 gruppiert. Mit dem folgenden Befehl wird die Defender für Cloud-Initiative Ihrem Abonnement zugewiesen.

    az policy assignment create --name 'Azure Security Center Default <Your subscription ID>' \
--scope '/subscriptions/<Your subscription ID>' \
--policy-set-definition '1f3afdf9-d0c9-4c3d-847f-89da613e70a8'

Integration von Azure Arc und Microsoft Defender für Cloud

Nach erfolgreichem Onboarding von Microsoft Defender für Cloud erhalten Sie Empfehlungen zum Schutz Ihrer Ressourcen, einschließlich Ihrer Server mit Azure Arc-Unterstützung. Defender für Cloud analysiert regelmäßig den Sicherheitsstatus Ihrer Azure-Ressourcen, um potenzielle Sicherheitsrisiken zu erkennen.

Im Abschnitt Compute und Apps unter VM und Server bietet Microsoft Defender für Cloud eine Übersicht über alle ermittelten Sicherheitsempfehlungen für ihre VMs und Computer, einschließlich Azure-VMs, Azure Classic-VMs, Server und Azure Arc-Computer.

A screenshot of Compute & Apps in Microsoft Defender for Cloud.

Auf den Servern mit Azure Arc-Unterstützung empfiehlt Microsoft Defender für Cloud die Installation des Log Analytics-Agents. Jede Empfehlung umfasst außerdem Folgendes:

  • Eine Kurzbeschreibung der Empfehlung
  • Eine Bewertung der Auswirkung auf die Sicherheit, in diesem Fall mit dem Status Hoch
  • Die Schritte zur Bereinigung, die zum Implementieren der Empfehlung ausgeführt werden müssen

Bei bestimmten Empfehlungen, wie im folgenden Screenshot, ist eine schnelle Problembehebung angegeben, mit der Sie eine Empfehlung für mehrere Ressourcen rasch umsetzen können.

A screenshot of a Microsoft Defender for Cloud recommendation for an Azure Arc-enabled server.

A screenshot of a Microsoft Defender for Cloud recommendation to install Log Analytics.

Die folgende empfohlene schnelle Problembehebung besteht in der Verwendung einer ARM-Vorlage zum Bereitstellen der Erweiterung „Log Analytics-Agent“ auf dem Computer mit Azure Arc.

A screenshot of a Microsoft Defender for Cloud Quick Fix ARM template.

Sie können die Korrektur mit der ARM-Vorlage im Workloadschutz-Dashboard auslösen, indem Sie den für Microsoft Defender für Cloud verwendeten Log Analytics-Arbeitsbereich und dann 1 Ressource korrigieren auswählen.

A screenshot of how to trigger a remediation step in Microsoft Defender for Cloud.

Nachdem Sie die Empfehlung auf den Server mit Azure Arc-Unterstützung angewendet haben, wird die Ressource als fehlerfrei markiert.

A screenshot of a healthy Azure Arc-enabled server.

Bereinigen Ihrer Umgebung

Führen Sie die folgenden Schritte aus, um die Umgebung zu bereinigen.

  1. Entfernen Sie die VMs aus jeder Umgebung anhand der Löschanweisungen in den folgenden Leitfäden.

  2. Entfernen Sie den Log Analytics-Arbeitsbereich, indem Sie in der Azure CLI das folgende Skript ausführen. Geben Sie den Namen des Arbeitsbereichs an, den Sie beim Erstellen des Log Analytics-Arbeitsbereichs verwendet haben.

az monitor log-analytics workspace delete --resource-group <Name of the Azure resource group> --workspace-name <Log Analytics Workspace Name> --yes