Guida alla risoluzione dei problemi del Centro sicurezza di Azure

Questa guida è destinata a professionisti IT, analisti della sicurezza delle informazioni e amministratori cloud le cui organizzazioni usano il Centro sicurezza di Azure e devono risolvere i problemi correlati.

Nota

A partire dall'inizio di giugno 2017, il Centro sicurezza usa Microsoft Monitoring Agent per raccogliere e archiviare i dati. Per altre informazioni, vedere Migrazione della piattaforma del Centro sicurezza di Azure. Le informazioni contenute in questo articolo si riferiscono alle funzionalità del Centro sicurezza dopo la transizione a Microsoft Monitoring Agent.

Guida per la risoluzione dei problemi

Questa guida illustra come risolvere i problemi correlati al Centro sicurezza. La maggior parte delle attività di risoluzione dei problemi nel Centro sicurezza di Azure viene eseguita osservando prima di tutto i record del log di controllo del componente in cui si è verificato il problema. Tramite i log di controllo, è possibile determinare:

  • Quali operazioni sono state eseguite.
  • Chi ha avviato l'operazione.
  • Quando si è verificata l'operazione.
  • Lo stato dell'operazione.
  • I valori di altre proprietà che possono essere utili per ricerche sull'operazione.

Il log di controllo contiene tutte le operazioni di scrittura (PUT, POST, DELETE) eseguite sulle risorse, ma non include quelle di lettura (GET).

Microsoft Monitoring Agent

Il Centro sicurezza usa Microsoft Monitoring Agent, lo stesso agente usato da Operations Management Suite e dal servizio Log Analytics, per raccogliere dati di protezione dalle macchine virtuali di Azure. Dopo avere abilitato la raccolta dei dati e installato correttamente l'agente nel computer di destinazione, sarà in esecuzione il processo seguente:

  • HealthService.exe

Se si apre la console di gestione dei servizi (services.msc), verrà visualizzato anche il servizio Microsoft Monitoring Agent in esecuzione come illustrato di seguito:

Services

Per visualizzare la versione dell'agente di cui si dispone, aprire Gestione attività, nella scheda Processi individuare il Servizio Microsoft Monitoring Agent, fare doppio clic su di esso e fare clic su Proprietà. Nella scheda Dettagli cercare la versione del file, come illustrato di seguito:

File

Scenari di installazione di Microsoft Monitoring Agent

Esistono due scenari di installazione che possono produrre risultati diversi quando si installa Microsoft Monitoring Agent nel computer in uso. Gli scenari supportati sono:

  • Agente installato automaticamente tramite il Centro sicurezza: in questo scenario sarà possibile visualizzare gli avvisi sia con il Centro sicurezza che tramite la ricerca log. Si riceveranno notifiche tramite posta elettronica all'indirizzo e-mail configurato nei criteri di sicurezza per la sottoscrizione a cui appartiene la risorsa. .
  • Agente installato manualmente in una macchina virtuale situata in Azure: in questo scenario, se si usano agenti scaricati e installati manualmente prima di febbraio 2017, sarà possibile visualizzare gli avvisi nel portale del Centro sicurezza solo se si filtra in base alla sottoscrizione a cui appartiene l'area di lavoro. Nel caso in cui si filtri in base alla sottoscrizione a cui che appartiene la risorsa, non sarà possibile visualizzare gli avvisi. Si riceveranno notifiche tramite posta elettronica all'indirizzo e-mail configurato nei criteri di sicurezza per la sottoscrizione a cui appartiene l'area di lavoro.

Nota

Per evitare il comportamento descritto nel secondo caso, assicurarsi di scaricare la versione più recente dell'agente.

Risoluzione dei problemi di rete di Microsoft Monitoring Agent

Per far sì che gli agenti si connettano e si registrino con il Centro sicurezza, devono avere accesso alle risorse di rete, compresi gli URL di dominio e i numeri di porta.

  • Per i server proxy, è necessario assicurarsi che le risorse del server proxy appropriate siano configurate nelle impostazioni dell'agente. Leggere questo articolo per altre informazioni su come modificare le impostazioni del proxy.
  • Per i firewall che limitano l'accesso a Internet, è necessario configurare il firewall per consentire l'accesso a OMS. Non è necessaria alcuna azione sulle impostazioni dell'agente.

Nella tabella seguente vengono visualizzate le risorse necessarie per la comunicazione.

Risorsa agente Porte Ignorare l'analisi HTTPS
*.ods.opinsights.azure.com 443
*.oms.opinsights.azure.com 443
*.blob.core.windows.net 443
*.azure-automation.net 443

Se si verificano problemi di caricamento con l'agente, assicurarsi di leggere l'articolo Risoluzione dei problemi di integrazione di Operations Management Suite.

Risoluzione dei problemi relativi al mancato funzionamento della protezione degli endpoint

L'agente guest è il processo padre di tutte le operazioni eseguite dall'estensione Microsoft Antimalware. Quando il processo dell'agente guest non riesce, anche Microsoft Antimalware che viene eseguito come processo figlio dell'agente guest potrebbe non riuscire. In scenari come questi è consigliabile verificare le opzioni seguenti:

  • Che la macchina virtuale di destinazione sia un'immagine personalizzata e che l'autore della macchina virtuale non abbia mai installato l'agente guest.
  • Che la destinazione sia una VM di Linux e non una VM di Windows per cui l'installazione della versione di Windows dell'estensione antimalware su una VM Linux avrebbe esito negativo. L'agente guest Linux presenta requisiti specifici per quanto riguarda la versione del sistema operativo e i pacchetti necessari e se questi requisiti non vengono soddisfatti l'agente della VM non funzionerà.
  • Che la VM sia stata creata con una versione precedente dell'agente guest. In questo caso è necessario tenere presente che alcuni agenti precedenti potrebbero non aggiornarsi automaticamente alla versione più recente e questo potrebbe causare il problema. Usare sempre la versione più recente dell'agente guest quando si creano le immagini personali.
  • Alcuni software di amministrazione di terze parti possono disabilitare l'agente guest o bloccare l'accesso a determinati percorsi di file. Se sulla VM sono installati software terzi, assicurarsi che l'agente si trovi nell'elenco di esclusione.
  • Alcune impostazioni del firewall o il gruppo di sicurezza di rete (NSG) potrebbero bloccare il traffico di rete da e verso l'agente guest.
  • Determinati elenchi di controllo di accesso (ACL) potrebbero impedire l'accesso al disco.
  • La mancanza di spazio su disco può bloccare il corretto funzionamento dell'agente guest.

Per impostazione predefinita l'interfaccia utente di Microsoft Antimalware è disabilitata, leggere Enabling Microsoft Antimalware User Interface on Azure Resource Manager VMs Post Deployment (Abilitazione dell'interfaccia utente di Microsoft Antimalware in seguito alla distribuzione delle VM in Azure Resource Manager) per ulteriori informazioni su come abilitarla in caso di necessità.

Risoluzione dei problemi di caricamento del dashboard

In caso di problemi di caricamento del dashboard del Centro sicurezza, assicurarsi che l'utente che registra la sottoscrizione al Centro sicurezza, vale a dire il primo utente che apre il Centro sicurezza con la sottoscrizione, e l'utente che vuole abilitare la raccolta dei dati siano Proprietario o Collaboratore nella sottoscrizione. A partire da quel momento, anche gli utenti con il ruolo Lettore nella sottoscrizione possono visualizzare i dashboard, gli avvisi, le raccomandazioni e i criteri.

Contattare il supporto tecnico Microsoft

Alcuni problemi possono essere identificati usando le linee guida contenute in questo articolo, altri sono documentati nel forumpubblico del Centro sicurezza. Tuttavia, se è necessario un altro tipo di risoluzione dei problemi, è possibile aprire una nuova richiesta di supporto tramite il portale di Azure, come illustrato di seguito:

Supporto tecnico Microsoft

Vedere anche

In questo documento è stato descritto come configurare i criteri di sicurezza nel Centro sicurezza di Azure. Per ulteriori informazioni sul Centro sicurezza di Azure, vedere gli argomenti seguenti: