Conexión de servidores habilitados para Azure Arc a Azure Security CenterConnect Azure Arc enabled servers to Azure Security Center

En este artículo se proporcionan instrucciones sobre cómo incorporar un servidor habilitado para Azure Arc a Azure Security Center (Azure Security Center).This article provides guidance on how to onboard an Azure Arc enabled server to Azure Security Center (Azure Security Center). Esto le ayuda a empezar a recopilar configuraciones y registros de eventos relacionados con la seguridad para poder recomendar acciones y mejorar su postura general de seguridad en Azure.This helps you start collecting security-related configurations and event logs so you can recommend actions and improve your overall Azure security posture.

En los siguientes procedimientos, habilitará y configurará el nivel Estándar de Azure Security Center en la suscripción de Azure.In the following procedures, you enable and configure Azure Security Center Standard tier on your Azure subscription. Esto proporciona funciones de detección y protección avanzada contra amenazas (ATP).This provides advanced threat protection (ATP) and detection capabilities. Este proceso incluye:The process includes:

  • Configurar un área de trabajo de Log Analytics donde se agregan registros y eventos para su análisis.Setup a Log Analytics workspace where logs and events are aggregated for analysis.
  • Asignar directivas de seguridad predeterminadas de Security Center.Assign Security Center's default security policies.
  • Revisar las recomendaciones de Azure Security Center.Review Azure Security Center's recommendations.
  • Aplicar las configuraciones recomendadas en los servidores habilitados para Azure Arc con las correcciones de tipo Corrección rápida.Apply recommended configurations on Azure Arc enabled servers using the Quick Fix remediations.

Importante

En los procedimientos de este artículo se da por supuesto que ya ha implementado máquinas virtuales o bien servidores que se ejecutan en el entorno local o en otras nubes y que los ha conectado a Azure Arc. Si no lo ha hecho, la siguiente información puede ayudarle a automatizar este proceso.The procedures in this article assumes you've already deployed VMs, or servers that are running on-premises or on other clouds, and you have connected them to Azure Arc. If you haven't, the following information can help you automate this.

PrerrequisitosPrerequisites

  1. Clone el repositorio Jumpstart de Azure Arc.Clone the Azure Arc Jumpstart repository.

    git clone https://github.com/microsoft/azure_arc
    
  2. Como se ha mencionado, esta guía comienza en el punto en que ya se han implementado y conectado máquinas virtuales o servidores sin sistema operativo a Azure Arc. En este escenario se usa una instancia de Google Cloud Platform (GPC) que ya se ha conectado a Azure Arc y que está visible como recurso en Azure.As mentioned, this guide starts at the point where you already deployed and connected VMs or bare-metal servers to Azure Arc. For this scenario, we use a Google Cloud Platform (GCP) instance that has been already connected to Azure Arc and is visible as a resource in Azure. Esto se muestra en las capturas de pantalla siguientes:As shown in the following screenshots:

    Captura de pantalla de un servidor habilitado para Azure Arc en Azure Portal.

    Captura de pantalla de los detalles de un servidor habilitado para Azure Arc en Azure Portal.

  3. Instale o actualice la CLI de Azure.Install or update Azure CLI. La CLI de Azure debe tener la versión 2.7 o posterior.Azure CLI should be running version 2.7 or later. Use az --version para comprobar la versión instalada actual.Use az --version to check your current installed version.

  4. Cree una entidad de servicio de Azure.Create an Azure service principal.

    Para conectar una máquina virtual o un servidor sin sistema operativo a Azure Arc se necesita una entidad de servicio de Azure con el rol Colaborador.To connect a VM or bare-metal server to Azure Arc, Azure service principal assigned with the Contributor role is required. Para crearla, inicie sesión en su cuenta de Azure y ejecute el siguiente comando.To create it, sign in to your Azure account and run the following command. También puede ejecutar este comando en Azure Cloud Shell.You can also run this command in Azure Cloud Shell.

    az login
    az ad sp create-for-rbac -n "<Unique SP Name>" --role contributor
    

    Por ejemplo:For example:

    az ad sp create-for-rbac -n "http://AzureArcServers" --role contributor
    

    La salida debe ser similar a la que se muestra a continuación:Output should look like this:

    {
      "appId": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
      "displayName": "AzureArcServers",
      "name": "http://AzureArcServers",
      "password": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
      "tenant": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX"
    }
    

Nota

Recomendamos encarecidamente que determine el ámbito de la entidad de servicio en un grupo de recursos y una suscripción de Azure específicos.We highly recommend that you scope the service principal to a specific Azure subscription and resource group.

Incorporación de Azure Security CenterOnboard Azure Security Center

  1. Los datos recopilados por Azure Security Center se almacenan en un área de trabajo de Log Analytics.Data collected by Azure Security Center is stored in a Log Analytics workspace. Puede usar el valor predeterminado creado por Azure Security Center o uno personalizado creado por el usuario.You can either use the default one created by Azure Security Center or a custom one created by you. Si desea crear un área de trabajo dedicada, puede automatizar la implementación editando el archivo de parámetros de la plantilla de Azure Resource Manager (plantilla de ARM) y proporcionando un nombre y una ubicación para el área de trabajo:If you want to create a dedicated workspace, you can automate the deployment by editing the Azure Resource Manager template (ARM template) parameters file, provide a name and location for your workspace:

    Captura de pantalla de una plantilla de Resource Manager.

  2. Para implementar la plantilla de Resource Manager, vaya a la carpeta de implementación y ejecute el siguiente comando:To deploy the ARM template, navigate to the deployment folder and run the following command:

    az deployment group create --resource-group <Name of the Azure resource group> \
    --template-file <The `log_analytics-template.json` template file location> \
    --parameters <The `log_analytics-template.parameters.json` template file location>
    
  3. Si va a crear un área de trabajo definida por el usuario, debe indicar a Security Center que la use en lugar de la predeterminada. Para ello, use el siguiente comando:If you are going for an user-defined workspace, you should instruct Security Center to use it instead of the default one, use the following command:

    az security workspace-setting create --name default \
    --target-workspace '/subscriptions/<Your subscription ID>/resourceGroups/<Name of the Azure resource group>/providers/Microsoft.OperationalInsights/workspaces/<Name of the Log Analytics Workspace>'
    
  4. Seleccione el nivel de Azure Security Center.Select the Azure Security Center tier. El nivel Gratis está habilitado en todas las suscripciones de Azure de manera predeterminada y proporcionará recomendaciones de evaluación continua de la seguridad y de seguridad que requieren acción.The Free tier is enabled on all your Azure subscriptions by default and will provide continuous security assessment and actionable security recommendations. En esta guía, usará el nivel Estándar de Azure Virtual Machines que amplía estas capacidades, lo que proporciona una administración de seguridad unificada y protección contra amenazas en las cargas de trabajo de nube híbrida.In this guide, you use the Standard tier for Azure Virtual Machines that extends these capabilities providing unified security management and threat protection across your hybrid cloud workloads. Para habilitar el nivel Estándar de Azure Security Center para las máquinas virtuales, ejecute el siguiente comando:To enable the Standard tier of Azure Security Center for VMs, run the following command:

    az security pricing create -n VirtualMachines --tier 'standard'
    
  5. Asigne la iniciativa de directiva predeterminada de Security Center.Assign the default Security Center policy initiative. Azure Security Center realiza sus recomendaciones de seguridad en función de las directivas.Azure Security Center makes its security recommendations based on policies. Existe una iniciativa específica que agrupa las directivas de Security Center con el identificador de definición 1f3afdf9-d0c9-4c3d-847f-89da613e70a8.There is an specific initiative that groups Security Center policies with the definition ID 1f3afdf9-d0c9-4c3d-847f-89da613e70a8. El siguiente comando asignará la iniciativa Azure Security Center a su suscripción.The following command will assign the Azure Security Center initiative to your subscription.

    az policy assignment create --name 'Azure Security Center Default <Your subscription ID>' \
    --scope '/subscriptions/<Your subscription ID>' \
    --policy-set-definition '1f3afdf9-d0c9-4c3d-847f-89da613e70a8'
    

Integración de Azure Arc y Azure Security CenterAzure Arc and Azure Security Center integration

Después de incorporar Azure Security Center correctamente, obtendrá recomendaciones para ayudarle a proteger los recursos, incluidos los servidores habilitados para Azure Arc.After you successfully onboard Azure Security Center, you'll get recommendations to help you protect your resources, including your Azure Arc enabled servers. Azure Security Center analizará periódicamente el estado de seguridad de los recursos de Azure para identificar posibles puntos vulnerables de la seguridad.Azure Security Center will periodically analyze the security state of your Azure resources to identify potential security vulnerabilities.

En la sección Proceso y aplicaciones, en VM y servidores, Azure Security Center proporciona una visión general de todas las recomendaciones de seguridad detectadas para las máquinas virtuales y los equipos, incluidas las máquinas virtuales de Azure, las máquinas virtuales de Azure clásicas, los servidores y los equipos de Azure Arc.In the Compute & Apps section under VM & Servers, Azure Security Center provides an overview of all the discovered security recommendations for your VMs and computers, including Azure VMs, Azure classic VMs, servers, and Azure Arc machines.

Captura de pantalla de Proceso y aplicaciones en Azure Security Center.

En los servidores habilitados para Azure Arc, Azure Security Center recomienda la instalación del agente de Log Analytics.On the Azure Arc enabled servers, Azure Security Center recommends installing the Log Analytics agent. Cada recomendación también incluye:Each recommendation also includes:

  • Una breve descripción de la recomendación.A short description of the recommendation.
  • Un impacto de la puntuación de seguridad, en este caso, con el estado Alta.A secure score impact, in this case, with a status of High.
  • Los pasos de corrección que se deben llevar a cabo para implementar la recomendación.The remediation steps to carry out in order to implement the recommendation.

En el caso de las recomendaciones específicas, como en la siguiente captura de pantalla, también obtendrá una Corrección rápida que le permite corregir rápidamente una recomendación en varios recursos.For specific recommendations, like in the following screenshot, you will also get a Quick Fix that enables you to quickly remediate a recommendation on multiple resources.

Captura de pantalla de una recomendación de Azure Security Center para el servidor habilitado para Azure Arc.

Captura de pantalla de una recomendación de Azure Security Center para instalar Log Analytics.

La siguiente Corrección rápida utiliza una plantilla de Resource Manager para implementar la extensión Microsoft Monitoring Agent en la máquina con Azure Arc.The following remediation Quick Fix is using an ARM template to deploy the Microsoft Monitoring Agent extension on the Azure Arc machine.

Captura de pantalla de una plantilla de Resource Manager Corrección rápida de Azure Security Center.

Puede desencadenar la corrección con la plantilla de Resource Manager desde el panel de Azure Security Center; para ello, seleccione el área de trabajo de Log Analytics que se usa para Azure Security Center y, a continuación, Corregir 1 recurso.You can trigger the remediation with the ARM template from the Azure Security Center dashboard, by selecting the Log Analytics workspace used for Azure Security Center and then choosing Remediate 1 resource.

Captura de pantalla sobre cómo desencadenar un paso de corrección en Azure Security Center.

Después de aplicar la recomendación en el servidor habilitado para Azure Arc, el recurso se marcará como correcto.After you apply the recommendation on the Azure Arc enabled server, the resource will be marked as healthy.

Captura de pantalla de un servidor habilitado para Azure Arc correcto.

Limpieza del entornoClean up your environment

Realice los pasos siguientes para limpiar el entorno.Complete the following steps to clean up your environment.

  1. Quite las máquinas virtuales de cada entorno mediante las instrucciones de eliminación de cada guía.Remove the virtual machines from each environment by following the teardown instructions from each guide.

  2. Para quitar el área de trabajo de Log Analytics, ejecute el siguiente script en la CLI de Azure.Remove the Log Analytics workspace by executing the following script in Azure CLI. Proporcione el nombre del área de trabajo que ha usado al crear el área de trabajo de Log Analytics.Provide the workspace name you used when creating the Log Analytics workspace.

az monitor log-analytics workspace delete --resource-group <Name of the Azure resource group> --workspace-name <Log Analytics Workspace Name> --yes