Bagikan melalui

Menyambungkan server berkemampuan Azure Arc ke Microsoft Defender untuk Cloud

  • Artikel

Artikel ini memberikan panduan tentang cara melakukan onboarding pada server berkemampuan Azure Arc ke Microsoft Defender untuk Cloud. Ini membantu Anda mulai mengumpulkan konfigurasi dan log peristiwa terkait keamanan sehingga Anda dapat merekomendasikan tindakan dan meningkatkan postur keamanan Azure Anda secara keseluruhan.

Dalam prosedur berikut, Anda mengaktifkan dan mengonfigurasi tingkat Standar Microsoft Defender untuk Cloud pada langganan Azure Anda. Ini memberikan perlindungan ancaman canggih dan kemampuan deteksi. Prosesnya meliputi:

  • Menyiapkan ruang kerja Log Analytics tempat log dan peristiwa dikumpulkan untuk analisis.
  • Tetapkan kebijakan keamanan default Defender untuk Cloud.
  • Tinjau rekomendasi Defender untuk Cloud.
  • Terapkan konfigurasi yang direkomendasikan pada server berkemampuan Azure Arc menggunakan remediasi Perbaikan Cepat.

Penting

Prosedur dalam artikel ini mengasumsikan Anda telah menyebarkan Mesin Virtual, atau server yang berjalan secara lokal atau di cloud lain, dan Anda telah menyambungkannya ke Azure Arc. Jika belum, informasi berikut dapat membantu Anda mengotomatiskan tindakan ini.

Prasyarat

  1. Kloning repositori Azure Arc Jumpstart.

    git clone https://github.com/microsoft/azure_arc

  2. Seperti yang disebutkan, panduan ini dimulai pada titik di mana Anda sudah menyebarkan dan menyambungkan mesin virtual atau server {i>bare-metal

    A screenshot of an Azure Arc-enabled server in the Azure portal.

    A screenshot of details from an Azure Arc-enabled server in the Azure portal.

  3. Pasang atau perbarui Azure CLI. Azure CLI harus menjalankan versi 2.7 atau yang lebih baru. Gunakan az --version untuk memeriksa versi yang Anda pasang saat ini.

  4. Membuat Prinsipal Layanan Azure.

    Untuk menyambungkan mesin virtual atau server bare-metal ke Azure Arc, diperlukan perwakilan layanan Azure yang ditetapkan dengan peran Kontributor. Untuk membuatnya, masuk ke akun Azure Anda dan jalankan perintah berikut. Anda juga dapat menjalankan perintah ini di Azure Cloud Shell.

    az login
az account set -s <Your Subscription ID>
az ad sp create-for-rbac -n "<Unique SP Name>" --role contributor --scopes "/subscriptions/<Your Subscription ID>"

    Misalnya:

    az ad sp create-for-rbac -n "http://AzureArcServers" --role contributor --scopes "/subscriptions/00000000-0000-0000-0000-000000000000"

    Output akan terlihat seperti ini:

    {
  "appId": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
  "displayName": "http://AzureArcServers",
  "password": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
  "tenant": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX"
}

Catatan

Kami sangat menyarankan agar Anda memasukkan prinsipal layanan ke langganan Azure dan grup sumber daya tertentu.

Melakukan onboarding pada Microsoft Defender untuk Cloud

  1. Data yang dikumpulkan oleh Microsoft Defender untuk Cloud disimpan di ruang kerja Log Analytics. Anda dapat menggunakan default yang dibuat oleh Defender untuk Cloud atau yang kustom yang dibuat oleh Anda. Jika ingin membuat ruang kerja khusus, Anda dapat mengotomatiskan penyebaran dengan mengedit file parameter templat Azure Resource Manager (templat ARM), memberikan nama dan lokasi untuk ruang kerja Anda:

    A screenshot of an ARM template.

  2. Untuk menyebarkan templat ARM, navigasikan ke folder penyebaran dan jalankan perintah berikut:

    az deployment group create --resource-group <Name of the Azure resource group> \
--template-file <The `log_analytics-template.json` template file location> \
--parameters <The `log_analytics-template.parameters.json` template file location>

  3. Jika akan mencari ruang kerja yang ditentukan pengguna, Anda harus menginstruksikan Defender untuk Cloud untuk menggunakannya alih-alih pilihan default melalui perintah berikut:

    az security workspace-setting create --name default \
--target-workspace '/subscriptions/<Your subscription ID>/resourceGroups/<Name of the Azure resource group>/providers/Microsoft.OperationalInsights/workspaces/<Name of the Log Analytics Workspace>'

  4. Pilih tingkat Microsoft Defender untuk Cloud. Tingkat Gratis diaktifkan pada semua langganan Azure Anda secara default dan akan memberikan penilaian keamanan berkelanjutan serta rekomendasi keamanan yang dapat ditindaklanjuti. Dalam panduan ini, Anda menggunakan tingkat Standar untuk Azure Virtual Machines yang memperluas kemampuan ini dan menyediakan manajemen keamanan terpadu serta perlindungan ancaman di seluruh beban kerja cloud hibrid Anda. Untuk mengaktifkan tingkat Standar Microsoft Defender untuk Cloud untuk VM, jalankan perintah berikut:

    az security pricing create -n VirtualMachines --tier 'standard'

  5. Tetapkan inisiatif kebijakan Microsoft Defender untuk Cloud default. Defender untuk Cloud membuat rekomendasi keamanannya berdasarkan inisiatif yang Anda pilih. Ada inisiatif khusus yang mengelompokkan kebijakan Defender untuk Cloud dengan ID definisi 1f3afdf9-d0c9-4c3d-847f-89da613e70a8. Perintah berikut akan menetapkan inisiatif Defender untuk Cloud ke langganan Anda.

    az policy assignment create --name 'Azure Security Center Default <Your subscription ID>' \
--scope '/subscriptions/<Your subscription ID>' \
--policy-set-definition '1f3afdf9-d0c9-4c3d-847f-89da613e70a8'

Integrasi Azure Arc dan Microsoft Defender untuk Cloud

Setelah berhasil melakukan onboarding pada Microsoft Defender untuk Cloud, Anda akan mendapatkan rekomendasi untuk membantu melindungi sumber daya, termasuk server berkemampuan Azure Arc. Microsoft Defender untuk Cloud secara berkala menganalisis status keamanan sumber daya Azure Anda guna mengidentifikasi potensi kerentanan keamanan.

Di bagian Komputasi & Aplikasi di bawah VM & Server, Microsoft Defender untuk Cloud memberikan gambaran umum tentang semua rekomendasi keamanan yang ditemukan untuk VM dan komputer Anda, termasuk Azure VM, VM klasik Azure, server, dan komputer Azure Arc.

A screenshot of Compute & Apps in Microsoft Defender for Cloud.

Pada server berkemampuan Azure Arc, Microsoft Defender untuk Cloud merekomendasikan untuk menginstal agen Log Analytics. Setiap rekomendasi juga mencakup:

  • Deskripsi singkat dari rekomendasi tersebut.
  • Dampak skor yang aman, dalam hal ini, dengan status Tinggi.
  • Langkah remediasi yang harus dilakukan dalam rangka melaksanakan rekomendasi tersebut.

Untuk rekomendasi khusus, seperti pada cuplikan layar berikut, Anda juga akan mendapatkan Perbaikan Cepat yang memungkinkan Anda untuk memulihkan rekomendasi tentang berbagai sumber daya dengan cepat.

A screenshot of a Microsoft Defender for Cloud recommendation for an Azure Arc-enabled server.

A screenshot of a Microsoft Defender for Cloud recommendation to install Log Analytics.

Perbaikan Cepat remediasi berikut menggunakan templat ARM untuk menyebarkan ekstensi agen Log Analytics pada mesin Azure Arc.

A screenshot of a Microsoft Defender for Cloud Quick Fix ARM template.

Anda dapat memicu remediasi dengan templat ARM dari dasbor perlindungan beban kerja, dengan memilih ruang kerja Log Analytics yang digunakan untuk Microsoft Defender untuk Cloud, lalu memilih Remidiasi 1 sumber daya.

A screenshot of how to trigger a remediation step in Microsoft Defender for Cloud.

Setelah Anda menerapkan rekomendasi pada server berkemampuan Azure Arc, sumber daya akan ditandai sebagai sehat.

A screenshot of a healthy Azure Arc-enabled server.

Menyiapkan lingkungan Anda

Selesaikan langkah-langkah berikut untuk membersihkan lingkungan Anda.

  1. Hapus mesin virtual dari setiap lingkungan dengan mengikuti instruksi teardown dari setiap panduan.

  2. Hapus ruang kerja Log Analytics dengan mengeksekusi skrip berikut di Azure CLI. Berikan nama ruang kerja yang Anda gunakan saat membuat ruang kerja Analitik Log.

az monitor log-analytics workspace delete --resource-group <Name of the Azure resource group> --workspace-name <Log Analytics Workspace Name> --yes