Raccolta dati nel Centro sicurezza di AzureData collection in Azure Security Center

Il Centro sicurezza raccoglie i dati dalle macchine virtuali (VM) di Azure, dai set di scalabilità di macchine virtuali, dai contenitori IaaS e dai computer non Azure (inclusi quelli locali) per monitorare le vulnerabilità e le minacce per la sicurezza.Security Center collects data from your Azure virtual machines (VMs), virtual machine scale sets, IaaS containers, and non-Azure (including on-premises) computers to monitor for security vulnerabilities and threats. I dati vengono raccolti utilizzando l'agente di Log Analytics, che legge diverse configurazioni correlate alla sicurezza e registri eventi dal computer e copia i dati nell'area di lavoro per l'analisi.Data is collected using the Log Analytics Agent, which reads various security-related configurations and event logs from the machine and copies the data to your workspace for analysis. I dati raccolti sono ad esempio il tipo di sistema operativo e la versione, i log del sistema operativo (log eventi Windows), i processi in esecuzione, il nome del computer, gli indirizzi IP e l'utente connesso.Examples of such data are: operating system type and version, operating system logs (Windows event logs), running processes, machine name, IP addresses, and logged in user. L'agente Log Analytics inoltre copia i file di dump di arresto anomalo del sistema nell'area di lavoroThe Log Analytics Agent also copies crash dump files to your workspace.

La raccolta dei dati è fondamentale per ottenere visibilità sugli aggiornamenti mancanti, le impostazioni di sicurezza del sistema operativo non configurate correttamente, l'abilitazione della protezione degli endpoint e i rilevamenti dell'integrità e delle minacce.Data collection is required to provide visibility into missing updates, misconfigured OS security settings, endpoint protection enablement, and health and threat detections.

Questo articolo descrive come installare un agente di Log Analytics e impostare un'area di lavoro Log Analytics in cui archiviare i dati raccolti.This article describes how to install a Log Analytics Agent and set a Log Analytics workspace in which to store the collected data. Entrambe le operazioni sono necessarie per consentire la raccolta dei dati.Both operations are required to enable data collection.

Nota

  • La raccolta dei dati è necessaria solo per le risorse di calcolo (VM, set di scalabilità di macchine virtuali, contenitori IaaS e computer non Azure).Data collection is only needed for Compute resources (VMs, virtual machine scale sets, IaaS containers, and non-Azure computers). È possibile usufruire dei vantaggi del Centro sicurezza di Azure anche se non si esegue il provisioning di agenti. La sicurezza sarà tuttavia limitata e le funzionalità sopra elencate non saranno supportate.You can benefit from Azure Security Center even if you don’t provision agents; however, you will have limited security and the capabilities listed above are not supported.
  • Per l'elenco delle piattaforme supportate, vedere Supported platforms in Azure Security Center (Piattaforme supportate nel Centro sicurezza di Azure).For the list of supported platforms, see Supported platforms in Azure Security Center.
  • L'archiviazione dei dati in Log Analytics, sia che si usi un'area di lavoro nuova o esistente, potrebbe comportare costi aggiuntivi per l'archiviazione dei dati.Storing data in Log Analytics, whether you use a new or existing workspace, might incur additional charges for data storage. Per altre informazioni vedere la pagina dei prezzi.For more information, see the pricing page.

Abilitare il provisioning automatico dell'agente di Log AnalyticsEnable automatic provisioning of the Log Analytics Agent

Per raccogliere i dati dai computer, è necessario che sia installato l'agente Log Analytics.To collect the data from the machines, you should have the Log Analytics Agent installed. L'installazione dell'agente può essere eseguita automaticamente (scelta consigliata) oppure è possibile installare l'agente manualmente.Installation of the agent can be done automatically (recommended) or you can install the agent manually.

Nota

Il provisioning automatico è disattivato per impostazione predefinita.Automatic provisioning is off by default. Per fare in modo che il Centro sicurezza usi il provisioning automatico per impostazione predefinita, impostarlo su Attivato.To set Security Center to install automatic provisioning by default, set it to On.

Quando il provisioning automatico è attivo, il Centro sicurezza effettua il provisioning dell'agente di Log Analytics in tutte le VM di Azure supportate e in quelle nuove che vengono create.When automatic provisioning is On, Security Center provisions the Log Analytics Agent on all supported Azure VMs and any new ones that are created. Il provisioning automatico è fortemente consigliato, ma è disponibile anche l'installazione manuale dell'agente.Automatic provisioning is strongly recommended but manual agent installation is also available. Informazioni su come installare l'estensione dell'agente log Analytics.Learn how to install the Log Analytics Agent extension.

Per abilitare il provisioning automatico dell'agente di Log Analytics:To enable automatic provisioning of the Log Analytics Agent:

  1. Scegliere Prezzi e impostazioni dal menu principale del Centro sicurezza.Under the Security Center main menu, select Pricing & settings.

  2. Fare clic sulla sottoscrizione applicabileClick on the applicable subscription

    Selezionare la sottoscrizione

  3. Selezionare raccolta dati.Select Data Collection.

  4. In Provisioning automatico selezionare Attivato per abilitare il provisioning automatico.Under Auto Provisioning, select On to enable automatic provisioning.

  5. Selezionare Salva.Select Save.

    Abilitare il provisioning automatico

Nota

Configurazione dell'area di lavoroWorkspace configuration

I dati raccolti dal Centro sicurezza vengono archiviati nell'area di lavoro Log Analytics.Data collected by Security Center is stored in Log Analytics workspace(s). È possibile scegliere di archiviare i dati raccolti dalle VM di Azure in aree di lavoro create dal Centro sicurezza o in un'area di lavoro esistente creata personalmente.You can select to have data collected from Azure VMs stored in workspaces created by Security Center or in an existing workspace you created.

La configurazione dell'area di lavoro è impostata in base alla sottoscrizione e più sottoscrizioni possono usare la stessa area di lavoro.Workspace configuration is set per subscription, and many subscriptions may use the same workspace.

Uso di un'area di lavoro creata dal Centro sicurezzaUsing a workspace created by Security Center

Il Centro sicurezza può creare automaticamente un'area di lavoro predefinita in cui archiviare i dati.Security center can automatically create a default workspace in which to store the data.

Per selezionare un'area di lavoro creata dal Centro sicurezza:To select a workspace created by Security Center:

  1. In Configurazione dell'area di lavoro predefinita selezionare l'opzione per usare un'altra area di lavoro creata dal Centro sicurezza.Under Default workspace configuration, select Use workspace(s) created by Security center. Selezionare un piano tariffarioSelect pricing tier

  2. Fare clic su SalvaClick Save.
    Il Centro sicurezza crea un nuovo gruppo di risorse e un'area di lavoro predefinita in corrispondenza della posizione geografica specificata e quindi connette l'agente all'area di lavoro.Security Center creates a new resource group and default workspace in that geolocation, and connects the agent to that workspace. Ecco le convenzioni di denominazione per l'area di lavoro e il gruppo di risorse:The naming convention for the workspace and resource group is:
    Area di lavoro: DefaultWorkspace-[subscription-ID]-[geo]
    Gruppo di risorse: DefaultResourceGroup-[geo]
    Workspace: DefaultWorkspace-[subscription-ID]-[geo]
    Resource Group: DefaultResourceGroup-[geo]

    Se una sottoscrizione contiene macchine virtuali da più aree geografiche, il Centro sicurezza crea più aree di lavoro.If a subscription contains VMs from multiple geolocations, then Security Center creates multiple workspaces. Vengono create più aree di lavoro per gestire le regole sulla privacy dei dati.Multiple workspaces are created to maintain data privacy rules.

  3. Il Centro sicurezza abiliterà automaticamente una soluzione del Centro sicurezza nell'area di lavoro in base al piano tariffario impostato per la sottoscrizione.Security Center will automatically enable a Security Center solution on the workspace per the pricing tier set for the subscription.

Nota

Il piano tariffario di Log Analytics per le aree di lavoro create dal Centro sicurezza non influisce sulla fatturazione del Centro sicurezza.The Log Analytics pricing tier of workspaces created by Security Center does not affect Security Center billing. Questa è sempre basata sui criteri di sicurezza del Centro sicurezza e sulle soluzioni installate in un'area di lavoro.Security Center billing is always based on your Security Center security policy and the solutions installed on a workspace. Per il livello Gratuito, il Centro sicurezza abilita la soluzione SecurityCenterFree nell'area di lavoro predefinita.For the Free tier, Security Center enables the SecurityCenterFree solution on the default workspace. Per il livello Standard, il Centro sicurezza abilita la soluzione Security nell'area di lavoro predefinita.For the Standard tier, Security Center enables the Security solution on the default workspace. L'archiviazione dei dati in Log Analytics potrebbe comportare costi aggiuntivi per l'archiviazione dei dati.Storing data in Log Analytics might incur additional charges for data storage. Per altre informazioni vedere la pagina dei prezzi.For more information, see the pricing page.

Per altre informazioni sugli account di log Analytics esistenti, vedere Customers log Analytics.For more information about existing log analytics accounts, see Existing log analytics customers.

Utilizzo di un'area di lavoro esistenteUsing an existing workspace

Se è già presente un'area di lavoro Log Analytics, è possibile usare la stessa area di lavoro.If you already have an existing Log Analytics workspace, you might want to use the same workspace.

Per usare l'area di lavoro Log Analytics esistente, è necessario disporre delle autorizzazioni di lettura e scrittura sull'area di lavoro.To use your existing Log Analytics workspace, you must have read and write permissions on the workspace.

Nota

Le soluzioni abilitate in questa area di lavoro verranno applicate alle macchine virtuali di Azure che sono ad essa connesse.Solutions enabled on the existing workspace will be applied to Azure VMs that are connected to it. Per le soluzioni a pagamento, ciò può comportare costi aggiuntivi.For paid solutions, this could result in additional charges. Per considerazioni sulla privacy dei dati, assicurarsi che l'area di lavoro selezionata si trovi nell'area geografica appropriata.For data privacy considerations, make sure your selected workspace is in the right geographic region. Per archiviare i dati in log Analytics potrebbero essere addebitati costi aggiuntivi per l'archiviazione dei dati.Storing data in log analytics might incur additional charges for data storage. Per altre informazioni vedere la pagina dei prezzi.For more information, see the pricing page.

Per selezionare l'area di lavoro Log Analytics esistente:To select an existing Log Analytics workspace:

  1. In Configurazione dell'area di lavoro predefinita selezionare Usa un'altra area di lavoro.Under Default workspace configuration, select Use another workspace.

    Selezionare un'area di lavoro esistente

  2. Nel menu a discesa selezionare un'area di lavoro dove archiviare i dati raccolti.From the pull-down menu, select a workspace to store collected data.

    Nota

    Nel menu a discesa sono disponibile tutte le aree di lavoro delle sottoscrizioni.In the pull down menu, all the workspaces across all of your subscriptions are available. Per altre informazioni, vedere Selezione di un'area di lavoro tra sottoscrizioni.See cross subscription workspace selection for more information. È necessario disporre dell'autorizzazione per accedere all'area di lavoro.You must have permission to access the workspace.

  3. Selezionare Salva.Select Save.

  4. Dopo aver selezionato Salva, verrà chiesto se si desidera riconfigurare le macchine virtuali monitorate che precedentemente erano connesse a un'area di lavoro predefinita.After selecting Save, you will be asked if you would like to reconfigure monitored VMs that were previously connected to a default workspace.

    • Selezionare No se si desidera che le nuove impostazioni dell'area di lavoro si applichino solo alle nuove macchine virtuali.Select No if you want the new workspace settings to apply on new VMs only. Le nuove impostazioni dell'area di lavoro si applicano solo alle nuove installazioni degli agenti. nuove macchine virtuali individuate in cui non è installato l'agente Log Analytics.The new workspace settings only apply to new agent installations; newly discovered VMs that do not have the Log Analytics Agent installed.
    • Selezionare se si desidera che le nuove impostazioni dell'area di lavoro si applichino a tutte le macchine virtuali.Select Yes if you want the new workspace settings to apply on all VMs. In aggiunta, ogni macchina virtuale connessa a un'area di lavoro creata dal Centro sicurezza viene ricollegata alla nuova area di lavoro di destinazione.In addition, every VM connected to a Security Center created workspace is reconnected to the new target workspace.

    Nota

    Se si seleziona Sì, non è necessario eliminare le aree di lavoro create dal Centro sicurezza fino a quando tutte le macchine virtuali vengono ricollegate alla nuova area di lavoro di destinazione.If you select Yes, you must not delete the workspace(s) created by Security Center until all VMs have been reconnected to the new target workspace. Questa operazione non riesce se un'area di lavoro viene eliminata troppo presto.This operation fails if a workspace is deleted too early.

    • Selezionare Annulla per annullare l'operazione.Select Cancel to cancel the operation.

      Selezionare un'area di lavoro esistente

  5. Selezionare il piano tariffario per l'area di lavoro desiderata per cui si intende impostare l'agente Log Analytics.Select the pricing tier for the desired workspace you intend to set the Log Analytics Agent.
    Per usare un'area di lavoro esistente, impostare il piano tariffario per l'area di lavoro.To use an existing workspace, set the pricing tier for the workspace. Verrà installata nell'area di lavoro una soluzione del Centro sicurezza, se non ne è già presente una.This will install a security Center solution on the workspace if one is not already present.

    a.a. Nel menu principale del Centro sicurezza selezionare prezzi & impostazioni.In the Security Center main menu, select Pricing & settings.

    b.b. Selezionare l'area di lavoro desiderata a cui si intende connettere l'agente.Select the desired Workspace in which you intend to connect the agent. Selezionare un'area di lavoro c.Select workspace c. Impostare il piano tariffario.Set the pricing tier. Selezionare un piano tariffarioSelect pricing tier

    Nota

    Se l'area di lavoro dispone già di una soluzione Security o SecurityCenterFree abilitata, il piano tariffario verrà impostato automaticamente.If the workspace already has a Security or SecurityCenterFree solution enabled, the pricing will be set automatically.

Selezione di un'area di lavoro tra sottoscrizioniCross-subscription workspace selection

Quando si seleziona un'area di lavoro in cui archiviare i dati, sono disponibili tutte le aree di lavoro di tutte le sottoscrizioni.When you select a workspace in which to store your data, all the workspaces across all your subscriptions are available. La selezione di un'area di lavoro tra sottoscrizioni consente di raccogliere i dati da macchine virtuali in esecuzione in sottoscrizioni diverse e di archiviarli nell'area di lavoro scelta.Cross-subscription workspace selection allows you to collect data from virtual machines running in different subscriptions and store it in the workspace of your choice. Questa selezione è utile se si usa un'area di lavoro centralizzata all'interno dell'organizzazione e si vuole usarla per la raccolta di dati sulla sicurezza.This selection is useful if you are using a centralized workspace in your organization and want to use it for security data collection. Per altre informazioni su come gestire le aree di lavoro, vedere Gestire l'accesso alle aree di lavoro.For more information on how to manage workspaces, see Manage workspace access.

Livello della raccolta datiData collection tier

La selezione di un livello di raccolta dati nel Centro sicurezza di Azure avrà effetto soltanto sull'archiviazione degli eventi di sicurezza nell'area di lavoro Log Analytics.Selecting a data collection tier in Azure Security Center will only affect the storage of security events in your Log Analytics workspace. L'agente di Log Analytics continuerà a raccogliere e analizzare gli eventi di sicurezza necessari per il rilevamento delle minacce del Centro sicurezza di Azure, indipendentemente dal livello di eventi di sicurezza che si sceglie di archiviare nell'area di lavoro Log Analytics (se presente).The Log Analytics agent will still collect and analyze the security events required for Azure Security Center’s threat detections, regardless of which tier of security events you choose to store in your Log Analytics workspace (if any). La scelta di archiviare gli eventi di sicurezza nell'area di lavoro consentirà l'esecuzione di operazioni di analisi, ricerca e controllo di tali eventi nell'area di lavoro.Choosing to store security events in your workspace will enable investigation, search, and auditing of those events in your workspace.

Nota

Per archiviare i dati in log Analytics potrebbero essere addebitati costi aggiuntivi per l'archiviazione dei dati.Storing data in log analytics might incur additional charges for data storage. Per altre informazioni vedere la pagina dei prezzi.For more information, see the pricing page.

È possibile scegliere i criteri di filtro adatti alle sottoscrizioni e alle aree di lavoro da quattro set di eventi da archiviare nell'area di lavoro:You can choose the right filtering policy for your subscriptions and workspaces from four sets of events to be stored in your workspace:

  • Nessuno: disabilita l'archiviazione degli eventi di sicurezza.None – Disable security event storage. Questa è l'impostazione predefinita.This is the default setting.
  • Minimi: un insieme più piccolo di eventi per i clienti che desiderano ridurre al minimo il volume di eventi.Minimal – A smaller set of events for customers who want to minimize the event volume.
  • Comuni: si tratta di un insieme di eventi che soddisfa la maggior parte dei clienti e consente loro di avere un audit trail completo.Common – This is a set of events that satisfies most customers and allows them a full audit trail.
  • Tutti gli eventi: per i clienti che vogliono assicurarsi che tutti gli eventi vengano archiviati.All events – For customers who want to make sure all events are stored.

Nota

Questi set di eventi di sicurezza sono disponibili solo nel livello Standard del Centro sicurezza.These security events sets are available only on Security Center’s Standard tier. Per altre informazioni sui piani tariffari di Centro sicurezza, vedere Prezzi.See Pricing to learn more about Security Center's pricing tiers. Questi insiemi sono stati progettati per soddisfare gli scenari tipici.These sets were designed to address typical scenarios. Assicurarsi di valutare quale di questi si adatti alle proprie esigenze prima di implementarlo.Make sure to evaluate which one fits your needs before implementing it.

Per determinare gli eventi che apparterranno all'insieme di eventi Comuni e Minimi abbiamo collaborato con i clienti e usato gli standard del settore per conoscere la frequenza non filtrata di ogni evento e il loro uso.To determine the events that will belong to the Common and Minimal event sets, we worked with customers and industry standards to learn about the unfiltered frequency of each event and their usage. In questo processo sono state usate le linee guida seguenti:We used the following guidelines in this process:

  • Minimi: assicurarsi che questo insieme includa solo gli eventi che potrebbero indicare una violazione riuscita ed eventi importanti con un volume molto basso.Minimal - Make sure that this set covers only events that might indicate a successful breach and important events that have a very low volume. Questo set, ad esempio, contiene l'account di accesso con esito positivo e negativo (ID evento 4624, 4625), ma non contiene la disconnessione, che è importante per il controllo, ma non significative per il rilevamento e ha un volume relativamente elevato.For example, this set contains user successful and failed login (event IDs 4624, 4625), but it doesn’t contain sign out which is important for auditing but not meaningful for detection and has relatively high volume. La maggior parte del volume di dati di questo insieme è composto da eventi di accesso e da eventi di creazione del processo (ID evento 4688).Most of the data volume of this set is the login events and process creation event (event ID 4688).
  • Comuni: fornire un audit trail completo degli utenti in questo insieme.Common - Provide a full user audit trail in this set. Questo set, ad esempio, contiene sia gli account di accesso utente che i disconnessione utente (ID evento 4634).For example, this set contains both user logins and user sign outs (event ID 4634). Sono incluse azioni di controllo quali modifiche al gruppo di sicurezza, operazioni Kerberos del controller del dominio principale e altri eventi consigliati dalle organizzazioni del settore.We include auditing actions like security group changes, key domain controller Kerberos operations, and other events that are recommended by industry organizations.

Gli eventi che hanno un volume molto basso sono stati inclusi nell'insieme Comuni. Questo insieme è stato scelto perché l'obiettivo è quello di ridurre il volume, non di filtrare eventi specifici.Events that have very low volume were included in the Common set as the main motivation to choose it over all the events is to reduce the volume and not to filter out specific events.

Di seguito è riportata una suddivisione completa degli ID di eventi di sicurezza e App Locker per ogni insieme:Here is a complete breakdown of the Security and App Locker event IDs for each set:

Livello datiData tier Indicatori di eventi raccoltiCollected event indicators
MinimeMinimal 1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,
4756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,82224756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,8222
ComuneCommon 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622,1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,4622,
4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,
4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,
4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,
4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,
4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,
6273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,300046273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,30004

Nota

  • Se si usa l'oggetto Criteri di gruppo, è consigliabile abilitare i criteri di controllo della creazione del processo dell'evento 4688 e il campo CommandLine all'interno dell'evento 4688.If you are using Group Policy Object (GPO), it is recommended that you enable audit policies Process Creation Event 4688 and the CommandLine field inside event 4688. Per altre informazioni sulla creazione del processo dell'evento 4688, vedere le domande frequenti del Centro sicurezza.For more information about Process Creation Event 4688, see Security Center's FAQ. Per altre informazioni su questi criteri di controllo, vedere Suggerimenti per i criteri di controllo.For more information about these audit policies, see Audit Policy Recommendations.
  • Per abilitare la raccolta dei dati per i controlli applicazione adattivi, Centro sicurezza consente di configurare criteri AppLocker locali in modalità di controllo per consentire tutte le applicazioni.To enable data collection for Adaptive Application Controls, Security Center configures a local AppLocker policy in Audit mode to allow all applications. In questo modo AppLocker genererà eventi che vengono poi raccolti e sfruttati dal Centro sicurezza.This will cause AppLocker to generate events which are then collected and leveraged by Security Center. È importante notare che questi criteri non saranno configurati nei computer in cui è già configurato un criterio AppLocker.It is important to note that this policy will not be configured on any machines on which there is already a configured AppLocker policy.
  • Per raccogliere l'ID evento 5156 della piattaforma filtri Windows, è necessario abilitare Controlla Connessione a Piattaforma filtro Windows (Auditpol /set /subcategory:"Connessione a Piattaforma filtro" /Success:Enable)To collect Windows Filtering Platform Event ID 5156, you need to enable Audit Filtering Platform Connection (Auditpol /set /subcategory:"Filtering Platform Connection" /Success:Enable)

Per scegliere i criteri di filtraggio:To choose your filtering policy:

  1. Nella pagina raccolta dati selezionare i criteri di filtro in eventi di sicurezza.On the Data Collection page, select your filtering policy under Security Events.

  2. Selezionare Salva.Select Save.

    Scegliere i criteri di filtraggio

Provisioning automatico nei casi di installazione di un agente preesistenteAutomatic provisioning in cases of a pre-existing agent installation

I casi d'uso seguenti specificano il funzionamento del provisioning automatico nei casi in cui sia già installato un agente o un'estensione.The following use cases specify how automatic provision works in cases when there is already an agent or extension installed.

  • Log Analytics Agent è installato nel computer, ma non come estensione (agente diretto)Log Analytics Agent is installed on the machine, but not as an extension (Direct agent)
    Se l'agente di Log Analytics viene installato direttamente nella macchina virtuale (non come estensione di Azure), il Centro sicurezza installerà l'estensione agente Log Analytics e potrà aggiornare l'agente Log Analytics alla versione più recente.If the Log Analytics Agent is installed directly on the VM (not as an Azure extension), Security Center will install the Log Analytics Agent extension, and may upgrade the Log Analytics Agent to the latest version. L'agente installato continuerà a segnalare le aree di lavoro già configurate e verrà inoltre segnalato all'area di lavoro configurata nel centro sicurezza (il multihoming è supportato nei computer Windows).The agent installed will continue to report to its already configured workspace(s), and additionally will report to the workspace configured in Security Center (Multi-homing is supported on Windows machines). Se l'area di lavoro configurata è un'area di lavoro dell'utente (non l'area di lavoro predefinita del Centro sicurezza), sarà necessario installare la soluzione "Security/" securityFree "per il Centro sicurezza per avviare l'elaborazione degli eventi dalle macchine virtuali e dai computer che inviano report a tale area di lavoro.If the configured workspace is a user workspace (not Security Center's default workspace), then you will need to install the "security/"securityFree" solution on it for Security Center to start processing events from VMs and computers reporting to that workspace.

    Per i computer Linux, il multihosting di Agent non è ancora supportato. di conseguenza, se viene rilevata un'installazione di un agente esistente, il provisioning automatico non verrà eseguito e la configurazione del computer non verrà modificata.For Linux machines, Agent multi-homing is not yet supported - hence, if an existing agent installation is detected, automatic provisioning will not occur and the machine's configuration will not be altered.
    Per i computer esistenti nelle sottoscrizioni caricate nel centro sicurezza prima del 2019-03-17, quando viene rilevato un agente esistente, l'estensione dell'agente Log Analytics non verrà installata e il computer non sarà interessato.For existing machines on subscriptions onboarded to Security Center before 2019-03-17, when an existing agent will be detected, the Log Analytics Agent extension will not be installed and the machine will not be affected. Per questi computer, vedere la raccomandazione "risolvere i problemi di integrità dell'agente di monitoraggio nei computer" per risolvere i problemi di installazione dell'agente in questi computer.For these machines, see to the "Resolve monitoring agent health issues on your machines" recommendation to resolve the agent installation issues on these machines.

  • System Center Operations Manager agente è installato nel computerSystem Center Operations Manager agent is installed on the machine
    Il Centro sicurezza installerà l'estensione dell'agente Log Analytics affiancata al Operations Manager esistente.Security center will install the Log Analytics Agent extension side-by-side to the existing Operations Manager. L'agente di Operations Manager esistente continuerà a segnalare normalmente il server Operations Manager.The existing Operations Manager agent will continue to report to the Operations Manager server normally. Si noti che l'agente di Operations Manager e l'agente di Log Analytics condividono librerie di runtime comuni, che verranno aggiornate alla versione più recente durante questo processo.Note that the Operations Manager agent and Log Analytics Agent share common run-time libraries, which will be updated to the latest version during this process. Nota: se è installato Operations Manager agente versione 2012, non attivare il provisioning automatico.Note - If Operations Manager agent version 2012 is installed, do not turn automatic provisioning On.

  • È presente un'estensione di macchina virtuale preesistenteA pre-existing VM extension is present

    • Quando l'agente di monitoraggio viene installato come estensione, la configurazione dell'estensione consente la segnalazione solo a una singola area di lavoro.When the Monitoring Agent is installed as an extension, the extension configuration allows reporting to only a single workspace. Il Centro sicurezza non esegue l'override delle connessioni esistenti alle aree di lavoro degli utenti.Security Center does not override existing connections to user workspaces. Il Centro sicurezza archivia i dati di sicurezza dalla macchina virtuale nell'area di lavoro già connessa, a condizione che sia stata installata la soluzione "Security" o "securityFree".Security Center will store security data from the VM in the workspace already connected, provided that the "security" or "securityFree" solution has been installed on it. Il Centro sicurezza può aggiornare la versione dell'estensione alla versione più recente in questo processo.Security Center may upgrade the extension version to the latest version in this process.
    • Per vedere a quale area di lavoro l'estensione esistente invia i dati, eseguire il test per convalidare la connettività con il Centro sicurezza di Azure.To see to which workspace the existing extension is sending data to, run the test to Validate connectivity with Azure Security Center. In alternativa, è possibile aprire Log Analytics aree di lavoro, selezionare un'area di lavoro, selezionare la VM ed esaminare la connessione Log Analytics Agent.Alternatively, you can open Log Analytics workspaces, select a workspace, select the VM, and look at the Log Analytics agent connection.
    • Se si dispone di un ambiente in cui l'agente di Log Analytics è installato nelle workstation client e la creazione di report in un'area di lavoro Log Analytics esistente, esaminare l'elenco dei sistemi operativi supportati dal centro sicurezza di Azure per assicurarsi che il sistema operativo sia supportato.If you have an environment where the Log Analytics agent is installed on client workstations and reporting to an existing Log Analytics workspace, review the list of operating systems supported by Azure Security Center to make sure your operating system is supported. Per altre informazioni, vedere clienti di log Analytics esistenti.For more information, see Existing log analytics customers.

Disattivare il provisioning automaticoTurn off automatic provisioning

È possibile disattivare il provisioning automatico dalle risorse in qualsiasi momento disattivando questa impostazione nei criteri di sicurezza.You can turn off automatic provisioning from resources at any time by turning off this setting in the security policy.

  1. Tornare al menu principale del Centro sicurezza e selezionare Criteri di sicurezza.Return to the Security Center main menu and select the Security policy.

  2. Fare clic su Modifica impostazioni nella riga della sottoscrizione per la quale si desidera disabilitare il provisioning automatico.Click Edit settings in the row of the subscription for which you want to disable automatic provisioning.

  3. Nel pannello Criteri di sicurezza - Raccolta di dati, in Provisioning automatico selezionare Disattivato.On the Security policy – Data Collection blade, under Auto provisioning select Off.

  4. Selezionare Salva.Select Save.

    Disabilitare il provisioning automatico

Quando il provisioning automatico è disabilitato (disattivato), la sezione di configurazione dell'area di lavoro predefinita non viene visualizzata.When auto provisioning is disabled (turned off), the default workspace configuration section is not displayed.

Se si disattiva il provisioning automatico precedentemente attivato:If you switch off auto provision after it was previously on:

  • Non verrà eseguito il provisioning degli agenti nelle nuove macchine virtuali.Agents will not be provisioned on new VMs.
  • Il Centro sicurezza interromperà la raccolta dei dati dall'area di lavoro predefinita.Security Center stops collecting data from the default workspace.

Nota

La disabilitazione del provisioning automatico non comporta la rimozione dell'agente di Log Analytics dalle macchine virtuali di Azure in cui è stato effettuato il provisioning dell'agente.Disabling automatic provisioning does not remove the Log Analytics Agent from Azure VMs where the agent was provisioned. Per informazioni sulla rimozione dell'estensione OMS, vedere How do I remove OMS extensions installed by Security Center (Come si rimuovono le estensioni OMS installate dal Centro sicurezza).For information on removing the OMS extension, see How do I remove OMS extensions installed by Security Center.

Provisioning manuale dell'agente Manual agent provisioning

Esistono diversi modi per installare manualmente l'agente di Log Analytics.There are several ways to install the Log Analytics Agent manually. Quando si esegue l'installazione manualmente, assicurarsi di disabilitare il provisioning automatico.When installing manually, make sure you disable auto provisioning.

Distribuzione di un'estensione di VM Operations Management SuiteOperations Management Suite VM extension deployment

È possibile installare manualmente l'agente di Log Analytics, in modo che il Centro sicurezza possa raccogliere i dati di sicurezza dalle macchine virtuali e fornire consigli e avvisi.You can manually install the Log Analytics Agent, so Security Center can collect security data from your VMs and provide recommendations and alerts.

  1. Selezionare Provisioning automatico: Disattivato.Select Auto provision – OFF.

  2. Creare un'area di lavoro e impostare il piano tariffario per l'area di lavoro in cui si intende impostare l'agente di Log Analytics:Create a workspace and set the pricing tier for the workspace you intend to set the Log Analytics Agent:

    a.a. Nel menu principale del Centro sicurezza selezionare Criteri di sicurezza.In the Security Center main menu, select Security policy.

    b.b. Selezionare l'area di lavoro a cui si intende connettere l'agente.Select the Workspace in which you intend to connect the agent. Assicurarsi che l'area di lavoro si trovi nella stessa sottoscrizione che si usa nel Centro sicurezza e di disporre delle autorizzazioni di lettura/scrittura nell'area di lavoro.Make sure the workspace is in the same subscription you use in Security Center and that you have read/write permissions on the workspace. Selezionare l'area di lavoroSelect workspace

  3. Impostare il piano tariffario.Set the pricing tier. Selezionare un piano tariffarioSelect pricing tier

    Nota

    Se l'area di lavoro dispone già di una soluzione Security o SecurityCenterFree abilitata, il piano tariffario verrà impostato automaticamente.If the workspace already has a Security or SecurityCenterFree solution enabled, the pricing will be set automatically.

  4. Se si desidera distribuire gli agenti in nuove macchine virtuali usando un modello di Resource Manager, installare l'estensione di macchina virtuale OMS:If you want to deploy the agents on new VMs using a Resource Manager template, install the OMS virtual machine extension:

    a.a. Installare l'estensione di macchina virtuale OMS per WindowsInstall the OMS virtual machine extension for Windows

    b.b. Installare l'estensione di macchina virtuale OMS per LinuxInstall the OMS virtual machine extension for Linux

  5. Per distribuire le estensioni in macchine virtuali esistenti, seguire le istruzioni riportate in Raccogliere dati sulle macchine virtuali di Azure.To deploy the extensions on existing VMs, follow the instructions in Collect data about Azure Virtual Machines.

    Nota

    La sezione Raccogliere dati su eventi e prestazioni è facoltativa.The section Collect event and performance data is optional.

  6. Per distribuire l'estensione con PowerShell, usare l'esempio di PowerShell seguente:To use PowerShell to deploy the extension, use the following PowerShell example:

    Nota

    Questo articolo è stato aggiornato per usare il nuovo modulo Az di Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. È comunque possibile usare il modulo AzureRM, che continuerà a ricevere correzioni di bug almeno fino a dicembre 2020.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Per altre informazioni sul nuovo modulo Az e sulla compatibilità di AzureRM, vedere Introduzione del nuovo modulo Az di Azure PowerShell.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Per istruzioni sull'installazione del modulo Az, vedere Installare Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

    1. Passare a Log Analytics e fare clic su Impostazioni avanzate.Go to Log Analytics and click on Advanced settings.

      Impostare Log Analytics

    2. Copiare i valori da WorkspaceID e chiave primaria.Copy the values out of WorkspaceID and Primary key.

      Copiare i valori

    3. Compilare la configurazione pubblica e la configurazione privata con questi valori:Populate the public config and the private config with these values:

       $PublicConf = @{
           "workspaceId"= "<WorkspaceID value>"
       }
      
       $PrivateConf = @{
           "workspaceKey"= "<Primary key value>"
       }
      
      • Durante l'installazione in una macchina virtuale Windows:When installing on a Windows VM:

        Set-AzVMExtension -ResourceGroupName $vm.ResourceGroupName -VMName $vm.Name -Name "MicrosoftMonitoringAgent" -Publisher "Microsoft.EnterpriseCloud.Monitoring" -ExtensionType "MicrosoftMonitoringAgent" -TypeHandlerVersion '1.0' -Location $vm.Location -Settingstring $PublicConf -ProtectedSettingString $PrivateConf -ForceRerun True 
        
      • Durante l'installazione in una macchina virtuale Linux:When installing on a Linux VM:

        Set-AzVMExtension -ResourceGroupName $vm1.ResourceGroupName -VMName $vm1.Name -Name "OmsAgentForLinux" -Publisher "Microsoft.EnterpriseCloud.Monitoring" -ExtensionType "OmsAgentForLinux" -TypeHandlerVersion '1.0' -Location $vm.Location -Settingstring $PublicConf -ProtectedSettingString $PrivateConf -ForceRerun True`
        

Nota

Per istruzioni su come caricare il Centro sicurezza usando PowerShell, vedere Automate onboarding of Azure Security Center using PowerShell (Automatizzare l'onboarding del Centro sicurezza di Azure usando PowerShell).For instructions on how to onboard Security Center using PowerShell, see Automate onboarding of Azure Security Center using PowerShell.

risoluzione dei problemiTroubleshooting

Passaggi successiviNext steps

In questo articolo è stato illustrato il funzionamento della raccolta dati e del provisioning automatico nel Centro sicurezza.This article showed you how data collection and automatic provisioning in Security Center works. Per altre informazioni sul Centro sicurezza, vedere gli argomenti seguenti:To learn more about Security Center, see the following: