Guida alla risoluzione dei problemi del Centro sicurezza di AzureAzure Security Center Troubleshooting Guide

Questa guida è destinata a professionisti IT, analisti della sicurezza delle informazioni e amministratori cloud le cui organizzazioni usano il Centro sicurezza di Azure e devono risolvere i problemi correlati.This guide is for information technology (IT) professionals, information security analysts, and cloud administrators whose organizations are using Azure Security Center and need to troubleshoot Security Center related issues.

Nota

A partire dall'inizio di giugno 2017, il Centro sicurezza usa Microsoft Monitoring Agent per raccogliere e archiviare i dati.Beginning in early June 2017, Security Center uses the Microsoft Monitoring Agent to collect and store data. Per altre informazioni, vedere Migrazione della piattaforma del Centro sicurezza di Azure.See Azure Security Center Platform Migration to learn more. Le informazioni contenute in questo articolo si riferiscono alle funzionalità del Centro sicurezza dopo la transizione a Microsoft Monitoring Agent.The information in this article represents Security Center functionality after transition to the Microsoft Monitoring Agent.

Guida per la risoluzione dei problemiTroubleshooting guide

Questa guida illustra come risolvere i problemi correlati al Centro sicurezza.This guide explains how to troubleshoot Security Center related issues. La maggior parte delle attività di risoluzione dei problemi nel Centro sicurezza di Azure viene eseguita osservando prima di tutto i record del log di controllo del componente in cui si è verificato il problema.Most of the troubleshooting done in Security Center takes place by first looking at the Audit Log records for the failed component. Tramite i log di controllo, è possibile determinare:Through audit logs, you can determine:

  • Quali operazioni sono state eseguite.Which operations were taken place
  • Chi ha avviato l'operazione.Who initiated the operation
  • Quando si è verificata l'operazione.When the operation occurred
  • Lo stato dell'operazione.The status of the operation
  • I valori di altre proprietà che possono essere utili per ricerche sull'operazione.The values of other properties that might help you research the operation

Il log di controllo contiene tutte le operazioni di scrittura (PUT, POST, DELETE) eseguite sulle risorse, ma non include quelle di lettura (GET).The audit log contains all write operations (PUT, POST, DELETE) performed on your resources, however it does not include read operations (GET).

Microsoft Monitoring AgentMicrosoft Monitoring Agent

Il Centro sicurezza usa Microsoft Monitoring Agent, lo stesso agente usato da Operations Management Suite e dal servizio Log Analytics, per raccogliere dati di protezione dalle macchine virtuali di Azure.Security Center uses the Microsoft Monitoring Agent – this is the same agent used by the Operations Management Suite and Log Analytics service – to collect security data from your Azure virtual machines. Dopo avere abilitato la raccolta dei dati e installato correttamente l'agente nel computer di destinazione, sarà in esecuzione il processo seguente:After data collection is enabled and the agent is correctly installed in the target machine, the process below should be in execution:

  • HealthService.exeHealthService.exe

Se si apre la console di gestione dei servizi (services.msc), verrà visualizzato anche il servizio Microsoft Monitoring Agent in esecuzione come illustrato di seguito:If you open the services management console (services.msc), you will also see the Microsoft Monitoring Agent service running as shown below:

Services

Per visualizzare la versione dell'agente di cui si dispone, aprire Gestione attività, nella scheda Processi individuare il Servizio Microsoft Monitoring Agent, fare doppio clic su di esso e fare clic su Proprietà.To see which version of the agent you have, open Task Manager, in the Processes tab locate the Microsoft Monitoring Agent Service, right-click on it and click Properties. Nella scheda Dettagli cercare la versione del file, come illustrato di seguito:In the Details tab, look the file version as shown below:

File

Scenari di installazione di Microsoft Monitoring AgentMicrosoft Monitoring Agent installation scenarios

Esistono due scenari di installazione che possono produrre risultati diversi quando si installa Microsoft Monitoring Agent nel computer in uso.There are two installation scenarios that can produce different results when installing the Microsoft Monitoring Agent on your computer. Gli scenari supportati sono:The supported scenarios are:

  • Agente installato automaticamente tramite il Centro sicurezza: in questo scenario sarà possibile visualizzare gli avvisi sia con il Centro sicurezza che tramite la ricerca log.Agent installed automatically by Security Center: in this scenario you will be able to view the alerts in both locations, Security Center and Log search. Si riceveranno notifiche tramite posta elettronica all'indirizzo e-mail configurato nei criteri di sicurezza per la sottoscrizione a cui appartiene la risorsa.You will receive e-mail notifications to the email address that was configured in the security policy for the subscription the resource belongs to. ..
  • Agente installato manualmente in una macchina virtuale situata in Azure: in questo scenario, se si usano agenti scaricati e installati manualmente prima di febbraio 2017, sarà possibile visualizzare gli avvisi nel portale del Centro sicurezza solo se si filtra in base alla sottoscrizione a cui appartiene l'area di lavoro.Agent manually installed on a VM located in Azure: in this scenario, if you are using agents downloaded and installed manually prior to February 2017, you will be able to view the alerts in the Security Center portal only if you filter on the subscription the workspace belongs to. Nel caso in cui si filtri in base alla sottoscrizione a cui che appartiene la risorsa, non sarà possibile visualizzare gli avvisi.In case you filter on the subscription the resource belongs to, you won’t be able to see any alerts. Si riceveranno notifiche tramite posta elettronica all'indirizzo e-mail configurato nei criteri di sicurezza per la sottoscrizione a cui appartiene l'area di lavoro.You will receive e-mail notifications to the email address that was configured in the security policy for the subscription the workspace belongs to.

Nota

Per evitare il comportamento descritto nel secondo caso, assicurarsi di scaricare la versione più recente dell'agente.To avoid the behavior explained in the second, make sure you download the latest version of the agent.

Risoluzione dei problemi di rete di Microsoft Monitoring AgentTroubleshooting monitoring agent network requirements

Per far sì che gli agenti si connettano e si registrino con il Centro sicurezza, devono avere accesso alle risorse di rete, compresi gli URL di dominio e i numeri di porta.For agents to connect to and register with Security Center, they must have access to network resources, including the port numbers and domain URLs.

  • Per i server proxy, è necessario assicurarsi che le risorse del server proxy appropriate siano configurate nelle impostazioni dell'agente.For proxy servers, you need to ensure that the appropriate proxy server resources are configured in agent settings. Leggere questo articolo per altre informazioni su come modificare le impostazioni del proxy.Read this article for more information on how to change the proxy settings.
  • Per i firewall che limitano l'accesso a Internet, è necessario configurare il firewall per consentire l'accesso a OMS.For firewalls that restrict access to the Internet, you need to configure your firewall to permit access to OMS. Non è necessaria alcuna azione sulle impostazioni dell'agente.No action is needed in agent settings.

Nella tabella seguente vengono visualizzate le risorse necessarie per la comunicazione.The following table shows resources needed for communication.

Risorsa agenteAgent Resource PortePorts Ignorare l'analisi HTTPSBypass HTTPS inspection
.ods.opinsights.azure.com.ods.opinsights.azure.com 443443 Yes
.oms.opinsights.azure.com.oms.opinsights.azure.com 443443 Yes
.blob.core.windows.net.blob.core.windows.net 443443 Yes
.azure-automation.net.azure-automation.net 443443 Yes

Se si verificano problemi di caricamento con l'agente, assicurarsi di leggere l'articolo Risoluzione dei problemi di integrazione di Operations Management Suite.If you encounter onboarding issues with the agent, make sure to read the article How to troubleshoot Operations Management Suite onboarding issues.

Risoluzione dei problemi relativi al mancato funzionamento della protezione degli endpointTroubleshooting endpoint protection not working properly

L'agente guest è il processo padre di tutte le operazioni eseguite dall'estensione Microsoft Antimalware.The guest agent is the parent process of everything the Microsoft Antimalware extension does. Quando il processo dell'agente guest non riesce, anche Microsoft Antimalware che viene eseguito come processo figlio dell'agente guest potrebbe non riuscire.When the guest agent process fails, the Microsoft Antimalware that runs as a child process of the guest agent may also fail. In scenari come questi è consigliabile verificare le opzioni seguenti:In scenarios like that is recommended to verify the following options:

  • Che la macchina virtuale di destinazione sia un'immagine personalizzata e che l'autore della macchina virtuale non abbia mai installato l'agente guest.If the target VM is a custom image and the creator of the VM never installed guest agent.
  • Che la destinazione sia una VM di Linux e non una VM di Windows per cui l'installazione della versione di Windows dell'estensione antimalware su una VM Linux avrebbe esito negativo.If the target is a Linux VM instead of a Windows VM then installing the Windows version of the antimalware extension on a Linux VM will fail. L'agente guest Linux presenta requisiti specifici per quanto riguarda la versione del sistema operativo e i pacchetti necessari e se questi requisiti non vengono soddisfatti l'agente della VM non funzionerà.The Linux guest agent has specific requirements in terms of OS version and required packages, and if those requirements are not met the VM agent will not work there either.
  • Che la VM sia stata creata con una versione precedente dell'agente guest.If the VM was created with an old version of guest agent. In questo caso è necessario tenere presente che alcuni agenti precedenti potrebbero non aggiornarsi automaticamente alla versione più recente e questo potrebbe causare il problema.If it was, you should be aware that some old agents could not auto-update itself to the newer version and this could lead to this problem. Usare sempre la versione più recente dell'agente guest quando si creano le immagini personali.Always use the latest version of guest agent if creating your own images.
  • Alcuni software di amministrazione di terze parti possono disabilitare l'agente guest o bloccare l'accesso a determinati percorsi di file.Some third-party administration software may disable the guest agent, or block access to certain file locations. Se sulla VM sono installati software terzi, assicurarsi che l'agente si trovi nell'elenco di esclusione.If you have third-party installed on your VM, make sure that the agent is on the exclusion list.
  • Alcune impostazioni del firewall o il gruppo di sicurezza di rete (NSG) potrebbero bloccare il traffico di rete da e verso l'agente guest.Certain firewall settings or Network Security Group (NSG) may block network traffic to and from guest agent.
  • Determinati elenchi di controllo di accesso (ACL) potrebbero impedire l'accesso al disco.Certain Access Control List (ACL) may prevent disk access.
  • La mancanza di spazio su disco può bloccare il corretto funzionamento dell'agente guest.Lack of disk space can block the guest agent from functioning properly.

Per impostazione predefinita l'interfaccia utente di Microsoft Antimalware è disabilitata, leggere Enabling Microsoft Antimalware User Interface on Azure Resource Manager VMs Post Deployment (Abilitazione dell'interfaccia utente di Microsoft Antimalware in seguito alla distribuzione delle VM in Azure Resource Manager) per ulteriori informazioni su come abilitarla in caso di necessità.By default the Microsoft Antimalware User Interface is disabled, read Enabling Microsoft Antimalware User Interface on Azure Resource Manager VMs Post Deployment for more information on how to enable it if you need.

Risoluzione dei problemi di caricamento del dashboardTroubleshooting problems loading the dashboard

In caso di problemi di caricamento del dashboard del Centro sicurezza, assicurarsi che l'utente che registra la sottoscrizione al Centro sicurezza, vale a dire il primo utente che apre il Centro sicurezza con la sottoscrizione, e l'utente che vuole abilitare la raccolta dei dati siano Proprietario o Collaboratore nella sottoscrizione.If you experience issues loading the Security Center dashboard, ensure that the user that registers the subscription to Security Center (i.e. the first user one who opened Security Center with the subscription) and the user who would like to turn on data collection should be Owner or Contributor on the subscription. A partire da quel momento, anche gli utenti con il ruolo Lettore nella sottoscrizione possono visualizzare i dashboard, gli avvisi, le raccomandazioni e i criteri.From that moment on also users with Reader on the subscription can see the dashboard/alerts/recommendation/policy.

Contattare il supporto tecnico MicrosoftContacting Microsoft Support

Alcuni problemi possono essere identificati usando le linee guida contenute in questo articolo, altri sono documentati nel forumpubblico del Centro sicurezza.Some issues can be identified using the guidelines provided in this article, others you can also find documented at the Security Center public Forum. Tuttavia, se è necessario un altro tipo di risoluzione dei problemi, è possibile aprire una nuova richiesta di supporto tramite il portale di Azure, come illustrato di seguito:However if you need further troubleshooting, you can open a new support request using Azure portal as shown below:

Supporto tecnico Microsoft

Vedere ancheSee also

In questo documento è stato descritto come configurare i criteri di sicurezza nel Centro sicurezza di Azure.In this document, you learned how to configure security policies in Azure Security Center. Per ulteriori informazioni sul Centro sicurezza di Azure, vedere gli argomenti seguenti:To learn more about Azure Security Center, see the following: