Hibrid biztonsági monitorozás az Azure Security Centerrel és az Azure Sentinellel

Log Analytics
Monitor
Security Center
Sentinel
Azure Stack

Ez a hivatkozási architektúra azt szemlélteti, hogyan használható a Azure Security Center és az Azure Sentinel a helyszíni és az Azure-beli operációs rendszer számítási feladatainak biztonsági konfigurációjának és telemetria figyelésére.This reference architecture illustrates how to use Azure Security Center and Azure Sentinel to monitor the security configuration and telemetry of on-premises and Azure operating system workloads. Ide tartozik a Azure Stack.This includes Azure Stack.

Ábra: a Microsoft monitoring Agent üzembe helyezése a helyszíni rendszereken, valamint az Azure-alapú virtuális gépeken az adatátvitelt Azure Security Centerba és az Azure Sentinelbe

Töltse le az architektúra Visio-fájlját.Download a Visio file of this architecture.

Az architektúra gyakori használati módjai többek között a következők:Typical uses for this architecture include:

  • Ajánlott eljárások a helyszíni biztonsági és telemetria-figyelés integrálásához az Azure-alapú számítási feladatokkalBest practices for integrating on-premises security and telemetry monitoring with Azure-based workloads
  • Azure Security Center integrálása a Azure StackHow to integrate Azure Security Center with Azure Stack
  • Azure Security Center integrálása az Azure Sentinel használatávalHow to integrate Azure Security Center with Azure Sentinel

ArchitektúraArchitecture

Az architektúra az alábbi összetevőkből áll:The architecture consists of the following components:

  • Azure Security Center.Azure Security Center. Ez egy fejlett, egységes biztonsági felügyeleti platform, amelyet a Microsoft az összes Azure-előfizető számára biztosít.This is an advanced, unified security-management platform that Microsoft offers to all Azure subscribers. Security Center a Felhőbeli biztonsági állapot kezelése (CSPM) és a Cloud munkaterhelés Protection Platform (CWPP).Security Center is segmented as a cloud security posture management (CSPM) and cloud workload protection platform (CWPP). A CWPP a munkaterhelés-központú biztonsági védelmi megoldások határozzák meg, amelyek általában ügynök-alapúak.CWPP is defined by workload-centric security protection solutions, which are typically agent-based. A Azure Security Center veszélyforrások elleni védelmet biztosít az Azure-beli számítási feladatokhoz, mind a helyszíni, mind pedig más felhőkben, beleértve a Windows és a Linux rendszerű virtuális gépeket, tárolókat, adatbázisokat és eszközök internetes hálózataeket (IoT).Azure Security Center provides threat protection for Azure workloads, both on-premises and in other clouds, including Windows and Linux virtual machines (VMs), containers, databases, and Internet of Things (IoT). Ha aktiválva van, a Log Analytics ügynök automatikusan üzembe helyezi az Azure Virtual Machines-ben.When activated, the Log Analytics agent deploys automatically into Azure Virtual Machines. A helyszíni Windows-és Linux-kiszolgálók és virtuális gépek esetében manuálisan telepítheti az ügynököt, használhatja a szervezet telepítési eszközét, például a Microsoft Endpoint Protection-kezelőt, vagy parancsfájlokkal ellátható üzembe helyezési módszereket alkalmazhat.For on-premises Windows and Linux servers and VMs, you can manually deploy the agent, use your organization's deployment tool, such as Microsoft Endpoint Protection Manager, or utilize scripted deployment methods. Security Center megkezdi a virtuális gépek, a hálózatok, az alkalmazások és az adatmennyiség biztonsági állapotának értékelését.Security Center begins assessing the security state of all your VMs, networks, applications, and data.
  • Azure Sentinel.Azure Sentinel. A a Felhőbeli natív biztonsági információ-és rendezvényszervezés (SIEM) és a biztonsági előkészítést segítő automatikus válasz (SOAR) megoldás, amely fejlett AI-és biztonsági elemzéseket használ a vállalaton belüli fenyegetések észlelésére, vadászatára, megelőzésére és reagálására.Is a cloud-native Security Information and Event Management (SIEM) and security orchestration automated response (SOAR) solution that uses advanced AI and security analytics to help you detect, hunt, prevent, and respond to threats across your enterprise.
  • Azure stack.Azure Stack. A olyan termékek portfoliója, amelyek az Azure-szolgáltatásokat és-képességeket kiterjesztik az Ön környezetére, az adatközpontból az Edge-helyekre és a távoli irodákra.Is a portfolio of products that extend Azure services and capabilities to your environment of choice, from the datacenter to edge locations and remote offices. A Azure Stack-nal integrált rendszerek általában négy – 16 kiszolgálóból álló, megbízható hardveres partnerek által létrehozott és közvetlenül az adatközpontba szállított állványokat használnak.Systems that you integrate with Azure Stack typically utilize racks of four to sixteen servers, built by trusted hardware partners and delivered straight to your datacenter.
  • Azure monitor.Azure Monitor. A különböző helyszíni és Azure-forrásokból származó figyelési telemetria gyűjt.Collects monitoring telemetry from a variety of on-premises and Azure sources. A felügyeleti eszközök, mint például a Azure Security Center és a Azure Automation, a naplófájlokat is leküldik a Azure Monitor.Management tools, such as those in Azure Security Center and Azure Automation, also push log data to Azure Monitor.
  • Log Analytics munkaterület.Log Analytics workspace. A Azure Monitor a Log Analytics munkaterületen tárolja a naplózási adatokat, amely egy olyan tároló, amely adatokat és konfigurációs adatokat tartalmaz.Azure Monitor stores log data in a Log Analytics workspace, which is a container that includes data and configuration information.
  • Log Analytics ügynök.Log Analytics agent. A Log Analytics ügynök a vendég operációs rendszer és a virtuális gépek számítási feladatainak figyelési adatait gyűjti az Azure-ban, más felhőalapú szolgáltatókon és a helyszínen.The Log Analytics agent collects monitoring data from the guest operating system and VM workloads in Azure, other cloud providers, and on-premises. A Log Analytics ügynök támogatja a proxy konfigurációját, és általában ebben az esetben egy Microsoft Operations Management Suite (OMS) átjáró proxyként működik.The Log Analytics Agent supports Proxy configuration and, typically in this scenario, a Microsoft Operations Management Suite (OMS) Gateway acts as proxy.
  • Helyszíni hálózat.On-premises network. Ezt a tűzfalat úgy konfigurálták, hogy támogassa a HTTPS kimenő forgalmat a meghatározott rendszerekből.This is the firewall configured to support HTTPS egress from defined systems.
  • Helyszíni Windows-és Linux-rendszerek.On-premises Windows and Linux systems. Azok a rendszerek, amelyekre telepítve van a Log Analytics ügynök.Systems with the Log Analytics Agent installed.
  • Azure Windows és Linux rendszerű virtuális gépek.Azure Windows and Linux VMs. Azok a rendszerek, amelyeken telepítve van a Azure Security Center figyelő ügynök.Systems on which the Azure Security Center monitoring agent is installed.

JavaslatokRecommendations

Az alábbi javaslatok a legtöbb forgatókönyvre vonatkoznak.The following recommendations apply for most scenarios. Kövesse ezeket a javaslatokat, ha nincsenek ezeket felülíró követelményei.Follow these recommendations unless you have a specific requirement that overrides them.

Azure Security Center frissítésAzure Security Center upgrade

Ez a hivatkozási architektúra Azure Security centert használ a helyszíni rendszerek, az Azure-beli virtuális gépek, a Azure monitor-erőforrások és a más felhőalapú szolgáltatók által üzemeltetett virtuális gépek figyelésére.This reference architecture uses Azure Security Center to monitor on-premises systems, Azure VMs, Azure Monitor resources, and even VMs hosted by other cloud providers. Ennek a funkciónak a támogatásához a Azure Security Center standard szintű díjas modellre van szükség.To support that functionality, the standard fee-based tier of Azure Security Center is needed. Javasoljuk, hogy a 30 napos ingyenes próbaverziót használja a követelmények érvényesítéséhez.We recommend that you use the 30-day free trial to validate your requirements.

A Azure Security Center díjszabásával kapcsolatban itttalál további információt.Details about Azure Security Center pricing can be found here.

Testreszabott Log Analytics munkaterületCustomized Log Analytics Workspace

Az Azure sentinelnek hozzá kell férnie egy log Analytics munkaterülethez.Azure Sentinel needs access to a Log Analytics workspace. Ebben az esetben nem használhatja az alapértelmezett ASC Log Analytics munkaterületet az Azure Sentinel használatával.In this scenario, you can’t use the default ASC Log Analytics workspace with Azure Sentinel. Létre kell hoznia egy testreszabott munkaterületet.You’ll need to create a customized workspace. A testreszabott munkaterület adatmegőrzési szintje a munkaterület díjszabási szintjétől függ, és itttalál díjszabási modelleket a figyelési naplókhoz.Data retention for a customized workspace is based on the workspace pricing tier, and you can find pricing models for Monitor Logs here.

Megjegyzés

Az Azure Sentinel a Log Analytics bármely általánosan elérhető (GA) régiójában futtatható munkaterületeken, kivéve a kínai és a németországi (szuverén) régiókat.Azure Sentinel can run on workspaces in any general availability (GA) region of Log Analytics except the China and Germany (Sovereign) regions. Az Azure Sentinel által generált adatok, például az incidensek, a könyvjelzők és a riasztási szabályok, amelyek tartalmazhatnak néhány ügyfél-adatforrást ezekből a munkaterületekről, az Európai (Európa-alapú munkaterületek esetében), Ausztráliában (Ausztrália-alapú munkaterületek esetében), illetve az USA keleti régiójában (a más régiókban található munkaterületek esetében).Data that Azure Sentinel generates, such as incidents, bookmarks, and alert rules, which may contain some customer data sourced from these workspaces, is saved either in Europe (for Europe-based workspaces), in Australia (for Australia-based workspaces), or in the East US (for workspaces located in any other region).

Méretezési szempontokScalability considerations

A Windows és a Linux Log Analytics ügynöke úgy lett kialakítva, hogy nagyon csekély hatással legyen a virtuális gépek és a fizikai rendszerek teljesítményére.The Log Analytics Agent for Windows and Linux is designed to have very minimal impact on the performance of VMs or physical systems.

Azure Security Center működési folyamat nem zavarja a szokásos működési eljárásokat.Azure Security Center operational process won’t interfere with your normal operational procedures. Ehelyett passzívan figyeli az üzemelő példányokat, és javaslatokat tesz az Ön által engedélyezett biztonsági szabályzatok alapján.Instead, it passively monitors your deployments and provides recommendations based on the security policies you enable.

Felügyeleti szempontokManageability considerations

Szerepkörök Azure Security CenterAzure Security Center roles

Security Center felméri az erőforrások konfigurációját a biztonsági problémák és biztonsági rések azonosítására, és megjeleníti az erőforrásokhoz kapcsolódó információkat, amikor a tulajdonos, közreműködő vagy olvasó szerepkört rendeli hozzá ahhoz az előfizetéshez vagy erőforráscsoporthoz, amelyhez az erőforrás tartozik.Security Center assesses your resources’ configuration to identify security issues and vulnerabilities, and displays information related to a resource when you are assigned the role of owner, contributor, or reader for the subscription or resource group to which a resource belongs.

Ezen szerepkörök mellett két speciális Security Center-szerepkör van:In addition to these roles, there are two specific Security Center roles:

  • Biztonsági olvasó.Security Reader. Az ehhez a szerepkörhöz tartozó felhasználók csak olvasási jogosultsággal rendelkeznek a Security Centerhoz.A user that belongs to this role has read only rights to Security Center. A felhasználó megfigyelheti a javaslatokat, a riasztásokat, a biztonsági házirendeket és a biztonsági állapotokat, de nem végezheti el a módosításokat.The user can observe recommendations, alerts, a security policy, and security states, but can’t make changes.

  • Biztonsági rendszergazda. Az ehhez a szerepkörhöz tartozó felhasználók ugyanazokkal a jogokkal rendelkeznek, mint a biztonsági olvasó, továbbá frissíthetik a biztonsági házirendeket, és elhagyják a riasztásokat és a javaslatokat.Security Admin. A user that belongs to this role has the same rights as the Security Reader, and also can update security policies, and dismiss alerts and recommendations. Ezek általában a munkaterhelést kezelő felhasználók.Typically, these are users that manage the workload.

  • A biztonsági szerepkörök, a biztonsági olvasó és a biztonsági rendszergazda csak Security Center rendelkezik hozzáféréssel.The security roles, Security Reader and Security Admin, have access only in Security Center. A biztonsági szerepkörök nem férnek hozzá más Azure-szolgáltatási területekhez, például a Storage-, web-, mobil-vagy IoT.The security roles don’t have access to other Azure service areas, such as storage, web, mobile, or IoT.

Azure Sentinel-előfizetésAzure Sentinel subscription

  • Az Azure Sentinel engedélyezéséhez közreműködői engedélyekkel kell rendelkeznie ahhoz az előfizetéshez, amelyben az Azure Sentinel-munkaterület található.To enable Azure Sentinel, you need contributor permissions to the subscription in which the Azure Sentinel workspace resides.
  • Az Azure Sentinel használatához közreműködői vagy olvasói engedélyekre van szükség ahhoz az erőforráscsoporthoz, amelyhez a munkaterület tartozik.To use Azure Sentinel, you need contributor or reader permissions on the resource group to which the workspace belongs.
  • Az Azure Sentinel fizetős szolgáltatás.Azure Sentinel is a paid service. További információkért tekintse meg az Azure Sentinel díjszabását.For more information, refer to Azure Sentinel pricing.

Biztonsági szempontokSecurity considerations

A biztonsági szabályzat határozza meg az adott előfizetésben lévő erőforrásokhoz ajánlott vezérlők készletét.A security policy defines the set of controls that are recommended for resources within a specified subscription. Azure Security Center az Azure-előfizetésekre vonatkozó szabályzatokat a vállalat biztonsági követelményeinek, valamint az egyes előfizetésekhez tartozó alkalmazások típusának vagy adatérzékeny értékeknek megfelelően határozhatja meg.In Azure Security Center, you define policies for your Azure subscriptions according to your company's security requirements and the type of applications or data sensitivity for each subscription.

A biztonsági szabályzatok, amelyeket a Azure Security Center meghajtó biztonsági javaslataiban és monitorozásában engedélyez.The security policies that you enable in Azure Security Center drive security recommendations and monitoring. A biztonsági házirendekkel kapcsolatos további információkért tekintse meg a biztonsági szabályzat megerősítése Azure Security Center használatával című témakört.To learn more about security policies, refer to Strengthen your security policy with Azure Security Center. Azure Security Center csak a felügyeleti vagy az előfizetési csoport szintjén lehet biztonsági házirendeket rendelni.You can assign security policies in Azure Security Center only at the management or subscription group levels.

Megjegyzés

Az egyik hivatkozási architektúra részletesen ismerteti, hogyan engedélyezhető Azure Security Center az Azure-erőforrások, a helyszíni rendszerek és a Azure Stack rendszerek figyelése.Part one of the reference architecture details how to enable Azure Security Center to monitor Azure resources, on-premises systems, and Azure Stack systems.

A megoldás üzembe helyezéseDeploy the solution

Log Analytics munkaterület létrehozása az Azure PortalonCreate a Log Analytics workspace in Azure Portal

  1. Jelentkezzen be a Azure Portalra biztonsági rendszergazdai jogosultságokkal rendelkező felhasználóként.Sign into the Azure portal as a user with Security Admin privileges.
  2. A Azure Portal válassza a minden szolgáltatás lehetőséget.In the Azure portal, select All services. Az erőforrások listájában adja meg a log Analytics.In the list of resources, enter Log Analytics. A beírás megkezdése után a rendszer a bemenet alapján szűri a listákat.As you begin entering, the list filters based on your input. Válassza log Analytics munkaterületek lehetőséget.Select Log Analytics workspaces.
  3. A Log Analytics lapon válassza a Hozzáadás lehetőséget.Select Add on the Log Analytics page.
  4. Adja meg az új Log Analytics munkaterület nevét, például Asc-SentinelWorkspace.Provide a name for the new Log Analytics workspace, such as ASC-SentinelWorkspace. Ennek a névnek globálisan egyedinek kell lennie az összes Azure Monitor-előfizetésen belül.This name must be globally unique across all Azure Monitor subscriptions.
  5. Válassza ki az előfizetést a legördülő listából kiválasztva, ha az alapértelmezett beállítás nem megfelelő.Select a subscription by selecting from the drop-down list if the default selection is not appropriate.
  6. Az erőforráscsoport területen válasszon egy meglévő erőforráscsoportot, vagy hozzon létre egy újat.For Resource Group, choose to use an existing resource group or create a new one.
  7. A hely mezőben válasszon ki egy elérhető földrajzi helyet.For Location, select an available geolocation.
  8. A konfiguráció befejezéséhez kattintson az OK gombra .Select OK to complete the configuration. Az architektúrához létrehozott új munkaterületNew Workspace created for the architecture

Security Center engedélyezéseEnable Security Center

Ha továbbra is a biztonsági rendszergazdai jogosultságokkal rendelkező felhasználóként jelentkezett be a Azure Portalba, válassza a Security Center lehetőséget a panelen.While you're still signed into the Azure portal as a user with Security Admin privileges, select Security Center in the panel. Security Center – az Áttekintés megnyílik:Security Center - Overview opens:

A Security Center áttekintése irányítópult panelje megnyílik

A Security Center automatikusan engedélyezi az ingyenes szintet bármely olyan Azure-előfizetéshez, amelyet korábban nem Ön vagy egy másik előfizetéshez tartozó felhasználó készített el.Security Center automatically enables the Free tier for any of the Azure subscriptions not previously onboarded by you or another subscription user.

Frissítés a Standard szintreUpgrade to the Standard tier

Fontos

Ez a hivatkozási architektúra a Security Center Standard szint 30 napos ingyenes próbaverzióját használja.This reference architecture uses the 30-day free trial of Security Center Standard tier.

  1. A Security Center Főmenüben válassza a első lépések lehetőséget.On the Security Center main menu, select Getting Started.
  2. Kattintson a Frissítés most gombra.Select the Upgrade Now button. Security Center felsorolja a standard szinten használható előfizetéseket és munkaterületeket.Security Center lists your subscriptions and workspaces that are eligible for use in the Standard tier.
  3. A próbaidőszak elkezdéséhez válassza ki az erre jogosult munkaterületeket és előfizetéseket.You can select eligible workspaces and subscriptions to start your trial. Válassza ki a korábban létrehozott munkaterületet, Asc-SentinelWorkspace.Select the previously created workspace, ASC-SentinelWorkspace. a legördülő menüből.from the drop-down menu.
  4. A Security Center főmenüjében kattintson a próbaverzió indítása elemre.In the Security Center main menu, select Start trial.
  5. Az ügynökök telepítése párbeszédpanelnek meg kell jelennie.The Install Agents dialog box should display.
  6. Kattintson az ügynökök telepítése gombra.Select the Install Agents button. Megjelenik a Security Center lefedettség panel, és meg kell figyelnie a kiválasztott előfizetést a standard lefedettség lapon.  Az előfizetéseket megjelenítő biztonsági lefedettség panelnek nyitva kell lennieThe Security Center - Coverage blade displays and you should observe your selected subscription in the Standard coverage tab. Security Coverage blade showing your subscriptions should be open

Mostantól engedélyezte az automatikus kiépítés szolgáltatást, és Security Center telepíti a Windows rendszerhez készült Log Analytics-ügynököt (HealthService.exe) és a Linux omsagent az összes támogatott Azure-beli virtuális gépen és a létrehozott újakon.You've now enabled automatic provisioning and Security Center will install the Log Analytics Agent for Windows (HealthService.exe) and the omsagent for Linux on all supported Azure VMs and any new ones that you create. Kikapcsolhatja ezt a házirendet, és manuálisan is felügyelheti, de erősen ajánlott az automatikus kiépítés.You can turn off this policy and manually manage it, although we strongly recommend automatic provisioning.

Ha többet szeretne megtudni a Windows és a Linux rendszerhez elérhető konkrét Security Center funkciókról, tekintse meg a számítógépek funkcióinak lefedettségétismertető témakört.To learn more about the specific Security Center features available in Windows and Linux, refer to Feature coverage for machines.

Helyszíni Windows rendszerű számítógépek Azure Security Center figyelésének engedélyezéseEnable Azure Security Center monitoring of on-premises Windows computers

  1. Az Security Center – áttekintés panelen válassza az első lépések fület az Azure Portalon.In the Azure Portal on the Security Center - Overview blade, select the Get Started tab.
  2. Válassza a Konfigurálás lehetőséget az új, nem Azure-beli számítógépek hozzáadása lehetőség alatt.Select Configure under Add new non-Azure computers. Megjelenik a Log Analytics-munkaterületek listája, és tartalmaznia kell az Asc-SentinelWorkspace.A list of your Log Analytics workspaces displays, and should include the ASC-SentinelWorkspace.
  3. Válassza ki ezt a munkaterületet.Select this workspace. Megnyílik a közvetlen ügynök panel, amely egy, az ügynök konfigurálásakor használni kívánt munkaterület-azonosítóhoz (azonosító) tartozó Windows-ügynök és-kulcsok letöltésére mutató hivatkozást nyit meg.The Direct Agent blade opens with a link for downloading a Windows agent and keys for your workspace identification (ID) to use when you configure the agent.
  4. Válassza ki a számítógép processzortípusának megfelelő Windows-ügynök letöltése hivatkozást a telepítési fájl letöltéséhez.Select the Download Windows Agent link applicable to your computer processor type to download the setup file.
  5. A munkaterület-azonosítótól jobbra válassza a Másolás lehetőséget, majd illessze be az azonosítót a Jegyzettömbbe.To the right of Workspace ID, select Copy, and then paste the ID into Notepad.
  6. Az elsődleges kulcs jobb oldalán válassza a Másolás lehetőséget, majd illessze be a kulcsot a Jegyzettömbbe.To the right of Primary Key, select Copy, and then paste the key into Notepad.

A Windows-ügynök telepítéseInstall the Windows agent

Ha az ügynököt a megcélzó számítógépekre szeretné telepíteni, kövesse az alábbi lépéseket.To install the agent on the targeted computers, follow these steps.

  1. Másolja a fájlt a célszámítógépre, majd futtassa a telepítőt.Copy the file to the target computer and then Run Setup.
  2. Az Üdvözöljük lapon kattintson a Tovább gombra.On the Welcome page, select Next.
  3. A Licencfeltételek oldalon olvassa el és fogadja el a licencet, majd kattintson az Elfogadom gombra.On the License Terms page, read the license and then select I Agree.
  4. A Célmappa lapon fogadja el az alapértelmezett telepítési mappát, vagy adjon meg egy másikat, majd kattintson a Tovább gombra.On the Destination Folder page, change or keep the default installation folder and then select Next.
  5. Az ügynök telepítésének beállításai lapon csatlakoztassa az ügynököt az Azure Log Analyticshez, majd kattintson a Tovább gombra.On the Agent Setup Options page, choose to connect the agent to Azure Log Analytics and then select Next.
  6. Az Azure Log Analytics lapon illessze be az előző folyamat során a Jegyzettömbbe másolt Munkaterület-azonosítót és a Munkaterületkulcsot (Elsődleges kulcs).On the Azure Log Analytics page, paste the Workspace ID and Workspace Key (Primary Key) that you copied into Notepad in the previous procedure.
  7. Ha a gépnek egy Azure Government-felhőbeli Log Analytics-munkaterületnek kell jelentenie, válassza az Azure US Government lehetőséget az Azure Cloud legördülő listából.If the computer should report to a Log Analytics workspace in Azure Government cloud, select Azure US Government from the Azure Cloud drop-down list. Ha a számítógépnek egy proxykiszolgálón keresztül kell kommunikálnia a Log Analytics szolgáltatással, válassza a speciális lehetőséget, majd adja meg a proxykiszolgáló URL-címét és portszámát.If the computer needs to communicate through a proxy server to the Log Analytics service, select Advanced, and then provide the proxy server's URL and port number.
  8. A szükséges konfigurációs beállítások megadása után kattintson a Tovább gombra.After you provide the necessary configuration settings, select Next. Log Analytics Agent telepítési lapja az ügynök Azure Log Analytics-munkaterülethez való csatlakoztatásáhozLog Analytics Agent setup page for connecting agent to an Azure Log Analytics workspace
  9. A Telepítésre kész oldalon ellenőrizze a beállításokat, majd kattintson a Telepítés elemre.On the Ready to Install page, review your choices and then select Install.
  10. A Konfigurálás sikeresen befejeződött lapon válassza a Befejezés lehetőséget.On the Configuration completed successfully page, select Finish.

Ha elkészült, a Log Analytics ügynök megjelenik a Windows Vezérlőpultján, és áttekintheti a konfigurációt, és ellenőrizheti, hogy az ügynök csatlakoztatva van-e.When complete, the Log Analytics agent appears in Windows Control Panel, and you can review your configuration and verify that the agent is connected.

Az ügynök telepítésével és konfigurálásával kapcsolatos további információkért lásd: log Analytics ügynök telepítése Windows rendszerű számítógépekre.For further information about installing and configuring the agent, refer to Install Log Analytics agent on Windows computers.

A Log Analytics ügynök szolgáltatás esemény-és teljesítményadatokat gyűjt, végrehajtja a feladatokat és a felügyeleti csomagban definiált egyéb munkafolyamatokat.The Log Analytics Agent service collects event and performance data, executes tasks, and other workflows defined in a management pack. A Security Center a felhőalapú munkaterhelés-védelmi platformokat a kiszolgálók Microsoft Defender komplex veszélyforrások elleni védelme (ATP) integrálásával terjeszti ki.Security Center extends its cloud workload protection platforms by integrating with Microsoft Defender Advanced Threat Protection (ATP) for Servers. Együttesen átfogó végpont-észlelési és-reagálási (EDR) képességeket biztosítanak.Together, they provide comprehensive endpoint detection and response (EDR) capabilities.

A Microsoft Defender ATP szolgáltatással kapcsolatos további információkért tekintse meg az előkészítési kiszolgálók a Microsoft DEFENDER ATP szolgáltatásban című témakört.For more information about Microsoft Defender ATP, refer to Onboard servers to the Microsoft Defender ATP service.

Helyszíni Linux rendszerű számítógépek Azure Security Center figyelésének engedélyezéseEnable Azure Security Center monitoring of on-premises Linux computers

  1. Térjen vissza a első lépések lapra az előzőekben leírtak szerint.Return to the Getting Started tab as previously described.
  2. Válassza a Konfigurálás lehetőséget az új, nem Azure-beli számítógépek hozzáadása lehetőség alatt.Select Configure under Add new non-Azure computers. Megjelenik a Log Analytics-munkaterületek listája.A list of your Log Analytics workspaces displays. A listának tartalmaznia kell a létrehozott Asc-SentinelWorkspace .The list should include the ASC-SentinelWorkspace that you created.
  3. A Linux-ügynök letöltése és előkészítése területen a közvetlen ügynök panelen válassza a Másolás lehetőséget a wget parancs másolásához.On the Direct Agent blade under DOWNLOAD AND ONBOARD AGENT FOR LINUX, select copy to copy the wget command.
  4. Nyissa meg a jegyzettömböt, majd illessze be ezt a parancsot.Open Notepad and then paste this command. Mentse ezt a fájlt egy olyan helyre, amely elérhető a Linux rendszerű számítógépéről.Save this file to a location that you can access from your Linux computer.

Megjegyzés

UNIX és Linux operációs rendszereken a wget olyan eszköz, amely nem interaktív fájlok letöltését végezheti el a webről.On Unix and Linux operating systems, wget is a tool for non-interactive file downloading from the web. Támogatja a HTTPS-t, a FTPs és a proxykat.It supports HTTPS, FTPs, and proxies.

A Linux-ügynök a Linux audit Daemon keretrendszert használja.The Linux agent uses the Linux Audit Daemon framework. A Security Center a Log Analytics-ügynökön belül integrálja a keretrendszer funkcióit, amely lehetővé teszi a naplózási rekordok gyűjtését, bővítését és az események összesítését a Linux rendszerhez készült Log Analytics-ügynök használatával.Security Center integrates functionalities from this framework within the Log Analytics agent, which enables audit records to be collected, enriched, and aggregated into events by using the Log Analytics Agent for Linux. Security Center folyamatosan bővíti a Linux-jeleket használó új elemzéseket a Felhőbeli és a helyszíni linuxos gépek kártékony viselkedésének észlelése érdekében.Security Center continuously adds new analytics that use Linux signals to detect malicious behaviors on cloud and on-premises Linux machines.

A Linux-riasztások listájáért tekintse meg a riasztások hivatkozási táblázatát.For a list of the Linux alerts, refer to the Reference table of alerts.

A Linux-ügynök telepítéseInstall the Linux agent

Ha az ügynököt a megcélzó Linux rendszerű számítógépekre szeretné telepíteni, kövesse az alábbi lépéseket:To install the agent on the targeted Linux computers, follow these steps:

  1. A Linux rendszerű számítógépen nyissa meg a korábban mentett fájlt.On your Linux computer, open the file that you previously saved. Válassza ki és másolja ki a teljes tartalmat, nyisson meg egy terminál-konzolt, majd illessze be a parancsot.Select and copy the entire content, open a terminal console, and then paste the command.
  2. A telepítés befejezése után ellenőrizheti, hogy a omsagent telepítve van-e a pgrep parancs futtatásával.Once the installation finishes, you can validate that the omsagent is installed by running the pgrep command. A parancs a omsagent folyamat azonosítóját (PID) fogja visszaadni.The command will return the omsagent process identifier (PID). Az ügynök naplófájljai a következő helyen találhatók: /var/opt/Microsoft/omsagent/"munkaterület-azonosító"/log/.You can find the logs for the agent at: /var/opt/microsoft/omsagent/"workspace id"/log/.

Akár 30 percet is igénybe vehet, hogy az új Linux-számítógép megjelenjen a Security Centerban.It can take up to 30 minutes for the new Linux computer to display in Security Center.

Azure Stack virtuális gépek Azure Security Center monitorozásának engedélyezéseEnable Azure Security Center monitoring of Azure Stack VMs

Az Azure-előfizetés bevezetését követően engedélyezheti Security Center a Azure Stack-on futó virtuális gépeknek a Azure Stack piactéren való hozzáadásával , a Azure monitor, az Update és a Configuration Management virtuálisgép-bővítmény hozzáadásával.After you onboard your Azure subscription, you can enable Security Center to protect your VMs running on Azure Stack by adding the Azure Monitor, Update and Configuration Management VM extension from the Azure Stack marketplace. Ehhez tegye a következőket:To do this:

  1. Térjen vissza a első lépések lapra az előzőekben leírtak szerint.Return to the Getting Started tab as previously described.
  2. Válassza a Konfigurálás lehetőséget az új, nem Azure-beli számítógépek hozzáadása lehetőség alatt.Select Configure under Add new non-Azure computers. A Log Analytics-munkaterületek listája megjelenik, és tartalmaznia kell a létrehozott Asc-SentinelWorkspace .A list of your Log Analytics workspaces displays, and it should include the ASC-SentinelWorkspace that you created.
  3. A közvetlen ügynök panelen található egy hivatkozás, amely a munkaterület-azonosítóhoz tartozó ügynök és kulcsok letöltésére használható az ügynök konfigurálása során.On the Direct Agent blade there is a link for downloading the agent and keys for your workspace ID to use during agent configuration. Nem kell manuálisan letöltenie az ügynököt.You don’t need to download the agent manually. A következő lépésekben virtuálisgép-bővítményként lesz telepítve.It’ll be installed as a VM extension in the following steps.
  4. A munkaterület-azonosítótól jobbra válassza a Másolás lehetőséget, majd illessze be az azonosítót a Jegyzettömbbe.To the right of Workspace ID, select Copy, and then paste the ID into Notepad.
  5. Az elsődleges kulcs jobb oldalán válassza a Másolás lehetőséget, majd illessze be a kulcsot a Jegyzettömbbe.To the right of Primary Key, select Copy, and then paste the key into Notepad.

Azure Stack virtuális gépek ASC-figyelésének engedélyezéseEnable ASC monitoring of Azure Stack VMs

A Azure Security Center a Azure monitor, az Update és a Configuration Management virtuálisgép- bővítményt használja Azure stack.Azure Security Center uses the Azure Monitor, Update and Configuration Management VM extension bundled with Azure Stack. A Azure monitor, a frissítés és a konfiguráció kezelése bővítmény engedélyezéséhez kövesse az alábbi lépéseket:To enable the Azure Monitor, Update and Configuration Management extension, follow these steps:

  1. Az új böngésző lapon jelentkezzen be a Azure stack portálra.In a new browser tab, sign into your Azure Stack portal.
  2. Tekintse meg a virtuális gépek lapot, majd válassza ki a Security Center védelemmel ellátni kívánt virtuális gépet.Refer to the Virtual machines page, and then select the virtual machine that you want to protect with Security Center.
  3. Válassza a Bővítmények lehetőséget.Select Extensions. Megjelenik a virtuális gépen telepített virtuálisgép-bővítmények listája.The list of VM extensions installed on this VM displays.
  4. Válassza a Hozzáadás lapot. Megnyílik az új erőforrás menü panel, és megjeleníti az elérhető virtuálisgép-bővítmények listáját.Select the Add tab. The New Resource menu blade opens and displays the list of available VM extensions.
  5. Válassza ki a Azure monitor, a frissítés és a konfiguráció kezelése bővítményt, majd válassza a Létrehozás lehetőséget.Select the Azure Monitor, Update and Configuration Management extension and then select Create. Megnyílik a telepítési bővítmény konfigurációja panel.The Install extension configuration blade opens.
  6. A bővítmény konfigurálása panelen illessze be azt a munkaterület-azonosítót és a munkaterület kulcsát (elsődleges kulcs) , amelyet a Jegyzettömbbe másolt az előző eljárásban.On the Install extension configuration blade, paste the Workspace ID and Workspace Key (Primary Key) that you copied into Notepad in the previous procedure.
  7. A szükséges konfigurációs beállítások megadása után kattintson az OK gombra.When you finish providing the necessary configuration settings, select OK.
  8. A bővítmény telepítésének befejezése után az állapota a kiépítés sikeressége után jelenik meg.Once the extension installation completes, its status will display as Provisioning Succeeded. Akár egy óráig is eltarthat, amíg a virtuális gép megjelenik a Security Center-portálon.It might take up to one hour for the VM to appear in the Security Center portal.

A Windows-ügynök telepítésével és konfigurálásával kapcsolatos további információkért tekintse meg az ügynök telepítése a telepítővarázsló segítségévelcímű témakört.For more information about installing and configuring the agent for Windows, refer to Install the agent using setup wizard.

A Linux-ügynökkel kapcsolatos hibaelhárítási problémákért tekintse meg a Linux rendszerhez készült log Analytics-ügynökkel kapcsolatos problémák elhárításacímű témakört.For troubleshooting issues for the Linux agent, refer to How to troubleshoot issues with the Log Analytics agent for Linux.

Mostantól egy helyről felügyelheti az Azure-beli virtuális gépeket és a nem Azure-beli számítógépeket.Now you can monitor your Azure VMs and non-Azure computers in one place. Az Azure-beli számítási szolgáltatás az összes virtuális gép és számítógép áttekintését nyújtja a javaslatokkal együtt.Azure Compute provides you with an overview of all VMs and computers along with recommendations. Mindegyik oszlop egyetlen javaslatot jelöl, a szín pedig a virtuális gépeket vagy számítógépeket, valamint az adott javaslat aktuális biztonsági állapotát jelöli.Each column represents one set of recommendations, and the color represents the VMs or computers and the current security state for that recommendation. A Security Center a biztonsági riasztásokban ezen számítógépek észlelését is biztosítja.Security Center also provides any detections for these computers in security alerts. A számítási panelen figyelt rendszerek ASC listájaASC list of systems monitored on the Compute blade

A Számítás panelen kétféle ikon található:There are two types of icons represented on the Compute blade:

A nem az Azure által figyelt számítógépet jelölő lila számítógép ikonja Nem Azure-beli számítógépNon-Azure computer

Az Azure-ban figyelt számítógépet jelölő kék terminál ikon Azure-számítógépAzure computer

Megjegyzés

A hivatkozási architektúra második része Azure Security Center és az Azure Sentinelbe továbbítja a riasztásokat.Part two of the reference architecture will connect alerts from Azure Security Center and stream them into Azure Sentinel.

Az Azure Sentinel szerepe a különböző adatforrásokból származó adatok betöltése és az adatforrások közötti adatkorreláció elvégzése.The role of Azure Sentinel is to ingest data from different data sources and perform data correlation across these data sources. Az Azure Sentinel gépi tanulást és AI-t használ a veszélyforrások elleni vadászat, a riasztások észlelése és a veszélyforrásokkal kapcsolatos válaszok intelligensebb létrehozásához.Azure Sentinel leverages machine learning and AI to make threat hunting, alert detection, and threat responses smarter.

Az Azure Sentinelt az előkészítéshez engedélyeznie kell, majd össze kell kapcsolnia az adatforrásokat.To onboard Azure Sentinel, you need to enable it, and then connect your data sources. Az Azure Sentinel számos, a Microsoft-megoldások számára elérhető összekötőt tartalmaz, amelyek a valós idejű integrációt biztosítják, beleértve a Microsoft Security Center, a Microsoft Threat Protection megoldásait, Microsoft 365 forrásait (beleértve az Office 365), a Azure Active Directory (Azure AD), az Azure ATP, a Microsoft Cloud App Security és egyebeket.Azure Sentinel comes with a number of connectors for Microsoft solutions, which are available out of the box and provide real-time integration, including Microsoft Security Center, Microsoft Threat Protection solutions, Microsoft 365 sources (including Office 365), Azure Active Directory (Azure AD), Azure ATP, Microsoft Cloud App Security, and more. Ezeken felül további beépített összekötők is vannak a nem microsoftos megoldások tágabb biztonsági ökoszisztémájához.Additionally, there are built-in connectors to the broader security ecosystem for non-Microsoft solutions. Az adatforrások Azure Sentinel szolgáltatással való összekapcsolásához használhatja a Common Event Format, a syslog vagy a reprezentációs State átadási API-t is.You can also use Common Event Format, syslog, or the Representational State Transfer API to connect your data sources with Azure Sentinel.

Az Azure Sentinel és a Azure Security Center integrálásának követelményeiRequirements for integrating Azure Sentinel with Azure Security Center

  1. Microsoft Azure előfizetésA Microsoft Azure Subscription
  2. Log Analytics munkaterület, amely nem az alapértelmezett munkaterület, amely a Azure Security Center engedélyezésekor lett létrehozva.A Log Analytics workspace that isn't the default workspace created when you enable Azure Security Center.
  3. Azure Security Center a standard szintű Security Center engedélyezve.Azure Security Center with Security Center Standard tier enabled.

Ha az előző szakaszban dolgozott, mindhárom követelményt meg kell adni.All three requirements should be in place if you worked through the previous section.

Globális előfeltételekGlobal prerequisites

  • Az Azure Sentinel engedélyezéséhez közreműködői engedélyekkel kell rendelkeznie ahhoz az előfizetéshez, amelyben az Azure Sentinel-munkaterület található.To enable Azure Sentinel, you need contributor permissions to the subscription in which the Azure Sentinel workspace resides.
  • Az Azure Sentinel használatához közreműködői vagy olvasói engedélyekre van szükség ahhoz az erőforráscsoporthoz, amelyhez a munkaterület tartozik.To use Azure Sentinel, you need contributor or reader permissions on the resource group to which the workspace belongs.
  • Előfordulhat, hogy további engedélyek szükségesek az egyes adatforrások összekapcsolásához.You might need additional permissions to connect specific data sources. Nincs szükség további engedélyekre az ASC-hez való kapcsolódáshoz.You don't need additional permissions to connect to ASC.
  • Az Azure Sentinel fizetős szolgáltatás.Azure Sentinel is a paid service. További információkért tekintse meg az Azure Sentinel díjszabását.For more information, refer to Azure Sentinel pricing.

Az Azure Sentinel engedélyezéseEnable Azure Sentinel

  1. Jelentkezzen be a Azure Portal egy olyan felhasználóval, aki közreműködői jogokkal rendelkezik az Asc-Sentinelworkspace- hez.Sign into the Azure portal with a user that has contributor rights for ASC-Sentinelworkspace.
  2. Keresse meg és válassza ki az Azure Sentinel elemet.Search for and select Azure Sentinel. Az Azure Portal keressen rá az "Azure Sentinel" kifejezésreIn the Azure portal search for the term "Azure Sentinel"
  3. Válassza a Hozzáadás elemet.Select Add.
  4. Az Azure Sentinel panelen válassza az Asc-Sentinelworkspace lehetőséget.On the Azure Sentinel blade, select ASC-Sentinelworkspace.
  5. Az Azure Sentinelben válassza az adatösszekötők lehetőséget a navigációs menüből.In Azure Sentinel, select Data connectors from the navigation menu.
  6. Az adatösszekötők katalógusában válassza a Azure Security Center lehetőséget, majd kattintson az összekötő megnyitása lap gombra.From the data connectors gallery, select Azure Security Center, and select the Open connector page button. Az Azure Sentinelben az Open gyűjtők oldala láthatóIn Azure Sentinel showing the open Collectors page
  7. A konfiguráció területen válassza az azon előfizetések melletti Kapcsolódás lehetőséget, amelyekhez riasztásokat szeretne továbbítani az Azure sentinelbe.Under Configuration, select Connect next to those subscriptions for which you want alerts to stream into Azure Sentinel. A Csatlakozás gomb csak akkor lesz elérhető, ha rendelkezik a szükséges engedélyekkel és az ASC standard szintű előfizetéssel.The Connect button will be available only if you have the required permissions and the ASC Standard tier subscription.
  8. Most meg kell figyelnie a kapcsolat állapotát .You should now observe the Connection Status as Connecting. A csatlakozás után a rendszer a csatlakoztatott értékre vált.After connecting, it will switch to Connected.
  9. A kapcsolat megerősítése után lezárhatja az ASC adatösszekötő beállításait, és frissítheti a lapot a riasztások megfigyeléséhez az Azure Sentinel szolgáltatásban .After confirming the connectivity, you can close ASC Data Connector settings and refresh the page to observe alerts in Azure Sentinel. Eltarthat egy ideig, amíg a naplók megkezdik a szinkronizálást az Azure Sentinel használatával.It might take some time for the logs to start syncing with Azure Sentinel. A csatlakozás után megfigyelheti az adatösszesítést a kapott adatdiagramban és az adattípusok kapcsolati állapotát.After you connect, you'll observe a data summary in the Data received graph and the connectivity status of the data types.
  10. Kiválaszthatja, hogy a Azure Security Center riasztások automatikusan előállítanak-e incidenseket az Azure Sentinel szolgáltatásban.You can select whether you want the alerts from Azure Security Center to automatically generate incidents in Azure Sentinel. Az incidensek létrehozása területen válassza az engedélyezve lehetőséget az alapértelmezett elemzési szabály bekapcsolásához, amely automatikusan létrehozza az incidenseket a riasztásokból.Under Create incidents, select Enabled to turn on the default analytics rule that automatically creates incidents from alerts. Ezt a szabályt az elemzés területen módosíthatja az aktív szabályok lapon.You can then edit this rule under Analytics, in the Active rules tab.
  11. Ha a Log Analytics vonatkozó sémát szeretné használni a Azure Security Center riasztásokhoz, keresse meg a SecurityAlert.To use the relevant schema in Log Analytics for the Azure Security Center alerts, search for SecurityAlert.

Az Azure Sentinel használatának egyik előnye, hogy SIEM-ként biztosítja az adatkorrelációt több forrás között, ami lehetővé teszi, hogy teljes körű láthatóságot biztosítson a szervezet biztonsággal kapcsolatos eseményeiről.One advantage of using Azure Sentinel as your SIEM is that it provides data correlation across multiple sources, which enables you to have an end-to-end visibility of your organization’s security-related events.

Megjegyzés

Ha meg szeretné tudni, hogyan növelheti az adatait, és hogyan azonosíthatja a potenciális fenyegetéseket, tekintse meg az Azure-forgatókönyveket a TechNet Gallery webhelyen, amely tartalmazza az erőforrások gyűjteményét, beleértve az olyan laborokat is, amelyekben szimulálhatja a támadásokat.To learn how to increase visibility in your data and identify potential threats, refer to Azure playbooks on TechNet Gallery, which has a collection of resources including a lab in which you can simulate attacks. Éles környezetben ne használja ezt a labort.You should not use this lab in a production environment.

Az Azure Sentinel szolgáltatással kapcsolatos további tudnivalókért tekintse meg a következő cikkeket:To learn more about Azure Sentinel, refer to the following articles:

Költségekkel kapcsolatos szempontokCost considerations

HivatkozásokReferences

Azure MonitorAzure Monitor

Azure Security CenterAzure Security Center

Azure SentinelAzure Sentinel

Azure StackAzure Stack