Hybride beveiligingsbewaking met behulp van Azure Security Center en Azure SentinelHybrid Security Monitoring using Azure Security Center and Azure Sentinel

Deze referentie architectuur laat zien hoe u Azure Security Center en Azure Sentinel kunt gebruiken voor het bewaken van de beveiligings configuratie en telemetrie van on-premises en Azure-workloads voor besturings systemen.This reference architecture illustrates how to use Azure Security Center and Azure Sentinel to monitor the security configuration and telemetry of on-premises and Azure operating system workloads. Dit omvat Azure Stack.This includes Azure Stack.

Diagram van de geïmplementeerde micro soft Monitoring Agent op on-premises systemen en op virtuele machines op basis van Azure, waarbij gegevens worden overgebracht naar Azure Security Center en Azure Sentinel

Een Visio-bestand van deze architectuur downloaden.Download a Visio file of this architecture.

Deze architectuur wordt doorgaans gebruikt voor:Typical uses for this architecture include:

  • Aanbevolen procedures voor het integreren van on-premises beveiliging en telemetrie-bewaking met op Azure gebaseerde workloadsBest practices for integrating on-premises security and telemetry monitoring with Azure-based workloads
  • Azure Security Center integreren met Azure StackHow to integrate Azure Security Center with Azure Stack
  • Azure Security Center integreren met Azure SentinelHow to integrate Azure Security Center with Azure Sentinel

ArchitectuurArchitecture

De architectuur bestaat uit de volgende onderdelen:The architecture consists of the following components:

  • Azure Security Center.Azure Security Center. Dit is een geavanceerd, uniform platform voor beveiligings beheer dat micro soft biedt aan alle Azure-abonnees.This is an advanced, unified security-management platform that Microsoft offers to all Azure subscribers. Security Center wordt gesegmenteerd als een Cloud Security postuur Management (CSPM) en Cloud Protection platform (CWPP).Security Center is segmented as a cloud security posture management (CSPM) and cloud workload protection platform (CWPP). CWPP wordt gedefinieerd door werk belasting gerichte beveiligings beveiligings oplossingen, die meestal op een agent zijn gebaseerd.CWPP is defined by workload-centric security protection solutions, which are typically agent-based. Azure Security Center biedt bedreigings beveiliging voor Azure-workloads, zowel on-premises als in andere Clouds, waaronder virtuele Windows-en Linux-machines (Vm's), containers, data bases en Internet of Things (IoT).Azure Security Center provides threat protection for Azure workloads, both on-premises and in other clouds, including Windows and Linux virtual machines (VMs), containers, databases, and Internet of Things (IoT). Wanneer de Log Analytics-agent wordt geactiveerd, wordt deze automatisch geïmplementeerd in azure Virtual Machines.When activated, the Log Analytics agent deploys automatically into Azure Virtual Machines. Voor on-premises Windows-en Linux-servers en virtuele machines kunt u de agent hand matig implementeren met behulp van het implementatie programma van uw organisatie, zoals micro soft Endpoint Protection-beheerder, of implementatie methoden die gebruikmaken van scripts.For on-premises Windows and Linux servers and VMs, you can manually deploy the agent, use your organization's deployment tool, such as Microsoft Endpoint Protection Manager, or utilize scripted deployment methods. Security Center begint met het beoordelen van de beveiligings status van al uw Vm's, netwerken, toepassingen en gegevens.Security Center begins assessing the security state of all your VMs, networks, applications, and data.
  • Azure-Sentinel.Azure Sentinel. Is een Cloud-native Security Information and Event Management (SIEM) en een via-oplossing (Security Orchestration Automated Response) die gebruikmaakt van Advanced AI en Security Analytics om bedreigingen in uw onderneming te detecteren, te ontdekken, te voor komen en erop te reageren.Is a cloud-native Security Information and Event Management (SIEM) and security orchestration automated response (SOAR) solution that uses advanced AI and security analytics to help you detect, hunt, prevent, and respond to threats across your enterprise.
  • Azure stack.Azure Stack. Is een port Folio met producten waarmee Azure-Services en-mogelijkheden worden uitgebreid naar uw omgeving van uw keuze, van het Data Center tot Edge-locaties en externe kant oren.Is a portfolio of products that extend Azure services and capabilities to your environment of choice, from the datacenter to edge locations and remote offices. Systemen die u met Azure Stack integreert, gebruiken doorgaans racks van vier tot zestien servers, gebouwd door vertrouwde hardware-partners en direct aan uw Data Center geleverd.Systems that you integrate with Azure Stack typically utilize racks of four to sixteen servers, built by trusted hardware partners and delivered straight to your datacenter.
  • Azure monitor.Azure Monitor. Verzamelt bewakings-telemetrie vanuit verschillende on-premises en Azure-bronnen.Collects monitoring telemetry from a variety of on-premises and Azure sources. Beheer hulpprogramma's, zoals die in Azure Security Center en Azure Automation, pushen ook de gegevens van het logboek naar Azure Monitor.Management tools, such as those in Azure Security Center and Azure Automation, also push log data to Azure Monitor.
  • Log Analytics werk ruimte.Log Analytics workspace. Azure Monitor worden logboek gegevens opgeslagen in een Log Analytics-werk ruimte, een container die gegevens-en configuratie gegevens bevat.Azure Monitor stores log data in a Log Analytics workspace, which is a container that includes data and configuration information.
  • Log Analytics-agent.Log Analytics agent. De Log Analytics-agent verzamelt bewakings gegevens van het gast besturingssysteem en VM-workloads in azure, andere cloud providers en on-premises.The Log Analytics agent collects monitoring data from the guest operating system and VM workloads in Azure, other cloud providers, and on-premises. De Log Analytics-agent ondersteunt proxy configuratie en, meestal in dit scenario, fungeert een Microsoft Operations Management Suite (OMS)-gateway als proxy.The Log Analytics Agent supports Proxy configuration and, typically in this scenario, a Microsoft Operations Management Suite (OMS) Gateway acts as proxy.
  • On-premises netwerk.On-premises network. Dit is de firewall die is geconfigureerd om HTTPS-uitkomend verkeer van gedefinieerde systemen te ondersteunen.This is the firewall configured to support HTTPS egress from defined systems.
  • On-premises Windows-en Linux-systemen.On-premises Windows and Linux systems. Systemen waarop de Log Analytics-agent is geïnstalleerd.Systems with the Log Analytics Agent installed.
  • Azure Windows-en Linux-vm's.Azure Windows and Linux VMs. Systemen waarop de Azure Security Center monitoring-agent is geïnstalleerd.Systems on which the Azure Security Center monitoring agent is installed.

AanbevelingenRecommendations

De volgende aanbevelingen gelden voor de meeste scenario's.The following recommendations apply for most scenarios. Volg deze aanbevelingen tenzij er een specifieke vereiste is die iets anders voorschrijft.Follow these recommendations unless you have a specific requirement that overrides them.

Azure Security Center upgradeAzure Security Center upgrade

Deze referentie architectuur maakt gebruik van Azure Security Center voor het bewaken van on-premises systemen, virtuele Azure-machines, Azure monitor resources en zelfs vm's die worden gehost door andere cloud providers.This reference architecture uses Azure Security Center to monitor on-premises systems, Azure VMs, Azure Monitor resources, and even VMs hosted by other cloud providers. Ter ondersteuning van deze functionaliteit is de laag standaard op basis van Azure Security Center nodig.To support that functionality, the standard fee-based tier of Azure Security Center is needed. U kunt het beste de gratis proef versie van 30 dagen gebruiken om uw vereisten te valideren.We recommend that you use the 30-day free trial to validate your requirements.

Hiervindt u meer informatie over Azure Security Center prijzen.Details about Azure Security Center pricing can be found here.

Aangepaste Log Analytics-werk ruimteCustomized Log Analytics Workspace

Azure-Sentinel moet toegang hebben tot een log Analytics-werk ruimte.Azure Sentinel needs access to a Log Analytics workspace. In dit scenario kunt u de standaard ASC Log Analytics-werk ruimte niet gebruiken met Azure Sentinel.In this scenario, you can’t use the default ASC Log Analytics workspace with Azure Sentinel. U moet een aangepaste werk ruimte maken.You’ll need to create a customized workspace. Het bewaren van gegevens voor een aangepaste werk ruimte is gebaseerd op de prijs categorie van de werk ruimte en u kunt hierde prijs modellen voor controle logboeken vinden.Data retention for a customized workspace is based on the workspace pricing tier, and you can find pricing models for Monitor Logs here.

Notitie

Azure Sentinel kan worden uitgevoerd op werk ruimten in een regio voor algemene Beschik baarheid (GA) van Log Analytics, met uitzonde ring van de regio's China en Duitsland (soeverein).Azure Sentinel can run on workspaces in any general availability (GA) region of Log Analytics except the China and Germany (Sovereign) regions. Gegevens die door Azure Sentinel worden gegenereerd, zoals incidenten, blad wijzers en waarschuwings regels, die mogelijk bepaalde klant gegevens uit deze werk ruimten bevatten, worden opgeslagen in Europa (voor Europa-werk ruimten), in Australië (voor werk ruimten op basis van Australië) of in het VS-Oost (voor werk ruimten die zich in een andere regio bevinden).Data that Azure Sentinel generates, such as incidents, bookmarks, and alert rules, which may contain some customer data sourced from these workspaces, is saved either in Europe (for Europe-based workspaces), in Australia (for Australia-based workspaces), or in the East US (for workspaces located in any other region).

SchaalbaarheidsoverwegingenScalability considerations

De Log Analytics-agent voor Windows en Linux is ontworpen om zeer minimale gevolgen te hebben voor de prestaties van Vm's of fysieke systemen.The Log Analytics Agent for Windows and Linux is designed to have very minimal impact on the performance of VMs or physical systems.

Azure Security Center operationeel proces heeft geen invloed op de normale operationele procedures.Azure Security Center operational process won’t interfere with your normal operational procedures. In plaats daarvan bewaakt it bewaakt passief uw implementaties en worden aanbevelingen gedaan op basis van het beveiligings beleid dat u inschakelt.Instead, it passively monitors your deployments and provides recommendations based on the security policies you enable.

BeheerbaarheidsoverwegingenManageability considerations

Azure Security Center rollenAzure Security Center roles

Security Center evalueert de configuratie van uw resources om beveiligings problemen en beveiligings lekken te identificeren en geeft informatie weer die betrekking heeft op een resource als u de rol van eigenaar, bijdrager of lezer hebt toegewezen aan het abonnement of de resource groep waarvan een resource deel uitmaakt.Security Center assesses your resources’ configuration to identify security issues and vulnerabilities, and displays information related to a resource when you are assigned the role of owner, contributor, or reader for the subscription or resource group to which a resource belongs.

Naast deze rollen zijn er twee specifieke Security Center-rollen:In addition to these roles, there are two specific Security Center roles:

  • Beveiligings lezer.Security Reader. Een gebruiker die deel uitmaakt van deze rol heeft alleen-lezen rechten voor Security Center.A user that belongs to this role has read only rights to Security Center. De gebruiker kan aanbevelingen, waarschuwingen, een beveiligings beleid en beveiligings statussen observeren, maar kan geen wijzigingen aanbrengen.The user can observe recommendations, alerts, a security policy, and security states, but can’t make changes.

  • Beveiligings beheerder. Een gebruiker die deel uitmaakt van deze rol heeft dezelfde rechten als de beveiligings lezer, en kan ook beveiligings beleid bijwerken en waarschuwingen en aanbevelingen negeren.Security Admin. A user that belongs to this role has the same rights as the Security Reader, and also can update security policies, and dismiss alerts and recommendations. Normaal gesp roken zijn dit gebruikers die de werk belasting beheren.Typically, these are users that manage the workload.

  • De beveiligings rollen, beveiligings lezer en beveiligings beheerder hebben alleen toegang tot Security Center.The security roles, Security Reader and Security Admin, have access only in Security Center. De beveiligings rollen hebben geen toegang tot andere Azure-service gebieden, zoals Storage, Web, Mobile of IoT.The security roles don’t have access to other Azure service areas, such as storage, web, mobile, or IoT.

Azure Sentinel-abonnementAzure Sentinel subscription

  • Om Azure Sentinel in te schakelen, hebt u inzendersmachtigingen nodig voor het abonnement waarin de Azure Sentinel-werkruimte zich bevindt.To enable Azure Sentinel, you need contributor permissions to the subscription in which the Azure Sentinel workspace resides.
  • Als u Azure Sentinel wilt gebruiken, hebt u Inzender-of lezer-machtigingen nodig voor de resource groep waartoe de werk ruimte behoort.To use Azure Sentinel, you need contributor or reader permissions on the resource group to which the workspace belongs.
  • Azure Sentinel is een betaalde service.Azure Sentinel is a paid service. Raadpleeg de Azure Sentinel-prijzenvoor meer informatie.For more information, refer to Azure Sentinel pricing.

BeveiligingsoverwegingenSecurity considerations

Een beveiligings beleid bepaalt welke set besturings elementen wordt aanbevolen voor resources binnen een opgegeven abonnement.A security policy defines the set of controls that are recommended for resources within a specified subscription. In Azure Security Center definieert u beleid voor uw Azure-abonnementen volgens de beveiligings vereisten van uw bedrijf en het type toepassingen of gegevens gevoeligheid voor elk abonnement.In Azure Security Center, you define policies for your Azure subscriptions according to your company's security requirements and the type of applications or data sensitivity for each subscription.

Het beveiligings beleid dat u inschakelt in Azure Security Center aanbevelingen en controle van de beveiliging.The security policies that you enable in Azure Security Center drive security recommendations and monitoring. Raadpleeg uw beveiligings beleid versterken met Azure Security Center voor meer informatie over het beveiligings beleid.To learn more about security policies, refer to Strengthen your security policy with Azure Security Center. U kunt beveiligings beleid alleen in Azure Security Center toewijzen op het niveau van beheer-of abonnements groepen.You can assign security policies in Azure Security Center only at the management or subscription group levels.

Notitie

Deel een van de referentie architectuur voor informatie over het inschakelen van Azure Security Center om Azure-resources, on-premises systemen en Azure Stack systemen te bewaken.Part one of the reference architecture details how to enable Azure Security Center to monitor Azure resources, on-premises systems, and Azure Stack systems.

De oplossing implementerenDeploy the solution

Een Log Analytics-werk ruimte maken in azure PortalCreate a Log Analytics workspace in Azure Portal

  1. Meld u aan bij de Azure Portal als gebruiker met beheerders bevoegdheden voor beveiliging.Sign into the Azure portal as a user with Security Admin privileges.
  2. Selecteer in de Azure-portal de optie Alle services.In the Azure portal, select All services. Voer log Analytics in de lijst met resources in.In the list of resources, enter Log Analytics. Wanneer u begint met het invoeren, worden de lijst filters gebaseerd op uw invoer.As you begin entering, the list filters based on your input. Selecteer Log Analytics-werkruimten.Select Log Analytics workspaces.
  3. Selecteer toevoegen op de pagina log Analytics.Select Add on the Log Analytics page.
  4. Geef een naam op voor de nieuwe Log Analytics-werk ruimte, zoals ASC-SentinelWorkspace.Provide a name for the new Log Analytics workspace, such as ASC-SentinelWorkspace. Deze naam moet uniek zijn binnen alle Azure Monitor-abonnementen.This name must be globally unique across all Azure Monitor subscriptions.
  5. Selecteer een abonnement door te selecteren in de vervolg keuzelijst als de standaard selectie niet van toepassing is.Select a subscription by selecting from the drop-down list if the default selection is not appropriate.
  6. Kies voor resource groep een bestaande resource groep of maak een nieuwe.For Resource Group, choose to use an existing resource group or create a new one.
  7. Selecteer bij locatie een beschik bare geolocatie.For Location, select an available geolocation.
  8. Selecteer OK om de configuratie te volt ooien.Select OK to complete the configuration. Nieuwe werk ruimte gemaakt voor de architectuurNew Workspace created for the architecture

Security Center inschakelenEnable Security Center

Terwijl u nog steeds bent aangemeld bij de Azure Portal als gebruiker met beveiligings beheerders bevoegdheden, selecteert u Security Center in het deel venster.While you're still signed into the Azure portal as a user with Security Admin privileges, select Security Center in the panel. Security Center-overzicht wordt geopend:Security Center - Overview opens:

Blade dash board Security Center-overzicht wordt geopend

Security Center maakt automatisch de gratis laag voor een van de Azure-abonnementen die niet eerder door u of door een andere abonnements gebruiker zijn opgedaan.Security Center automatically enables the Free tier for any of the Azure subscriptions not previously onboarded by you or another subscription user.

Upgraden naar de prijscategorie StandardUpgrade to the Standard tier

Belangrijk

Deze referentie architectuur maakt gebruik van de gratis proef versie van 30 dagen van Security Center Standard-laag.This reference architecture uses the 30-day free trial of Security Center Standard tier.

  1. Selecteer aan de slag in het hoofd menu van Security Center.On the Security Center main menu, select Getting Started.
  2. Selecteer de knop upgrade nu uitvoeren .Select the Upgrade Now button. Security Center een lijst met uw abonnementen en werk ruimten die in aanmerking komen voor gebruik in de laag standaard.Security Center lists your subscriptions and workspaces that are eligible for use in the Standard tier.
  3. U kunt in aanmerking komende werkruimten en abonnementen selecteren om uw proefversie te beginnen.You can select eligible workspaces and subscriptions to start your trial. Selecteer de eerder gemaakte werk ruimte, ASC-SentinelWorkspace.Select the previously created workspace, ASC-SentinelWorkspace. in de vervolg keuzelijst.from the drop-down menu.
  4. Selecteer in het hoofd menu van Security Center de optie proef versie starten.In the Security Center main menu, select Start trial.
  5. In het dialoog venster installatie agents installeren wordt weer gegeven.The Install Agents dialog box should display.
  6. Selecteer de knop agents installeren .Select the Install Agents button. De Blade Security Center dekking wordt weer gegeven en u moet het geselecteerde abonnement bekijken op het tabblad standaard dekking .  De Blade beveiligings dekking waarin uw abonnementen worden weer gegeven, moet geopend zijnThe Security Center - Coverage blade displays and you should observe your selected subscription in the Standard coverage tab. Security Coverage blade showing your subscriptions should be open

U hebt nu automatische inrichting ingeschakeld en Security Center installeert de Log Analytics agent voor Windows (HealthService.exe) en de omsagent voor Linux op alle ondersteunde Azure-Vm's en alle nieuwe virtuele machines die u maakt.You've now enabled automatic provisioning and Security Center will install the Log Analytics Agent for Windows (HealthService.exe) and the omsagent for Linux on all supported Azure VMs and any new ones that you create. U kunt dit beleid uitschakelen en hand matig beheren, maar we raden u ten zeerste aan automatische inrichting in te scha kelen.You can turn off this policy and manually manage it, although we strongly recommend automatic provisioning.

Zie functie dekking voor machines voormeer informatie over de specifieke Security Center functies die beschikbaar zijn in Windows en Linux.To learn more about the specific Security Center features available in Windows and Linux, refer to Feature coverage for machines.

Azure Security Center bewaking van on-premises Windows-computers inschakelenEnable Azure Security Center monitoring of on-premises Windows computers

  1. Selecteer in de Azure-Portal op de Blade Security Center-overzicht het tabblad aan de slag .In the Azure Portal on the Security Center - Overview blade, select the Get Started tab.
  2. Selecteer configureren onder nieuwe niet-Azure-computers toevoegen.Select Configure under Add new non-Azure computers. Er wordt een lijst weer gegeven met uw Log Analytics-werk ruimten en moet de ASC-SentinelWorkspace bevatten.A list of your Log Analytics workspaces displays, and should include the ASC-SentinelWorkspace.
  3. Selecteer deze werk ruimte.Select this workspace. De Blade direct agent wordt geopend met een koppeling voor het downloaden van een Windows-agent en sleutels voor uw werk ruimte-id) die moet worden gebruikt bij het configureren van de agent.The Direct Agent blade opens with a link for downloading a Windows agent and keys for your workspace identification (ID) to use when you configure the agent.
  4. Selecteer de koppeling Windows-agent downloaden die van toepassing is op het processortype van uw computer om het installatiebestand te downloaden.Select the Download Windows Agent link applicable to your computer processor type to download the setup file.
  5. Klik rechts van werk ruimte-id op kopiëren en plak de id in Klad blok.To the right of Workspace ID, select Copy, and then paste the ID into Notepad.
  6. Klik rechts van primaire sleutel op kopiëren en plak de sleutel in Klad blok.To the right of Primary Key, select Copy, and then paste the key into Notepad.

De Windows-agent installerenInstall the Windows agent

Voer de volgende stappen uit om de agent op de doel computers te installeren.To install the agent on the targeted computers, follow these steps.

  1. Kopieer het bestand naar de doel computer en Voer Setup uit.Copy the file to the target computer and then Run Setup.
  2. Op de pagina Welkom selecteert u Volgende.On the Welcome page, select Next.
  3. Lees de licentie op de pagina Licentievoorwaarden en selecteer Akkoord.On the License Terms page, read the license and then select I Agree.
  4. Op de pagina Doelmap wijzigt u desgewenst de standaardinstallatiemap en selecteert u Volgende.On the Destination Folder page, change or keep the default installation folder and then select Next.
  5. Op de pagina Installatieopties voor Agent kiest u ervoor de agent verbinding te laten maken met Azure Log Analytics en selecteert u Volgende.On the Agent Setup Options page, choose to connect the agent to Azure Log Analytics and then select Next.
  6. Op de pagina Azure Log Analytics plakt u de werkruimte-id en werkruimtesleutel (primaire sleutel) die u in de vorige stap in Kladblok hebt gekopieerd.On the Azure Log Analytics page, paste the Workspace ID and Workspace Key (Primary Key) that you copied into Notepad in the previous procedure.
  7. Als de computer moet rapporteren aan een Log Analytics-werk ruimte in Azure Government Cloud, selecteert u Azure US Government in de vervolg keuzelijst van de Azure-Cloud .If the computer should report to a Log Analytics workspace in Azure Government cloud, select Azure US Government from the Azure Cloud drop-down list. Als de computer moet communiceren via een proxy server met de Log Analytics-service, selecteert u Geavanceerd en geeft u de URL en het poort nummer van de proxy server op.If the computer needs to communicate through a proxy server to the Log Analytics service, select Advanced, and then provide the proxy server's URL and port number.
  8. Nadat u de vereiste configuratie-instellingen hebt ingesteld, selecteert u volgende.After you provide the necessary configuration settings, select Next. Pagina Setup van Log Analytics-agent voor het verbinden van agent met een Azure Log Analytics-werk ruimteLog Analytics Agent setup page for connecting agent to an Azure Log Analytics workspace
  9. Controleer op de pagina Gereed om te installeren uw keuzes en selecteer Installeren.On the Ready to Install page, review your choices and then select Install.
  10. Selecteer op de pagina Configuratie voltooid de optie Voltooien.On the Configuration completed successfully page, select Finish.

Als u klaar bent, wordt de Log Analytics-agent weer gegeven in het configuratie scherm van Windows. u kunt de configuratie controleren en controleren of de agent is verbonden.When complete, the Log Analytics agent appears in Windows Control Panel, and you can review your configuration and verify that the agent is connected.

Zie log Analytics-agent installeren op Windows-computersvoor meer informatie over het installeren en configureren van de agent.For further information about installing and configuring the agent, refer to Install Log Analytics agent on Windows computers.

De Log Analytics Agent-service verzamelt gebeurtenis-en prestatie gegevens, voert taken uit en andere workflows die zijn gedefinieerd in een management pack.The Log Analytics Agent service collects event and performance data, executes tasks, and other workflows defined in a management pack. Security Center breidt de beveiligings platforms voor Cloud werkbelasting uit door te integreren met micro soft Defender Advanced Threat Protection (ATP) voor servers.Security Center extends its cloud workload protection platforms by integrating with Microsoft Defender Advanced Threat Protection (ATP) for Servers. Samen bieden ze uitgebreide mogelijkheden voor eindpuntdetectie en -reactie (EDR).Together, they provide comprehensive endpoint detection and response (EDR) capabilities.

Raadpleeg voor meer informatie over micro soft Defender ATP de onboard-servers voor de micro soft Defender ATP-service.For more information about Microsoft Defender ATP, refer to Onboard servers to the Microsoft Defender ATP service.

Azure Security Center bewaking van on-premises Linux-computers inschakelenEnable Azure Security Center monitoring of on-premises Linux computers

  1. Ga terug naar het tabblad aan de slag , zoals eerder is beschreven.Return to the Getting Started tab as previously described.
  2. Selecteer configureren onder nieuwe niet-Azure-computers toevoegen.Select Configure under Add new non-Azure computers. Er wordt een lijst weer gegeven met uw Log Analytics-werk ruimten.A list of your Log Analytics workspaces displays. De lijst moet de ASC-SentinelWorkspace bevatten die u hebt gemaakt.The list should include the ASC-SentinelWorkspace that you created.
  3. Selecteer op de Blade direct-agent onder down load en onboarding-agent voor Linux de optie kopiëren om de wget -opdracht te kopiëren.On the Direct Agent blade under DOWNLOAD AND ONBOARD AGENT FOR LINUX, select copy to copy the wget command.
  4. Open Klad blok en plak deze opdracht.Open Notepad and then paste this command. Sla dit bestand op een locatie op die u vanaf uw Linux-computer kunt openen.Save this file to a location that you can access from your Linux computer.

Notitie

In UNIX-en Linux-besturings systemen is wget een hulp programma voor niet-interactief bestand downloaden van het web.On Unix and Linux operating systems, wget is a tool for non-interactive file downloading from the web. HTTPS, FTPs en proxy's worden ondersteund.It supports HTTPS, FTPs, and proxies.

De Linux-agent maakt gebruik van het Linux audit daemon-Framework.The Linux agent uses the Linux Audit Daemon framework. Security Center integreert de functionaliteit van dit framework binnen de Log Analytics-agent, waarmee controle records kunnen worden verzameld, verrijkt en samengevoegd in gebeurtenissen met behulp van de Log Analytics-agent voor Linux.Security Center integrates functionalities from this framework within the Log Analytics agent, which enables audit records to be collected, enriched, and aggregated into events by using the Log Analytics Agent for Linux. Security Center voegt doorlopend nieuwe analyses toe die gebruikmaken van Linux-signalen om schadelijk gedrag in Linux-machines in de cloud en on-premises te detecteren.Security Center continuously adds new analytics that use Linux signals to detect malicious behaviors on cloud and on-premises Linux machines.

Raadpleeg de naslag tabel met waarschuwingenvoor een lijst met de Linux-waarschuwingen.For a list of the Linux alerts, refer to the Reference table of alerts.

De Linux-agent installerenInstall the Linux agent

Voer de volgende stappen uit om de agent te installeren op de beoogde Linux-computers:To install the agent on the targeted Linux computers, follow these steps:

  1. Open het bestand dat u eerder hebt opgeslagen op uw Linux-computer.On your Linux computer, open the file that you previously saved. Selecteer en kopieer de gehele inhoud, open een Terminal console en plak de opdracht.Select and copy the entire content, open a terminal console, and then paste the command.
  2. Nadat de installatie is voltooid, kunt u controleren of de omsagent is geïnstalleerd door de opdracht pgrep uit te voeren.Once the installation finishes, you can validate that the omsagent is installed by running the pgrep command. Met de opdracht wordt de omsagent -proces-id (PID) geretourneerd.The command will return the omsagent process identifier (PID). U kunt de logboeken voor de agent vinden op: /var/opt/Microsoft/omsagent/"werk ruimte-id"/log/.You can find the logs for the agent at: /var/opt/microsoft/omsagent/"workspace id"/log/.

Het kan tot 30 minuten duren voordat de nieuwe Linux-computer wordt weer gegeven in Security Center.It can take up to 30 minutes for the new Linux computer to display in Security Center.

Azure Security Center bewaking van Azure Stack Vm's inschakelenEnable Azure Security Center monitoring of Azure Stack VMs

Nadat u uw Azure-abonnement hebt voor bereid, kunt u Security Center inschakelen om uw virtuele machines op Azure Stack te beschermen door de extensie voor de Azure monitor, update en configuratie beheer- VM toe te voegen via de Azure stack Marketplace.After you onboard your Azure subscription, you can enable Security Center to protect your VMs running on Azure Stack by adding the Azure Monitor, Update and Configuration Management VM extension from the Azure Stack marketplace. Om dit te doen:To do this:

  1. Ga terug naar het tabblad aan de slag , zoals eerder is beschreven.Return to the Getting Started tab as previously described.
  2. Selecteer configureren onder nieuwe niet-Azure-computers toevoegen.Select Configure under Add new non-Azure computers. Er wordt een lijst weer gegeven met uw Log Analytics-werk ruimten en deze moet de ASC-SentinelWorkspace bevatten die u hebt gemaakt.A list of your Log Analytics workspaces displays, and it should include the ASC-SentinelWorkspace that you created.
  3. Op de Blade direct-agent vindt u een koppeling voor het downloaden van de agent en de sleutels voor de werk ruimte-id die tijdens de agent configuratie moeten worden gebruikt.On the Direct Agent blade there is a link for downloading the agent and keys for your workspace ID to use during agent configuration. U hoeft de agent niet hand matig te downloaden.You don’t need to download the agent manually. Deze wordt als een VM-extensie geïnstalleerd in de volgende stappen.It’ll be installed as a VM extension in the following steps.
  4. Klik rechts van werk ruimte-id op kopiëren en plak de id in Klad blok.To the right of Workspace ID, select Copy, and then paste the ID into Notepad.
  5. Klik rechts van primaire sleutel op kopiëren en plak de sleutel in Klad blok.To the right of Primary Key, select Copy, and then paste the key into Notepad.

ASC-bewaking van Azure Stack Vm's inschakelenEnable ASC monitoring of Azure Stack VMs

Azure Security Center maakt gebruik van de Azure monitor-, update-en configuratie beheer- VM-extensie gebundeld met Azure stack.Azure Security Center uses the Azure Monitor, Update and Configuration Management VM extension bundled with Azure Stack. Voer de volgende stappen uit om de Azure monitor-, update-en configuratie beheer uitbreiding in te scha kelen:To enable the Azure Monitor, Update and Configuration Management extension, follow these steps:

  1. Meld u in een nieuw browser tabblad aan bij uw Azure stack -Portal.In a new browser tab, sign into your Azure Stack portal.
  2. Raadpleeg de pagina virtuele machines en selecteer vervolgens de virtuele machine die u met Security Center wilt beveiligen.Refer to the Virtual machines page, and then select the virtual machine that you want to protect with Security Center.
  3. Selecteer Extensies.Select Extensions. De lijst met VM-extensies die op deze VM zijn geïnstalleerd, wordt weer gegeven.The list of VM extensions installed on this VM displays.
  4. Selecteer het tabblad toevoegen . De Blade Nieuw resource menu wordt geopend en toont de lijst met beschik bare VM-extensies.Select the Add tab. The New Resource menu blade opens and displays the list of available VM extensions.
  5. Selecteer de Azure monitor-, update-en configuratie beheer uitbreiding en selecteer vervolgens maken.Select the Azure Monitor, Update and Configuration Management extension and then select Create. De Blade installatie van extensie configuratie wordt geopend.The Install extension configuration blade opens.
  6. Op de configuratieblade Extensie installeren plakt u de werkruimte-id en werkruimtesleutel (primaire sleutel) die u in de vorige stap in kladblok hebt gekopieerd.On the Install extension configuration blade, paste the Workspace ID and Workspace Key (Primary Key) that you copied into Notepad in the previous procedure.
  7. Wanneer u klaar bent met het opgeven van de benodigde configuratie-instellingen, selecteert u OK.When you finish providing the necessary configuration settings, select OK.
  8. Zodra de installatie van de extensie is voltooid, wordt de status weer gegeven als inrichting geslaagd.Once the extension installation completes, its status will display as Provisioning Succeeded. Het kan een uur duren voordat de virtuele machine wordt weer gegeven in de Security Center Portal.It might take up to one hour for the VM to appear in the Security Center portal.

Raadpleeg de agent installeren met de wizard Setupvoor meer informatie over het installeren en configureren van de agent voor Windows.For more information about installing and configuring the agent for Windows, refer to Install the agent using setup wizard.

Zie problemen met de log Analytics-agent voor Linux oplossenvoor meer informatie over het oplossen van problemen met de Linux-agent.For troubleshooting issues for the Linux agent, refer to How to troubleshoot issues with the Log Analytics agent for Linux.

U kunt nu uw Azure-VM's en niet-Azure-computers op één plek bewaken.Now you can monitor your Azure VMs and non-Azure computers in one place. Azure Compute biedt u een overzicht van alle vm's en computers, samen met aanbevelingen.Azure Compute provides you with an overview of all VMs and computers along with recommendations. Elke kolom vertegenwoordigt een reeks aanbevelingen en de kleur vertegenwoordigt de Vm's of computers en de huidige beveiligings status voor die aanbeveling.Each column represents one set of recommendations, and the color represents the VMs or computers and the current security state for that recommendation. Security Center biedt ook detecties voor deze computers in beveiligings waarschuwingen.Security Center also provides any detections for these computers in security alerts. Lijst met ASC-systemen die worden bewaakt op de Blade computeASC list of systems monitored on the Compute blade

Er worden twee soorten pictogrammen weergegeven op de blade Compute:There are two types of icons represented on the Compute blade:

Pictogram van een paarse computer dat een niet-Azure bewaakte computer vertegenwoordigt Niet-Azure-computerNon-Azure computer

Een blauw Terminal pictogram dat een door Azure bewaakte computer vertegenwoordigt Azure-computerAzure computer

Notitie

Deel 2 van de referentie architectuur verbindt waarschuwingen van Azure Security Center en streamt deze in azure Sentinel.Part two of the reference architecture will connect alerts from Azure Security Center and stream them into Azure Sentinel.

De rol van Azure Sentinel is het opnemen van gegevens uit verschillende gegevens bronnen en het uitvoeren van gegevens correlatie over deze gegevens bronnen.The role of Azure Sentinel is to ingest data from different data sources and perform data correlation across these data sources. Azure Sentinel maakt gebruik van machine learning en AI om bedreigingen te kunnen opsporen, waarschuwingen te detecteren en te reageren op bedreigingen.Azure Sentinel leverages machine learning and AI to make threat hunting, alert detection, and threat responses smarter.

Voor het onboarden van Azure Sentinel moet u het inschakelen en vervolgens verbinding maken met uw gegevensbronnen.To onboard Azure Sentinel, you need to enable it, and then connect your data sources. Azure Sentinel wordt geleverd met een aantal connectors voor micro soft-oplossingen, die beschikbaar zijn in de doos en die realtime-integratie bieden, waaronder micro soft Security Center, oplossingen voor micro soft Threat Protection, Microsoft 365 bronnen (inclusief Office 365), Azure Active Directory (Azure AD), Azure ATP, Microsoft Cloud App Security en meer.Azure Sentinel comes with a number of connectors for Microsoft solutions, which are available out of the box and provide real-time integration, including Microsoft Security Center, Microsoft Threat Protection solutions, Microsoft 365 sources (including Office 365), Azure Active Directory (Azure AD), Azure ATP, Microsoft Cloud App Security, and more. Daarnaast zijn er ingebouwde connectors voor niet-Microsoft-oplossingen in het bredere beveiligingsecosysteem.Additionally, there are built-in connectors to the broader security ecosystem for non-Microsoft solutions. U kunt ook algemene gebeurtenis indeling, syslog of de API voor representatieve status overdracht gebruiken om uw gegevens bronnen met Azure Sentinel te verbinden.You can also use Common Event Format, syslog, or the Representational State Transfer API to connect your data sources with Azure Sentinel.

Vereisten voor de integratie van Azure-Sentinel met Azure Security CenterRequirements for integrating Azure Sentinel with Azure Security Center

  1. Een Microsoft Azure-abonnementA Microsoft Azure Subscription
  2. Een Log Analytics-werk ruimte die niet de standaardwerk ruimte is die wordt gemaakt wanneer u Azure Security Center inschakelt.A Log Analytics workspace that isn't the default workspace created when you enable Azure Security Center.
  3. Azure Security Center met Security Center Standard-laag ingeschakeld.Azure Security Center with Security Center Standard tier enabled.

Alle drie de vereisten moeten aanwezig zijn als u de vorige sectie hebt bewerkt.All three requirements should be in place if you worked through the previous section.

Globale vereistenGlobal prerequisites

  • Om Azure Sentinel in te schakelen, hebt u inzendersmachtigingen nodig voor het abonnement waarin de Azure Sentinel-werkruimte zich bevindt.To enable Azure Sentinel, you need contributor permissions to the subscription in which the Azure Sentinel workspace resides.
  • Als u Azure Sentinel wilt gebruiken, hebt u Inzender-of lezer-machtigingen nodig voor de resource groep waartoe de werk ruimte behoort.To use Azure Sentinel, you need contributor or reader permissions on the resource group to which the workspace belongs.
  • Mogelijk hebt u aanvullende machtigingen nodig om verbinding te maken met specifieke gegevens bronnen.You might need additional permissions to connect specific data sources. U hebt geen aanvullende machtigingen nodig om verbinding te maken met ASC.You don't need additional permissions to connect to ASC.
  • Azure Sentinel is een betaalde service.Azure Sentinel is a paid service. Raadpleeg de Azure Sentinel-prijzenvoor meer informatie.For more information, refer to Azure Sentinel pricing.

Azure Sentinel inschakelen Enable Azure Sentinel

  1. Meld u aan bij de Azure Portal met een gebruiker die Inzender rechten heeft voor ASC-Sentinelworkspace.Sign into the Azure portal with a user that has contributor rights for ASC-Sentinelworkspace.
  2. Zoek en selecteer Azure Sentinel.Search for and select Azure Sentinel. Zoek in het Azure Portal naar de term ' Azure Sentinel 'In the Azure portal search for the term "Azure Sentinel"
  3. Selecteer Toevoegen.Select Add.
  4. Selecteer in de Azure Sentinel -Blade de optie ASC-Sentinelworkspace.On the Azure Sentinel blade, select ASC-Sentinelworkspace.
  5. Selecteer in azure Sentinel Data connectors in het Navigatie menu.In Azure Sentinel, select Data connectors from the navigation menu.
  6. Selecteer in de galerie data connectors de optie Azure Security Center en selecteer vervolgens de knop connector pagina openen .From the data connectors gallery, select Azure Security Center, and select the Open connector page button. In azure Sentinel met de pagina open CollectorsIn Azure Sentinel showing the open Collectors page
  7. Onder configuratie selecteert u verbinding maken naast de abonnementen waarvoor u wilt dat waarschuwingen worden gestreamd naar Azure Sentinel.Under Configuration, select Connect next to those subscriptions for which you want alerts to stream into Azure Sentinel. De knop verbinding maken is alleen beschikbaar als u de vereiste machtigingen en het ASC-abonnement voor de Standard-laag hebt.The Connect button will be available only if you have the required permissions and the ASC Standard tier subscription.
  8. U ziet nu de verbindings status als verbinding maken.You should now observe the Connection Status as Connecting. Nadat verbinding is gemaakt, wordt de verbinding met ingeschakeld.After connecting, it will switch to Connected.
  9. Nadat u de connectiviteit hebt bevestigd, kunt u de instellingen voor de ASC Data Connector sluiten en de pagina vernieuwen om waarschuwingen in azure Sentinel te bekijken.After confirming the connectivity, you can close ASC Data Connector settings and refresh the page to observe alerts in Azure Sentinel. Het kan enige tijd duren voordat de logboeken worden gesynchroniseerd met Azure Sentinel.It might take some time for the logs to start syncing with Azure Sentinel. Nadat u verbinding hebt gemaakt, ziet u een samen vatting van de gegevens in de grafiek ontvangen gegevens en de connectiviteits status van de gegevens typen.After you connect, you'll observe a data summary in the Data received graph and the connectivity status of the data types.
  10. U kunt selecteren of u wilt dat de waarschuwingen van Azure Security Center automatisch incidenten genereren in azure Sentinel.You can select whether you want the alerts from Azure Security Center to automatically generate incidents in Azure Sentinel. Schakel onder incidenten maken de optie ingeschakeld in om de standaard analyse regel in te scha kelen waarmee automatisch incidenten worden gemaakt op basis van waarschuwingen.Under Create incidents, select Enabled to turn on the default analytics rule that automatically creates incidents from alerts. U kunt deze regel vervolgens onder analyse bewerken op het tabblad actieve regels .You can then edit this rule under Analytics, in the Active rules tab.
  11. Als u het relevante schema in Log Analytics voor de Azure Security Center waarschuwingen wilt gebruiken, zoekt u naar SecurityAlert.To use the relevant schema in Log Analytics for the Azure Security Center alerts, search for SecurityAlert.

Een voor deel van het gebruik van Azure Sentinel als uw SIEM is dat de gegevens correlatie tussen meerdere bronnen wordt geboden, zodat u een end-to-end zicht baarheid kunt hebben van de beveiligings gebeurtenissen van uw organisatie.One advantage of using Azure Sentinel as your SIEM is that it provides data correlation across multiple sources, which enables you to have an end-to-end visibility of your organization’s security-related events.

Notitie

Raadpleeg Azure playbooks in TechNet Galleryvoor meer informatie over het verg Roten van de zicht baarheid in uw gegevens en het identificeren van mogelijke dreigingen. Deze bevat een verzameling resources, waaronder een lab waarin u aanvallen kunt simuleren.To learn how to increase visibility in your data and identify potential threats, refer to Azure playbooks on TechNet Gallery, which has a collection of resources including a lab in which you can simulate attacks. U moet dit lab niet gebruiken in een productie omgeving.You should not use this lab in a production environment.

Raadpleeg de volgende artikelen voor meer informatie over Azure Sentinel:To learn more about Azure Sentinel, refer to the following articles:

KostenoverwegingenCost considerations

ReferentiesReferences

Azure MonitorAzure Monitor

Azure Security CenterAzure Security Center

Azure SentinelAzure Sentinel

Azure StackAzure Stack