Tutorial: Schützen Ihrer Ressourcen mit Azure Security CenterTutorial: Protect your resources with Azure Security Center

Security Center verringert Ihre Gefährdung durch Bedrohungen, indem mithilfe von Zugriffs- und Anwendungssteuerungen böswillige Aktivitäten blockiert werden.Security Center limits your exposure to threats by using access and application controls to block malicious activity. Durch einen Just-in-Time (JIT)-Zugriff auf einen virtuellen Computer wird die Anfälligkeit für Angriffe verringert, da Sie den dauerhaften Zugriff auf virtuelle Computer verweigern können.Just-in-Time (JIT) virtual machine (VM) access reduces your exposure to attacks by enabling you to deny persistent access to VMs. Stattdessen bieten Sie einen gesteuerten und überwachten Zugriff auf VMs nur bei Bedarf.Instead, you provide controlled and audited access to VMs only when needed. Adaptive Anwendungssteuerungen helfen dabei, VMs gegen Schadsoftware abzusichern, indem sie steuern, welche Anwendungen auf Ihren VMs ausgeführt werden können.Adaptive application controls help harden VMs against malware by controlling which applications can run on your VMs. Security Center nutzt Machine Learning, um die auf dem virtuellen Computer ausgeführten Prozesse zu analysieren, und unterstützt Sie beim Anwenden von Whitelistregeln, die auf diesen Daten basieren.Security Center uses machine learning to analyze the processes running in the VM and helps you apply whitelisting rules using this intelligence.

In diesem Tutorial lernen Sie Folgendes:In this tutorial you learn how to:

  • Konfigurieren einer Richtlinie für den Just-in-Time-VM-ZugriffConfigure a just in time VM access policy
  • Konfigurieren einer AnwendungssteuerungsrichtlinieConfigure an application control policy

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.If you don’t have an Azure subscription, create a free account before you begin.

VoraussetzungenPrerequisites

Zum Durchlaufen der in diesem Tutorial behandelten Features müssen Sie den Tarif „Standard“ von Security Center verwenden.To step through the features covered in this tutorial, you must be on Security Center’s Standard pricing tier. Sie können Security Center Standard kostenlos testen.You can try Security Center Standard at no cost. Weitere Informationen finden Sie auf der Preisseite.To learn more, see the pricing page. Unter Schnellstarthandbuch zu Azure Security Center wird Schritt für Schritt beschrieben, wie Sie das Upgrade auf den Tarif „Standard“ durchführen.The quickstart Onboard your Azure subscription to Security Center Standard walks you through how to upgrade to Standard.

Verwalten des VM-ZugriffsManage VM access

Mit JIT Zugriff auf einen virtuellen Computer kann eingehender Datenverkehr auf den virtuellen Azure-Computern gesperrt werden, um die Gefährdung durch Angriffe zu reduzieren und bei Bedarf einen einfachen Zugriff auf Verbindungen mit virtuellen Computern bereitzustellen.JIT VM access can be used to lock down inbound traffic to your Azure VMs, reducing exposure to attacks while providing easy access to connect to VMs when needed.

Verwaltungsports müssen nicht jederzeit geöffnet sein.Management ports do not need to be open at all times. Sie müssen nur geöffnet sein, während eine Verbindung mit dem virtuellen Computer besteht, z.B. zum Ausführen von Verwaltungs- oder Wartungsaufgaben.They only need to be open while you are connected to the VM, for example to perform management or maintenance tasks. Wenn Just-In-Time aktiviert ist, verwendet das Security Center Netzwerksicherheitsgruppen-Regeln (NSG), die den Zugriff auf Verwaltungsports beschränken, um sie vor Angriffen zu schützen.When just in time is enabled, Security Center uses Network Security Group (NSG) rules, which restrict access to management ports so they cannot be targeted by attackers.

  1. Wählen Sie im Hauptmenü von Security Center unter ERWEITERTER CLOUDSCHUTZ die Option Just-in-Time-VM-Zugriff aus.In the Security Center main menu, select Just-in-Time VM access under ADVANCED CLOUD DEFENSE.

    Just-in-Time-VM-Zugriff

    Just-In-Time-VM-Zugriff enthält Informationen zum Status Ihrer virtuellen Computer:Just-in-Time VM access provides information on the state of your VMs:

    • Konfiguriert – Virtuelle Computer, die für die Unterstützung von Just-In-Time-Zugriff konfiguriert wurden.Configured - VMs that have been configured to support just in time VM access.

    • Empfohlen – Virtuelle Computer, die Just-In-Time-VM-Zugriff unterstützen, jedoch nicht entsprechend konfiguriert wurden.Recommended - VMs that can support just in time VM access but have not been configured to.

    • Keine Empfehlung – Mögliche Gründe, dass ein virtueller Computer nicht empfohlen wird:No recommendation - Reasons that can cause a VM not to be recommended are:

      • Fehlende NSG – Die Just-In-Time-Lösung erfordert, dass eine NSG festgelegt ist.Missing NSG - The just in time solution requires an NSG to be in place.
      • Klassischer virtueller Computer – Der durch das Security Center gesteuerte Just-In-Time-VM-Zugriff unterstützt derzeit nur virtuelle Computer, die über Azure Resource Manager bereitgestellt wurden.Classic VM - Security Center just in time VM access currently supports only VMs deployed through Azure Resource Manager.
      • Andere – Ein virtueller Computer fällt in diese Kategorie, wenn die Just-In-Time-Lösung in der Sicherheitsrichtlinie des Abonnements oder der Ressourcengruppe deaktiviert ist oder wenn der virtuelle Computer über keine öffentliche IP-Adresse und über keine NSG verfügt.Other - A VM is in this category if the just in time solution is turned off in the security policy of the subscription or the resource group, or that the VM is missing a public IP and doesn't have an NSG in place.
  2. Wählen Sie eine empfohlene VM aus, und klicken Sie auf JIT auf 1 VM aktivieren, um eine Just-in-Time-Richtlinie für diese VM zu konfigurieren:Select a recommended VM and click Enable JIT on 1 VM to configure a just in time policy for that VM:

    Sie können die von Security Center empfohlenen Standardports speichern oder einen neuen Port hinzufügen und konfigurieren, an dem Sie die Just-in-Time-Lösung aktivieren möchten.You can save the default ports that Security Center recommends or you can add and configure a new port on which you want to enable the just in time solution. Fügen Sie in diesem Tutorial einen Port durch Klicken auf Hinzufügen hinzu.In this tutorial, let’s add a port by selecting Add.

    Hinzufügen einer Portkonfiguration

  3. Geben Sie unter Portkonfiguration hinzufügen Folgendes an:Under Add port configuration, you identify:

    • Den PortThe port
    • Den ProtokolltypThe protocol type
    • Zulässige Quell-IP-Adressen, d.h. IP-Adressbereiche, auf die der Zugriff zulässig ist, wenn die Anforderung genehmigt wurdeAllowed source IPs - IP ranges allowed to get access upon an approved request
    • Die maximale Anforderungszeit, d.h. das maximale Zeitfenster, in dem ein bestimmter Port geöffnet sein kannMaximum request time - maximum time window that a specific port can be opened
  4. Klicken Sie zum Speichern auf OK.Select OK to save.

Absichern von VMs gegen SchadsoftwareHarden VMs against malware

Mit adaptiven Anwendungssteuerungen können Sie eine Gruppe von Anwendungen definieren, deren Ausführung in konfigurierten Ressourcengruppen zulässig ist. Dadurch können Sie Ihre VMs gegen Schadsoftware absichern.Adaptive application controls help you define a set of applications that are allowed to run on configured resource groups, which among other benefits helps harden your VMs against malware. Security Center nutzt Machine Learning, um die auf dem virtuellen Computer ausgeführten Prozesse zu analysieren, und unterstützt Sie beim Anwenden von Whitelistregeln, die auf diesen Daten basieren.Security Center uses machine learning to analyze the processes running in the VM and helps you apply whitelisting rules using this intelligence.

Dieses Feature steht nur für Windows-Computer zur Verfügung.This feature is only available for Windows machines.

  1. Kehren Sie zum Hauptmenü von Security Center zurück.Return to the Security Center main menu. Klicken Sie unter ERWEITERTER CLOUDSCHUTZ auf Adaptive Anwendungssteuerungen.Under ADVANCED CLOUD DEFENSE, select Adaptive application controls.

    Adaptive Anwendungssteuerungen

    Der Abschnitt Ressourcengruppen enthält drei Registerkarten:The Resource groups section contains three tabs:

    • Konfiguriert: Liste der Ressourcengruppen mit den virtuellen Computern, für die die Anwendungssteuerung bereits konfiguriert ist.Configured: List of resource groups containing the VMs that were configured with application control.
    • Empfohlen: Liste der Ressourcengruppen, für die Anwendungssteuerung empfohlen wird.Recommended: List of resource groups for which application control is recommended.
    • Keine Empfehlung: Liste der Ressourcengruppen mit virtuellen Computern, für die keine Anwendungssteuerungsempfehlungen vorliegen.No recommendation: List of resource groups containing VMs without any application control recommendations. Ein Beispiel wären etwa virtuelle Computer, auf denen sich die Anwendungen immer wieder ändern und die keinen konsistenten Zustand erreicht haben.For example, VMs on which applications are always changing, and haven’t reached a steady state.
  2. Klicken Sie auf die Registerkarte Empfohlen, um eine Liste mit Ressourcengruppen mit Anwendungssteuerungsempfehlungen anzuzeigen.Select the Recommended tab for a list of resource groups with application control recommendations.

    Empfehlungen für die Anwendungssteuerung

  3. Wählen Sie eine Ressourcengruppe aus, um die Option Regeln zur Anwendungssteuerung erstellen zu öffnen.Select a resource group to open the Create application control rules option. Sehen Sie sich unter VMs auswählen die Liste mit den empfohlenen virtuellen Computern an, und heben Sie die Auswahl aller virtuellen Computer auf, auf die Sie die Anwendungssteuerung nicht anwenden möchten.In the Select VMs, review the list of recommended VMs and uncheck any you do not want to apply application control to. Sehen Sie sich unter Prozesse für Whitelistregeln auswählen die Liste mit empfohlenen Anwendungen an, und heben Sie die Auswahl aller Optionen auf, die Sie nicht anwenden möchten.In the Select processes for whitelisting rules, review the list of recommended applications, and uncheck any you do not want to apply. Die Liste enthält Folgendes:The list includes:

    • NAME: Der vollständige AnwendungspfadNAME: The full application path
    • PROZESSE: Die Anzahl von Anwendungen innerhalb des jeweiligen Pfads.PROCESSES: How many applications reside within every path
    • ALLGEMEIN: „Ja“ gibt an, dass diese Prozesse auf den meisten virtuellen Computern in dieser Ressourcengruppe ausgeführt wurden.COMMON: "Yes" indicates that these processes have been executed on most VMs in this resource group
    • SICHERHEITSLÜCKE: Ein Warnsymbol gibt an, ob die Anwendungen von einem Angreifer zur Umgehung des Anwendungswhitelistings verwendet werden können.EXPLOITABLE: A warning icon indicates if the applications could be used by an attacker to bypass application whitelisting. Es empfiehlt sich, diese Anwendungen vor der Genehmigung zu überprüfen.It is recommended to review these applications prior to their approval.
  4. Klicken Sie nach Abschluss Ihrer Auswahl auf Erstellen.Once you finish your selections, select Create.

Bereinigen von RessourcenClean up resources

Andere Schnellstartanleitungen und Tutorials in dieser Sammlung bauen auf dieser Schnellstartanleitung auf.Other quickstarts and tutorials in this collection build upon this quickstart. Wenn Sie planen, mit den nachfolgenden Schnellstartanleitungen und Tutorials fortzufahren, sollten Sie weiter den Tarif „Standard“ nutzen und die automatische Bereitstellung aktiviert lassen.If you plan to continue on to work with subsequent quickstarts and tutorials, continue running the Standard tier and keep automatic provisioning enabled. Gehen Sie wie folgt vor, falls Sie nicht fortfahren oder zum Free-Tarif zurückkehren möchten:If you do not plan to continue or wish to return to the Free tier:

  1. Kehren Sie zum Hauptmenü von Security Center zurück, und wählen Sie die Option Sicherheitsrichtlinie.Return to the Security Center main menu and select Security Policy.
  2. Wählen Sie das Abonnement oder die Richtlinie aus, für das bzw. die Sie zu „Free“ zurückwechseln möchten.Select the subscription or policy that you want to return to Free. Der Bereich Sicherheitsrichtlinie wird geöffnet.Security policy opens.
  3. Wählen Sie unter RICHTLINIENKOMPONENTEN die Option Tarif.Under POLICY COMPONENTS, select Pricing tier.
  4. Wählen Sie Free, um für das Abonnement vom Tarif „Standard“ zu „Free“ zu wechseln.Select Free to change subscription from Standard tier to Free tier.
  5. Wählen Sie Speichern aus.Select Save.

Gehen Sie wie folgt vor, um die automatische Bereitstellung zu deaktivieren:If you wish to disable automatic provisioning:

  1. Kehren Sie zum Hauptmenü von Security Center zurück, und wählen Sie die Option Sicherheitsrichtlinie.Return to the Security Center main menu and select Security policy.
  2. Wählen Sie das Abonnement aus, für das Sie die automatische Bereitstellung deaktivieren möchten.Select the subscription that you wish to disable automatic provisioning.
  3. Wählen Sie im Bereich Sicherheitsrichtlinie – Datensammlung unter Onboarding die Option Aus, um die automatische Bereitstellung zu deaktivieren.Under Security policy – Data Collection, select Off under Onboarding to disable automatic provisioning.
  4. Wählen Sie Speichern aus.Select Save.

Hinweis

Wenn Sie die automatische Bereitstellung deaktivieren, wird Microsoft Monitoring Agent nicht von virtuellen Azure-Computern entfernt, auf denen der Agent bereitgestellt wurde.Disabling automatic provisioning does not remove the Microsoft Monitoring Agent from Azure VMs where the agent has been provisioned. Wenn Sie die automatische Bereitstellung deaktivieren, schränkt dies die Sicherheitsüberwachung für Ihre Ressourcen ein.Disabling automatic provisioning limits security monitoring for your resources.

Nächste SchritteNext steps

In diesem Tutorial haben Sie erfahren, wie Sie Ihre Angriffsfläche für Bedrohungen wie folgt verringern:In this tutorial, you learned how to limit your exposure to threats by:

  • Konfigurieren einer Richtlinie für den Just-in-Time VM-Zugriff, um einen gesteuerten und überwachten Zugriff auf VMs nur bei Bedarf zu ermöglichenConfiguring a just in time VM access policy to provide controlled and audited access to VMs only when needed
  • Konfigurieren einer adaptiven Anwendungssteuerung, um festzulegen, welche Anwendungen auf Ihren VMs ausgeführt werden könnenConfiguring an adaptive application controls policy to control which applications can run on your VMs

Im nächsten Tutorial erfahren Sie, wie Sie auf Sicherheitsvorfälle reagieren.Advance to the next tutorial to learn about responding to security incidents.