Guida alla risoluzione dei problemi del Centro sicurezza di AzureAzure Security Center Troubleshooting Guide

Questa guida è destinata a professionisti IT, analisti della sicurezza delle informazioni e amministratori cloud le cui organizzazioni usano il Centro sicurezza di Azure e devono risolvere i problemi correlati.This guide is for information technology (IT) professionals, information security analysts, and cloud administrators whose organizations are using Azure Security Center and need to troubleshoot Security Center related issues.

Nota

A partire dall'inizio di giugno 2017, il Centro sicurezza usa Microsoft Monitoring Agent per raccogliere e archiviare i dati.Beginning in early June 2017, Security Center uses the Microsoft Monitoring Agent to collect and store data. Per altre informazioni, vedere Migrazione della piattaforma del Centro sicurezza di Azure.See Azure Security Center Platform Migration to learn more. Le informazioni contenute in questo articolo si riferiscono alle funzionalità del Centro sicurezza dopo la transizione a Microsoft Monitoring Agent.The information in this article represents Security Center functionality after transition to the Microsoft Monitoring Agent.

Guida per la risoluzione dei problemiTroubleshooting guide

Questa guida illustra come risolvere i problemi correlati al Centro sicurezza.This guide explains how to troubleshoot Security Center related issues. La maggior parte delle attività di risoluzione dei problemi nel Centro sicurezza di Azure viene eseguita osservando prima di tutto i record del log di controllo del componente in cui si è verificato il problema.Most of the troubleshooting done in Security Center takes place by first looking at the Audit Log records for the failed component. Tramite i log di controllo, è possibile determinare:Through audit logs, you can determine:

  • Quali operazioni sono state eseguite.Which operations were taken place
  • Chi ha avviato l'operazione.Who initiated the operation
  • Quando si è verificata l'operazione.When the operation occurred
  • Lo stato dell'operazione.The status of the operation
  • I valori di altre proprietà che possono essere utili per ricerche sull'operazione.The values of other properties that might help you research the operation

Il log di controllo contiene tutte le operazioni di scrittura (PUT, POST, DELETE) eseguite sulle risorse, ma non include quelle di lettura (GET).The audit log contains all write operations (PUT, POST, DELETE) performed on your resources, however it does not include read operations (GET).

Microsoft Monitoring AgentMicrosoft Monitoring Agent

Il Centro sicurezza usa Microsoft Monitoring Agent, lo stesso agente usato dal servizio Log Analytics, per raccogliere dati sulla sicurezza dalle macchine virtuali di Azure.Security Center uses the Microsoft Monitoring Agent – this is the same agent used by the Log Analytics service – to collect security data from your Azure virtual machines. Dopo avere abilitato la raccolta dei dati e installato correttamente l'agente nel computer di destinazione, sarà in esecuzione il processo seguente:After data collection is enabled and the agent is correctly installed in the target machine, the process below should be in execution:

  • HealthService.exeHealthService.exe

Se si apre la console di gestione dei servizi (services.msc), verrà visualizzato anche il servizio Microsoft Monitoring Agent in esecuzione come illustrato di seguito:If you open the services management console (services.msc), you will also see the Microsoft Monitoring Agent service running as shown below:

Services

Per visualizzare la versione dell'agente di cui si dispone, aprire Gestione attività, nella scheda Processi individuare il Servizio Microsoft Monitoring Agent, fare doppio clic su di esso e fare clic su Proprietà.To see which version of the agent you have, open Task Manager, in the Processes tab locate the Microsoft Monitoring Agent Service, right-click on it and click Properties. Nella scheda Dettagli cercare la versione del file, come illustrato di seguito:In the Details tab, look the file version as shown below:

File

Scenari di installazione di Microsoft Monitoring AgentMicrosoft Monitoring Agent installation scenarios

Esistono due scenari di installazione che possono produrre risultati diversi quando si installa Microsoft Monitoring Agent nel computer in uso.There are two installation scenarios that can produce different results when installing the Microsoft Monitoring Agent on your computer. Gli scenari supportati sono:The supported scenarios are:

  • Agente installato automaticamente tramite il Centro sicurezza: in questo scenario sarà possibile visualizzare gli avvisi sia con il Centro sicurezza che tramite la ricerca log.Agent installed automatically by Security Center: in this scenario you will be able to view the alerts in both locations, Security Center and Log search. Si riceveranno notifiche tramite posta elettronica all'indirizzo e-mail configurato nei criteri di sicurezza per la sottoscrizione a cui appartiene la risorsa.You will receive e-mail notifications to the email address that was configured in the security policy for the subscription the resource belongs to. ..
  • Agente installato manualmente in una macchina virtuale situata in Azure: in questo scenario, se si usano agenti scaricati e installati manualmente prima di febbraio 2017, sarà possibile visualizzare gli avvisi nel portale del Centro sicurezza solo se si filtra in base alla sottoscrizione a cui appartiene l'area di lavoro.Agent manually installed on a VM located in Azure: in this scenario, if you are using agents downloaded and installed manually prior to February 2017, you will be able to view the alerts in the Security Center portal only if you filter on the subscription the workspace belongs to. Nel caso in cui si filtri in base alla sottoscrizione a cui che appartiene la risorsa, non sarà possibile visualizzare gli avvisi.In case you filter on the subscription the resource belongs to, you won’t be able to see any alerts. Si riceveranno notifiche tramite posta elettronica all'indirizzo e-mail configurato nei criteri di sicurezza per la sottoscrizione a cui appartiene l'area di lavoro.You will receive e-mail notifications to the email address that was configured in the security policy for the subscription the workspace belongs to.

Nota

Per evitare il comportamento descritto nel secondo scenario, assicurarsi di scaricare la versione più recente dell'agente.To avoid the behavior explained in the second scenario, make sure you download the latest version of the agent.

Monitoring agent health issues (Problemi di integrità dell'agente di monitoraggio)Monitoring agent health issues

Stato di monitoraggio definisce il motivo per cui il Centro sicurezza non riesce a monitorare correttamente le VM e i computer inizializzati per il provisioning automatico.Monitoring state defines the reason Security Center is unable to successfully monitor VMs and computers initialized for automatic provisioning. La tabella seguente mostra i valori, le descrizioni e le procedure di risoluzione di Stato di monitoraggio.The following table shows the Monitoring state values, descriptions, and resolution steps.

Stato di monitoraggioMonitoring state DESCRIZIONEDescription Procedura per la risoluzioneResolution steps
Installazione dell'agente in sospesoPending agent installation L'installazione di Microsoft Monitoring Agent è ancora in esecuzione.The Microsoft Monitoring Agent installation is still running. L'installazione può richiedere alcune ore.Installation can take up to a few hours. Attendere il completamento dell'installazione automatica.Wait until automatic installation is complete.
Stato dell'alimentazione disattivatoPower state off La macchina virtuale è stata arrestata.The VM is stopped. Microsoft Monitoring Agent può essere installato solo su una VM in esecuzione.The Microsoft Monitoring Agent can only be installed on a VM that is running. Riavviare la VM.Restart the VM.
L'agente di macchine virtuali di Azure è mancante o non validoMissing or invalid Azure VM agent Microsoft Monitoring Agent non è stato ancora installato.The Microsoft Monitoring Agent is not installed yet. Un agente di macchine virtuali di Azure è necessario per l'installazione dell'estensione da parte del Centro sicurezza.For Security Center to install the extension a valid Azure VM agent is required. Installare, reinstallare o aggiornare l'agente di macchine virtuali di Azure sulla VM.Install, reinstall or upgrade the Azure VM agent on the VM.
Lo stato della VM non è pronto per l'installazioneVM state not ready for installation Microsoft Monitoring Agent non è ancora installato perché la VM non è pronta per l'installazione.The Microsoft Monitoring Agent is not installed yet because the VM is not ready for installation. La macchina virtuale non è pronta per l'installazione a causa di un problema con l'agente di macchine virtuali o con il provisioning della VM.The VM is not ready for installation due to a problem with the VM agent or VM provisioning. Controllare lo stato della VM.Check the status of your VM. Tornare a Macchine virtuali nel portale e selezionare la VM per ottenere informazioni sullo stato.Return to Virtual Machines in the portal and select the VM for status information.
L'installazione non è riuscita - Errore generaleInstallation failed - general error Microsoft Monitoring Agent è stato installato ma l'operazione non è riuscita a causa di un errore.The Microsoft Monitoring Agent was installed but failed due to an error. Installare manualmente l'estensione o disinstallare l'estensione in modo che il Centro sicurezza possa provare a reinstallarla.Manually install the extension or uninstall the extension so Security Center will try to install again.
L'installazione non è riuscita - L'agente locale è già installatoInstallation failed - local agent already installed Non è stato possibile installare Microsoft Monitoring Agent.Microsoft Monitoring Agent install failed. Il Centro sicurezza ha identificato un agente locale (OMS o SCOM) già installato nella VM.Security Center identified a local agent (OMS or SCOM) already installed on the VM. Per evitare una configurazione multihosting, in cui la VM invia report a due aree di lavoro separate, l'installazione di Microsoft Monitoring Agent è stata arrestata.To avoid multi-homing configuration, where the VM is reporting to two separate workspaces, the Microsoft Monitoring Agent installation stopped. È possibile risolvere il problema in due modi: installare manualmente l'estensione e connetterla all'area di lavoro specifica.There are two ways to resolve: manually install the extension and connect it to your desired workspace. In alternativa, configurare l'area di lavoro da usare come area di lavoro predefinita e abilitare il provisioning automatico dell'agente.Or, set your desired workspace as your default workspace and enable automatic provisioning of the agent. Vedere Abilitare il provisioning automatico.See enable automatic provisioning.
L'agente non riesce a connettersi all'area di lavoroAgent cannot connect to workspace Microsoft Monitoring Agent è stato installato ma l'operazione non è riuscita a causa di un errore di connettività di rete.Microsoft Monitoring Agent installed but failed due to network connectivity. Verificare che sia disponibile l'accesso a Internet o che un proxy HTTP corretto sia stato configurato per l'agente.Check that there is internet access or that a valid HTTP proxy has been configured for the agent. Vedere Requisiti di rete di Monitoring Agent.See monitoring agent network requirements.
L'agente è connesso a un'area di lavoro mancante o sconosciutaAgent connected to missing or unknown workspace Il Centro sicurezza ha rilevato che l'istanza di Microsoft Monitoring Agent installata nella macchina virtuale è connessa a un'area di lavoro a cui non riesce ad accedere.Security Center identified that the Microsoft Monitoring Agent installed on the VM is connected to a workspace which it doesn’t have access to. Questo problema può dipendere da due cause.This can happen in two cases. L'area di lavoro è stata eliminata e non esiste più.The workspace was deleted and no longer exists. Reinstallare l'agente con l'area di lavoro corretta o disinstallare l'agente e consentire al Centro sicurezza di completare l'installazione del provisioning automatico.Reinstall the agent with the correct workspace or uninstall the agent and allow Security Center to complete its automatic provisioning installation. In alternativa è possibile che l'area di lavoro sia parte di una sottoscrizione a cui il Centro sicurezza non è autorizzato ad accedere.The second case is where the workspace is part of a subscription that Security Center does not have permissions to. Il Centro sicurezza necessita che le sottoscrizioni consentano l'accesso al provider di risorse per la sicurezza Microsoft.Security Center requires subscriptions to allow the Microsoft Security Resource Provider to access them. Per abilitare l'accesso, registrare la sottoscrizione nel provider di risorse per la sicurezza Microsoft.To enable, register the subscription to the Microsoft Security Resource Provider. È possibile eseguire questa operazione tramite API, PowerShell, portale o semplicemente filtrando la sottoscrizione nel dashboard Panoramica del Centro sicurezza.This can be done by API, PowerShell, portal or by simply filtering on the subscription in the Security Center Overview dashboard. Per altre informazioni, vedere Provider e tipi di risorse.See Resource providers and types for more information.
L'agente non risponde o l'ID è mancanteAgent not responsive or missing ID Il Centro sicurezza non riesce a recuperare i dati di sicurezza analizzati dalla macchina virtuale, anche se l'agente è installato.Security Center is unable to retrieve security data scanned from the VM, even though the agent is installed. L'agente non segnala alcun dato, incluso l'heartbeat.The agent is not reporting any data, including heartbeat. È possibile che l'agente sia danneggiato o che il traffico sia bloccato.The agent might be damaged or something is blocking traffic. È anche possibile che l'agente segnali i dati ma sia privo di un ID risorsa di Azure, quindi non è possibile associare i dati alla macchina virtuale di Azure.Or, the agent is reporting data but is missing an Azure resource ID so it’s impossible to match the data to the Azure VM. Per risolvere i problemi relativi a Linux, vedere Troubleshooting Guide for OMS Agent for Linux (Guida alla risoluzione dei problemi per l'agente di OMS per Linux).To troubleshoot Linux, see Troubleshooting Guide for OMS Agent for Linux. Per risolvere i problemi relativi a Windows, vedereTroubleshooting Windows Virtual Machines (Risoluzione dei problemi delle macchine virtuali Windows).To troubleshoot Windows, see Troubleshooting Windows Virtual Machines.
Agente non installatoAgent not installed La raccolta di dati è disabilitata.Data collection is disabled. Attivare la raccolta di dati nel criterio di sicurezza o installare manualmente Microsoft Monitoring Agent.Turn on data collection in the security policy or manually install the Microsoft Monitoring Agent.

Risoluzione dei problemi di rete di Microsoft Monitoring AgentTroubleshooting monitoring agent network requirements

Per far sì che gli agenti si connettano e si registrino con il Centro sicurezza, devono avere accesso alle risorse di rete, compresi gli URL di dominio e i numeri di porta.For agents to connect to and register with Security Center, they must have access to network resources, including the port numbers and domain URLs.

  • Per i server proxy, è necessario assicurarsi che le risorse del server proxy appropriate siano configurate nelle impostazioni dell'agente.For proxy servers, you need to ensure that the appropriate proxy server resources are configured in agent settings. Leggere questo articolo per altre informazioni su come modificare le impostazioni del proxy.Read this article for more information on how to change the proxy settings.
  • Per i firewall che limitano l'accesso a Internet, è necessario configurare il firewall per consentire l'accesso a Log Analytics.For firewalls that restrict access to the Internet, you need to configure your firewall to permit access to Log Analytics. Non è necessaria alcuna azione sulle impostazioni dell'agente.No action is needed in agent settings.

Nella tabella seguente vengono visualizzate le risorse necessarie per la comunicazione.The following table shows resources needed for communication.

Risorsa agenteAgent Resource PortePorts Ignorare l'analisi HTTPSBypass HTTPS inspection
*.ods.opinsights.azure.com*.ods.opinsights.azure.com 443443 Yes
*.oms.opinsights.azure.com*.oms.opinsights.azure.com 443443 Yes
*.blob.core.windows.net*.blob.core.windows.net 443443 Yes
*.azure-automation.net*.azure-automation.net 443443 Yes

Se si verificano problemi di caricamento con l'agente, assicurarsi di leggere l'articolo Risoluzione dei problemi di integrazione di Operations Management Suite.If you encounter onboarding issues with the agent, make sure to read the article How to troubleshoot Operations Management Suite onboarding issues.

Risoluzione dei problemi relativi al mancato funzionamento della protezione degli endpointTroubleshooting endpoint protection not working properly

L'agente guest è il processo padre di tutte le operazioni eseguite dall'estensione Microsoft Antimalware.The guest agent is the parent process of everything the Microsoft Antimalware extension does. Quando il processo dell'agente guest non riesce, anche Microsoft Antimalware che viene eseguito come processo figlio dell'agente guest potrebbe non riuscire.When the guest agent process fails, the Microsoft Antimalware that runs as a child process of the guest agent may also fail. In scenari come questi è consigliabile verificare le opzioni seguenti:In scenarios like that is recommended to verify the following options:

  • Che la macchina virtuale di destinazione sia un'immagine personalizzata e che l'autore della macchina virtuale non abbia mai installato l'agente guest.If the target VM is a custom image and the creator of the VM never installed guest agent.
  • Che la destinazione sia una VM di Linux e non una VM di Windows per cui l'installazione della versione di Windows dell'estensione antimalware su una VM Linux avrebbe esito negativo.If the target is a Linux VM instead of a Windows VM then installing the Windows version of the antimalware extension on a Linux VM will fail. L'agente guest Linux presenta requisiti specifici per quanto riguarda la versione del sistema operativo e i pacchetti necessari e se questi requisiti non vengono soddisfatti l'agente della VM non funzionerà.The Linux guest agent has specific requirements in terms of OS version and required packages, and if those requirements are not met the VM agent will not work there either.
  • Che la VM sia stata creata con una versione precedente dell'agente guest.If the VM was created with an old version of guest agent. In questo caso è necessario tenere presente che alcuni agenti precedenti potrebbero non aggiornarsi automaticamente alla versione più recente e questo potrebbe causare il problema.If it was, you should be aware that some old agents could not auto-update itself to the newer version and this could lead to this problem. Usare sempre la versione più recente dell'agente guest quando si creano le immagini personali.Always use the latest version of guest agent if creating your own images.
  • Alcuni software di amministrazione di terze parti possono disabilitare l'agente guest o bloccare l'accesso a determinati percorsi di file.Some third-party administration software may disable the guest agent, or block access to certain file locations. Se sulla VM sono installati software terzi, assicurarsi che l'agente si trovi nell'elenco di esclusione.If you have third-party installed on your VM, make sure that the agent is on the exclusion list.
  • Alcune impostazioni del firewall o il gruppo di sicurezza di rete (NSG) potrebbero bloccare il traffico di rete da e verso l'agente guest.Certain firewall settings or Network Security Group (NSG) may block network traffic to and from guest agent.
  • Determinati elenchi di controllo di accesso (ACL) potrebbero impedire l'accesso al disco.Certain Access Control List (ACL) may prevent disk access.
  • La mancanza di spazio su disco può bloccare il corretto funzionamento dell'agente guest.Lack of disk space can block the guest agent from functioning properly.

Per impostazione predefinita l'interfaccia utente di Microsoft Antimalware è disabilitata, leggere Enabling Microsoft Antimalware User Interface on Azure Resource Manager VMs Post Deployment (Abilitazione dell'interfaccia utente di Microsoft Antimalware in seguito alla distribuzione delle VM in Azure Resource Manager) per ulteriori informazioni su come abilitarla in caso di necessità.By default the Microsoft Antimalware User Interface is disabled, read Enabling Microsoft Antimalware User Interface on Azure Resource Manager VMs Post Deployment for more information on how to enable it if you need.

Risoluzione dei problemi di caricamento del dashboardTroubleshooting problems loading the dashboard

In caso di problemi di caricamento del dashboard del Centro sicurezza, assicurarsi che l'utente che registra la sottoscrizione al Centro sicurezza, vale a dire il primo utente che apre il Centro sicurezza con la sottoscrizione, e l'utente che vuole abilitare la raccolta dei dati siano Proprietario o Collaboratore nella sottoscrizione.If you experience issues loading the Security Center dashboard, ensure that the user that registers the subscription to Security Center (i.e. the first user one who opened Security Center with the subscription) and the user who would like to turn on data collection should be Owner or Contributor on the subscription. A partire da quel momento, anche gli utenti con il ruolo Lettore nella sottoscrizione possono visualizzare i dashboard, gli avvisi, le raccomandazioni e i criteri.From that moment on also users with Reader on the subscription can see the dashboard/alerts/recommendation/policy.

Contattare il supporto tecnico MicrosoftContacting Microsoft Support

Alcuni problemi possono essere identificati usando le linee guida contenute in questo articolo, altri sono documentati nel forumpubblico del Centro sicurezza.Some issues can be identified using the guidelines provided in this article, others you can also find documented at the Security Center public Forum. Tuttavia, se è necessario un altro tipo di risoluzione dei problemi, è possibile aprire una nuova richiesta di supporto tramite il portale di Azure, come illustrato di seguito:However if you need further troubleshooting, you can open a new support request using Azure portal as shown below:

Supporto tecnico Microsoft

Vedere anche See also

In questo documento è stato descritto come configurare i criteri di sicurezza nel Centro sicurezza di Azure.In this document, you learned how to configure security policies in Azure Security Center. Per ulteriori informazioni sul Centro sicurezza di Azure, vedere gli argomenti seguenti:To learn more about Azure Security Center, see the following: