Hybrydowe monitorowanie zabezpieczeń przy użyciu usług Azure Security Center i Azure Sentinel

Log Analytics
Monitor
Security Center
Sentinel
Azure Stack

W tej architekturze referencyjnej pokazano, jak używać Azure Security Center i platformy Azure do monitorowania konfiguracji zabezpieczeń i telemetrii obciążeń lokalnych i systemu operacyjnego platformy Azure.This reference architecture illustrates how to use Azure Security Center and Azure Sentinel to monitor the security configuration and telemetry of on-premises and Azure operating system workloads. Obejmuje to Azure Stack.This includes Azure Stack.

Diagram ilustrujący wdrożone Microsoft Monitoring Agent w systemach lokalnych oraz na maszynach wirtualnych opartych na platformie Azure, które przesyłają dane do Azure Security Center i platformy Azure

Pobierz plik programu Visio z tą architekturą.Download a Visio file of this architecture.

Przykładowe typowe zastosowania tej architektury:Typical uses for this architecture include:

  • Najlepsze rozwiązania związane z integracją lokalnego monitorowania zabezpieczeń i telemetrii z obciążeniami opartymi na platformie AzureBest practices for integrating on-premises security and telemetry monitoring with Azure-based workloads
  • Jak zintegrować Azure Security Center z usługą Azure StackHow to integrate Azure Security Center with Azure Stack
  • Jak zintegrować Azure Security Center z platformą Azure — wskaźnikiemHow to integrate Azure Security Center with Azure Sentinel

ArchitekturaArchitecture

Niniejsza architektura zawiera następujące składniki:The architecture consists of the following components:

  • Azure Security Center.Azure Security Center. Jest to zaawansowana, ujednolicona Platforma zarządzania zabezpieczeniami, którą firma Microsoft oferuje wszystkim subskrybentom platformy Azure.This is an advanced, unified security-management platform that Microsoft offers to all Azure subscribers. Security Center jest segmentem w postaci usługi Cloud Security stan Management (CSPM) i platformy ochrony obciążeń w chmurze (CWPP).Security Center is segmented as a cloud security posture management (CSPM) and cloud workload protection platform (CWPP). CWPP jest definiowana przez skoncentrowane na obciążeniu rozwiązania ochrony zabezpieczeń, które są zazwyczaj oparte na agentach.CWPP is defined by workload-centric security protection solutions, which are typically agent-based. Azure Security Center zapewnia ochronę przed zagrożeniami dla obciążeń platformy Azure, zarówno lokalnych, jak i w innych chmurach, w tym maszyn wirtualnych z systemami Windows i Linux, kontenerami, bazami danych i Internet rzeczy (IoT).Azure Security Center provides threat protection for Azure workloads, both on-premises and in other clouds, including Windows and Linux virtual machines (VMs), containers, databases, and Internet of Things (IoT). Po aktywowaniu Agent Log Analytics automatycznie wdraża usługę Azure Virtual Machines.When activated, the Log Analytics agent deploys automatically into Azure Virtual Machines. W przypadku lokalnych serwerów z systemami Windows i Linux oraz maszyn wirtualnych można ręcznie wdrożyć agenta, skorzystać z narzędzia do wdrażania w organizacji, takiego jak Microsoft Endpoint Protection Manager lub użyć metod wdrażania przy użyciu skryptów.For on-premises Windows and Linux servers and VMs, you can manually deploy the agent, use your organization's deployment tool, such as Microsoft Endpoint Protection Manager, or utilize scripted deployment methods. Security Center rozpoczyna ocenianie stanu zabezpieczeń wszystkich maszyn wirtualnych, sieci, aplikacji i danych.Security Center begins assessing the security state of all your VMs, networks, applications, and data.
  • Wskaźnik na platformie Azure.Azure Sentinel. Usługa to natywne w chmurze rozwiązanie do zarządzania informacjami i zdarzeniami (SIEM) oraz funkcja automatycznej reakcji aranżacji (o), która korzysta z zaawansowanej analizy AI i zabezpieczeń, aby pomóc w wykrywaniu, wykryciu, zapobieganiu zagrożeniom i reagowaniu na nie w całym przedsiębiorstwie.Is a cloud-native Security Information and Event Management (SIEM) and security orchestration automated response (SOAR) solution that uses advanced AI and security analytics to help you detect, hunt, prevent, and respond to threats across your enterprise.
  • Azure Stack.Azure Stack. To portfolio produktów, które poszerzają usługi platformy Azure i możliwości w wybranym środowisku, od centrum danych do lokalizacji brzegowych i zdalnych biur.Is a portfolio of products that extend Azure services and capabilities to your environment of choice, from the datacenter to edge locations and remote offices. Systemy, które integrują się z Azure Stack zwykle używają stojaków z czterech do szesnastu serwerów utworzonych przez zaufanych partnerów sprzętu i dostarczane bezpośrednio do centrum danych.Systems that you integrate with Azure Stack typically utilize racks of four to sixteen servers, built by trusted hardware partners and delivered straight to your datacenter.
  • Azure monitor.Azure Monitor. Zbiera dane telemetryczne monitorowania z różnych źródeł lokalnych i platformy Azure.Collects monitoring telemetry from a variety of on-premises and Azure sources. Narzędzia do zarządzania, takie jak te w Azure Security Center i Azure Automation, również wypychanie danych dziennika do Azure Monitor.Management tools, such as those in Azure Security Center and Azure Automation, also push log data to Azure Monitor.
  • Log Analytics obszar roboczy.Log Analytics workspace. Azure Monitor przechowuje dane dzienników w obszarze roboczym Log Analytics, który jest kontenerem zawierającym informacje o danych i konfiguracji.Azure Monitor stores log data in a Log Analytics workspace, which is a container that includes data and configuration information.
  • Agent log Analytics.Log Analytics agent. Agent Log Analytics zbiera dane monitorowania z systemu operacyjnego gościa i obciążeń maszyn wirtualnych na platformie Azure, w innych dostawcach chmury i lokalnie.The Log Analytics agent collects monitoring data from the guest operating system and VM workloads in Azure, other cloud providers, and on-premises. Agent Log Analytics obsługuje konfigurację serwera proxy i, zazwyczaj w tym scenariuszu, Brama Microsoft Operations Management Suite (OMS) działa jako serwer proxy.The Log Analytics Agent supports Proxy configuration and, typically in this scenario, a Microsoft Operations Management Suite (OMS) Gateway acts as proxy.
  • Sieć lokalna.On-premises network. Jest to Zapora skonfigurowana do obsługi protokołu HTTPS wychodzącego z określonych systemów.This is the firewall configured to support HTTPS egress from defined systems.
  • Lokalne systemy Windows i Linux.On-premises Windows and Linux systems. Systemy z zainstalowanym agentem Log Analytics.Systems with the Log Analytics Agent installed.
  • Maszyny wirtualne z systemem Windows i Linux.Azure Windows and Linux VMs. Systemy, w których zainstalowano agenta monitorowania Azure Security Center.Systems on which the Azure Security Center monitoring agent is installed.

ZaleceniaRecommendations

Poniższe zalecenia dotyczą większości scenariuszy.The following recommendations apply for most scenarios. Należy się do nich stosować, jeśli nie ma konkretnych wymagań, które byłyby z nimi sprzeczne.Follow these recommendations unless you have a specific requirement that overrides them.

Uaktualnianie Azure Security CenterAzure Security Center upgrade

Ta architektura referencyjna używa Azure Security Center do monitorowania systemów lokalnych, maszyn wirtualnych platformy Azure, zasobów Azure monitor, a nawet maszyn wirtualnych hostowanych przez innych dostawców chmury.This reference architecture uses Azure Security Center to monitor on-premises systems, Azure VMs, Azure Monitor resources, and even VMs hosted by other cloud providers. Aby zapewnić obsługę tej funkcji, wymagana jest warstwa standardowa oparta na opłatach Azure Security Center.To support that functionality, the standard fee-based tier of Azure Security Center is needed. Zalecamy użycie 30-dniowej bezpłatnej wersji próbnej do zweryfikowania wymagań.We recommend that you use the 30-day free trial to validate your requirements.

Szczegółowe informacje o cenach Azure Security Center można znaleźć tutaj.Details about Azure Security Center pricing can be found here.

Dostosowany obszar roboczy Log AnalyticsCustomized Log Analytics Workspace

Wskaźnik rozwoju platformy Azure wymaga dostępu do obszaru roboczego log Analytics.Azure Sentinel needs access to a Log Analytics workspace. W tym scenariuszu nie można używać domyślnego obszaru roboczego Log Analytics ASC z platformą Azure.In this scenario, you can’t use the default ASC Log Analytics workspace with Azure Sentinel. Musisz utworzyć dostosowany obszar roboczy.You’ll need to create a customized workspace. Przechowywanie danych dla niestandardowego obszaru roboczego zależy od warstwy cenowej obszaru roboczego, a modele cen dla dzienników monitora można znaleźć tutaj.Data retention for a customized workspace is based on the workspace pricing tier, and you can find pricing models for Monitor Logs here.

Uwaga

Wskaźnik platformy Azure może działać w obszarach roboczych w dowolnym regionie ogólnego udostępnienia Log Analytics z wyjątkiem regionów Chińska i Niemcy (suwerenne).Azure Sentinel can run on workspaces in any general availability (GA) region of Log Analytics except the China and Germany (Sovereign) regions. Dane generowane przez firmę Azure wskazują, takie jak zdarzenia, zakładki i reguły alertów, które mogą zawierać niektóre dane klienta pochodzące z tych obszarów roboczych, są zapisywane w Europie (dla obszarów roboczych opartych na Europie), w Australii (dla obszarów roboczych opartych na Australii) lub w Wschodnie stany USA (dla obszarów roboczych znajdujących się w innym regionie).Data that Azure Sentinel generates, such as incidents, bookmarks, and alert rules, which may contain some customer data sourced from these workspaces, is saved either in Europe (for Europe-based workspaces), in Australia (for Australia-based workspaces), or in the East US (for workspaces located in any other region).

Zagadnienia dotyczące skalowalnościScalability considerations

Agent Log Analytics dla systemów Windows i Linux ma bardzo minimalny wpływ na wydajność maszyn wirtualnych lub systemów fizycznych.The Log Analytics Agent for Windows and Linux is designed to have very minimal impact on the performance of VMs or physical systems.

Proces operacyjny Azure Security Center nie zakłóca normalnych procedur operacyjnych.Azure Security Center operational process won’t interfere with your normal operational procedures. Zamiast tego, pasywnie monitoruje wdrożenia i zapewnia zalecenia na podstawie zasad zabezpieczeń, które są włączone.Instead, it passively monitors your deployments and provides recommendations based on the security policies you enable.

Zagadnienia dotyczące możliwości zarządzaniaManageability considerations

Role Azure Security CenterAzure Security Center roles

Security Center ocenia konfigurację zasobów, aby identyfikować problemy z zabezpieczeniami i luki w zabezpieczeniach, i wyświetla informacje dotyczące zasobu, gdy przypiszesz rolę właściciela, współautora lub czytelnika dla subskrypcji lub grupy zasobów, do której należy zasób.Security Center assesses your resources’ configuration to identify security issues and vulnerabilities, and displays information related to a resource when you are assigned the role of owner, contributor, or reader for the subscription or resource group to which a resource belongs.

Oprócz tych ról istnieją dwie określone role usługi Security Center:In addition to these roles, there are two specific Security Center roles:

  • Czytelnik zabezpieczeń.Security Reader. Użytkownik, który należy do tej roli, ma uprawnienia tylko do odczytu do Security Center.A user that belongs to this role has read only rights to Security Center. Użytkownik może zaobserwować zalecenia, alerty, zasady zabezpieczeń i Stany zabezpieczeń, ale nie może wprowadzać zmian.The user can observe recommendations, alerts, a security policy, and security states, but can’t make changes.

  • Administrator zabezpieczeń. Użytkownik należący do tej roli ma takie same prawa jak czytelnik zabezpieczeń, a także może aktualizować zasady zabezpieczeń i odrzucać alerty i zalecenia.Security Admin. A user that belongs to this role has the same rights as the Security Reader, and also can update security policies, and dismiss alerts and recommendations. Zazwyczaj są to użytkownicy, którzy zarządzają obciążeniem.Typically, these are users that manage the workload.

  • Role zabezpieczeń, czytelnik zabezpieczeń i administrator zabezpieczeń mają dostęp tylko w Security Center.The security roles, Security Reader and Security Admin, have access only in Security Center. Role zabezpieczeń nie mają dostępu do innych obszarów usługi platformy Azure, takich jak Storage, Web, Mobile lub IoT.The security roles don’t have access to other Azure service areas, such as storage, web, mobile, or IoT.

Subskrypcja usługi Azure wskaźnikowegoAzure Sentinel subscription

  • Aby włączyć wskaźnik na platformie Azure, musisz mieć uprawnienia współautora do subskrypcji, w której znajduje się obszar roboczy wskaźnik platformy Azure.To enable Azure Sentinel, you need contributor permissions to the subscription in which the Azure Sentinel workspace resides.
  • Aby korzystać z platformy Azure, musisz mieć uprawnienia współautora lub czytelnika w grupie zasobów, do której należy obszar roboczy.To use Azure Sentinel, you need contributor or reader permissions on the resource group to which the workspace belongs.
  • Azure Sentinel to usługa płatna.Azure Sentinel is a paid service. Aby uzyskać więcej informacji, zapoznaj się z cennikiem usługi Azure wskaźnikiem.For more information, refer to Azure Sentinel pricing.

Zagadnienia dotyczące bezpieczeństwaSecurity considerations

Zasady zabezpieczeń definiują zestaw formantów, które są zalecane dla zasobów w ramach określonej subskrypcji.A security policy defines the set of controls that are recommended for resources within a specified subscription. W Azure Security Center definiujesz zasady dla subskrypcji platformy Azure zgodnie z wymaganiami firmy dotyczącymi zabezpieczeń i typem aplikacji lub czułością danych dla każdej subskrypcji.In Azure Security Center, you define policies for your Azure subscriptions according to your company's security requirements and the type of applications or data sensitivity for each subscription.

Zasady zabezpieczeń, które można włączyć w programie Azure Security Center dysku zalecenia dotyczące zabezpieczeń i monitorowania.The security policies that you enable in Azure Security Center drive security recommendations and monitoring. Aby dowiedzieć się więcej na temat zasad zabezpieczeń, zapoznaj się z tematem wzmocnienie zasad zabezpieczeń przy użyciu Azure Security Center.To learn more about security policies, refer to Strengthen your security policy with Azure Security Center. Zasady zabezpieczeń można przypisywać w Azure Security Center tylko na poziomach zarządzania lub grupy subskrypcji.You can assign security policies in Azure Security Center only at the management or subscription group levels.

Uwaga

Część jednej z informacji o architekturze referencyjnej, w której można włączyć Azure Security Center monitorowania zasobów platformy Azure, systemów lokalnych i systemów Azure Stack.Part one of the reference architecture details how to enable Azure Security Center to monitor Azure resources, on-premises systems, and Azure Stack systems.

Wdrażanie rozwiązaniaDeploy the solution

Tworzenie obszaru roboczego Log Analytics w witrynie Azure PortalCreate a Log Analytics workspace in Azure Portal

  1. Zaloguj się do Azure Portal jako użytkownik z uprawnieniami administratora zabezpieczeń.Sign into the Azure portal as a user with Security Admin privileges.
  2. W Azure Portal wybierz pozycję wszystkie usługi.In the Azure portal, select All services. Na liście zasobów wprowadź log Analytics.In the list of resources, enter Log Analytics. Po rozpoczęciu wpisywania listy filtry są zależne od danych wejściowych.As you begin entering, the list filters based on your input. Wybierz log Analytics obszary robocze.Select Log Analytics workspaces.
  3. Na stronie Log Analytics wybierz pozycję Dodaj .Select Add on the Log Analytics page.
  4. Podaj nazwę nowego obszaru roboczego Log Analytics, na przykład ASC-SentinelWorkspace.Provide a name for the new Log Analytics workspace, such as ASC-SentinelWorkspace. Ta nazwa musi być globalnie unikatowa w ramach wszystkich subskrypcji Azure Monitor.This name must be globally unique across all Azure Monitor subscriptions.
  5. Wybierz subskrypcję, wybierając ją z listy rozwijanej, jeśli wybór domyślny nie jest odpowiedni.Select a subscription by selecting from the drop-down list if the default selection is not appropriate.
  6. W obszarze Grupa zasobów wybierz opcję użycia istniejącej grupy zasobów lub Utwórz nową.For Resource Group, choose to use an existing resource group or create a new one.
  7. W obszarze Lokalizacja Wybierz dostępną geolokalizację.For Location, select an available geolocation.
  8. Wybierz przycisk OK , aby zakończyć konfigurację.Select OK to complete the configuration. Utworzono nowy obszar roboczy dla architekturyNew Workspace created for the architecture

Włącz Security CenterEnable Security Center

Gdy nadal zalogowano się do Azure Portal jako użytkownik z uprawnieniami administratora zabezpieczeń, wybierz pozycję Security Center w panelu.While you're still signed into the Azure portal as a user with Security Admin privileges, select Security Center in the panel. Security Center — przegląd zostanie otwarty:Security Center - Overview opens:

Zostanie otwarty blok pulpit nawigacyjny przeglądu Security Center

Security Center automatycznie włącza bezpłatną warstwę dla dowolnych subskrypcji platformy Azure, które nie zostały wcześniej dołączone przez Ciebie lub innego użytkownika subskrypcji.Security Center automatically enables the Free tier for any of the Azure subscriptions not previously onboarded by you or another subscription user.

Zmiana warstwy na wyższą warstwę StandardowaUpgrade to the Standard tier

Ważne

Ta architektura referencyjna używa 30-dniowej bezpłatnej wersji próbnej Security Center warstwy Standardowa.This reference architecture uses the 30-day free trial of Security Center Standard tier.

  1. W menu głównym Security Center wybierz pozycję wprowadzenie.On the Security Center main menu, select Getting Started.
  2. Wybierz przycisk Uaktualnij teraz .Select the Upgrade Now button. Security Center wyświetla listę Twoich subskrypcji i obszarów roboczych, które kwalifikują się do użycia w warstwie Standardowa.Security Center lists your subscriptions and workspaces that are eligible for use in the Standard tier.
  3. Możesz wybrać kwalifikujące się obszary robocze i subskrypcje i rozpocząć korzystanie z wersji próbnej.You can select eligible workspaces and subscriptions to start your trial. Wybierz wcześniej utworzony obszar roboczy, ASC-SentinelWorkspace.Select the previously created workspace, ASC-SentinelWorkspace. z menu rozwijanego.from the drop-down menu.
  4. W menu głównym Security Center wybierz pozycję Rozpocznij okres próbny.In the Security Center main menu, select Start trial.
  5. Należy wyświetlić okno dialogowe Zainstaluj agentów .The Install Agents dialog box should display.
  6. Wybierz przycisk Zainstaluj agentów .Select the Install Agents button. Zostanie wyświetlony blok Security Center-pokrycie i zaobserwuj swoją wybraną subskrypcję na karcie pokrycie standardowe .  Blok pokrycia zabezpieczeń pokazujący, że subskrypcje powinny być otwarteThe Security Center - Coverage blade displays and you should observe your selected subscription in the Standard coverage tab. Security Coverage blade showing your subscriptions should be open

Teraz włączono automatyczną obsługę administracyjną, a Security Center zainstaluje agenta Log Analytics dla systemu Windows (HealthService.exe) i omsagent dla Linux na wszystkich obsługiwanych maszynach wirtualnych platformy Azure i wszystkich utworzonych nowych.You've now enabled automatic provisioning and Security Center will install the Log Analytics Agent for Windows (HealthService.exe) and the omsagent for Linux on all supported Azure VMs and any new ones that you create. Te zasady można wyłączyć i ręcznie zarządzać nimi, chociaż zdecydowanie zalecamy automatyczne Inicjowanie obsługi.You can turn off this policy and manually manage it, although we strongly recommend automatic provisioning.

Aby dowiedzieć się więcej na temat określonych funkcji Security Center dostępnych w systemach Windows i Linux, zapoznaj się z artykułem dotyczącym funkcji dla maszyn.To learn more about the specific Security Center features available in Windows and Linux, refer to Feature coverage for machines.

Włączanie Azure Security Center monitorowania lokalnych komputerów z systemem WindowsEnable Azure Security Center monitoring of on-premises Windows computers

  1. W witrynie Azure Portal w bloku Security Center — przegląd Wybierz kartę wprowadzenie .In the Azure Portal on the Security Center - Overview blade, select the Get Started tab.
  2. Wybierz pozycję Konfiguruj w obszarze Dodaj nowe komputery spoza platformy Azure.Select Configure under Add new non-Azure computers. Zostanie wyświetlona lista obszarów roboczych Log Analytics i powinna być uwzględniona wartość ASC-SentinelWorkspace.A list of your Log Analytics workspaces displays, and should include the ASC-SentinelWorkspace.
  3. Wybierz ten obszar roboczy.Select this workspace. Zostanie otwarty blok agenta bezpośredniego z linkiem umożliwiającym pobranie agenta systemu Windows i kluczy dla identyfikatora obszaru roboczego do użycia podczas konfigurowania agenta.The Direct Agent blade opens with a link for downloading a Windows agent and keys for your workspace identification (ID) to use when you configure the agent.
  4. Wybierz link Pobierz agenta systemu Windows odpowiadający typowi procesora komputera, aby pobrać plik instalacji.Select the Download Windows Agent link applicable to your computer processor type to download the setup file.
  5. Z prawej strony identyfikatora obszaru roboczego wybierz pozycję Kopiuj, a następnie wklej identyfikator do Notatnika.To the right of Workspace ID, select Copy, and then paste the ID into Notepad.
  6. Na prawo od klucza podstawowego wybierz opcję Kopiuj, a następnie wklej klucz do Notatnika.To the right of Primary Key, select Copy, and then paste the key into Notepad.

Instalowanie agenta systemu WindowsInstall the Windows agent

Aby zainstalować agenta na komputerach przeznaczonych do wykonania, wykonaj następujące kroki.To install the agent on the targeted computers, follow these steps.

  1. Skopiuj plik na komputer docelowy, a następnie Uruchom Instalatora.Copy the file to the target computer and then Run Setup.
  2. Na stronie powitalnej wybierz pozycję Dalej.On the Welcome page, select Next.
  3. Na stronie Postanowienia licencyjne zapoznaj się z postanowieniami licencyjnymi, a następnie wybierz pozycję Zgadzam się.On the License Terms page, read the license and then select I Agree.
  4. Na stronie Folder docelowy zmień lub pozostaw domyślny folder instalacji, a następnie wybierz pozycję Dalej.On the Destination Folder page, change or keep the default installation folder and then select Next.
  5. Na stronie Opcje instalacji agenta wybierz połączenie agenta z usługą Azure Log Analytics, a następnie wybierz pozycję Dalej.On the Agent Setup Options page, choose to connect the agent to Azure Log Analytics and then select Next.
  6. Na stronie Azure Log Analytics wklej identyfikator obszaru roboczego i klucz obszaru roboczego (klucz podstawowy) skopiowany do Notatnika w ramach poprzedniej procedury.On the Azure Log Analytics page, paste the Workspace ID and Workspace Key (Primary Key) that you copied into Notepad in the previous procedure.
  7. Jeśli komputer powinien wysyłać raporty do obszaru roboczego usługi Log Analytics w chmurze Azure dla instytucji rządowych, wybierz Wersja platformy Azure dla administracji USA z listy rozwijanej Azure Cloud.If the computer should report to a Log Analytics workspace in Azure Government cloud, select Azure US Government from the Azure Cloud drop-down list. Jeśli komputer musi komunikować się z usługą Log Analytics przy użyciu serwera proxy, wybierz pozycję Zaawansowane, a następnie podaj adres URL i numer portu serwera proxy.If the computer needs to communicate through a proxy server to the Log Analytics service, select Advanced, and then provide the proxy server's URL and port number.
  8. Po określeniu niezbędnych ustawień konfiguracji wybierz pozycję dalej.After you provide the necessary configuration settings, select Next. Strona instalacji agenta Log Analytics na potrzeby łączenia agenta z obszarem roboczym usługi Azure Log AnalyticsLog Analytics Agent setup page for connecting agent to an Azure Log Analytics workspace
  9. Na stronie Gotowe do zainstalowania przejrzyj wybrane opcje, a następnie wybierz pozycję Zainstaluj.On the Ready to Install page, review your choices and then select Install.
  10. Na stronie Konfiguracja została ukończona pomyślnie wybierz pozycję Zakończ.On the Configuration completed successfully page, select Finish.

Po zakończeniu Log Analytics Agent jest wyświetlany w panelu sterowania systemu Windows i można przejrzeć konfigurację i sprawdzić, czy Agent jest połączony.When complete, the Log Analytics agent appears in Windows Control Panel, and you can review your configuration and verify that the agent is connected.

Więcej informacji o instalowaniu i konfigurowaniu agenta można znaleźć w tematach Install log Analytics Agent na komputerach z systemem Windows.For further information about installing and configuring the agent, refer to Install Log Analytics agent on Windows computers.

Usługa Agent Log Analytics zbiera dane dotyczące zdarzeń i wydajności, wykonuje zadania i inne przepływy pracy zdefiniowane w pakiecie administracyjnym.The Log Analytics Agent service collects event and performance data, executes tasks, and other workflows defined in a management pack. Security Center rozszerza platformę ochrony obciążeń w chmurze przez integrację z usługą Microsoft Defender Advanced Threat Protection (ATP) dla serwerów.Security Center extends its cloud workload protection platforms by integrating with Microsoft Defender Advanced Threat Protection (ATP) for Servers. Razem zapewniają kompleksowe możliwości wykrywania i reagowania punktów końcowych (EDR).Together, they provide comprehensive endpoint detection and response (EDR) capabilities.

Aby uzyskać więcej informacji o usłudze Microsoft Defender ATP, zapoznaj się z tematem serwery dołączania do usługi Microsoft Defender ATP.For more information about Microsoft Defender ATP, refer to Onboard servers to the Microsoft Defender ATP service.

Włączanie Azure Security Center monitorowania lokalnych komputerów z systemem LinuxEnable Azure Security Center monitoring of on-premises Linux computers

  1. Wróć do karty wprowadzenie , jak opisano wcześniej.Return to the Getting Started tab as previously described.
  2. Wybierz pozycję Konfiguruj w obszarze Dodaj nowe komputery spoza platformy Azure.Select Configure under Add new non-Azure computers. Zostanie wyświetlona lista obszarów roboczych Log Analytics.A list of your Log Analytics workspaces displays. Lista powinna zawierać utworzoną przez siebie wartość ASC-SentinelWorkspace .The list should include the ASC-SentinelWorkspace that you created.
  3. W bloku agenta bezpośredniego w obszarze Pobierz i Dołącz agenta dla systemu Linux wybierz pozycję Kopiuj , aby skopiować polecenie Wget .On the Direct Agent blade under DOWNLOAD AND ONBOARD AGENT FOR LINUX, select copy to copy the wget command.
  4. Otwórz Notatnik, a następnie wklej to polecenie.Open Notepad and then paste this command. Zapisz ten plik w lokalizacji, do której można uzyskać dostęp z komputera z systemem Linux.Save this file to a location that you can access from your Linux computer.

Uwaga

W systemach operacyjnych UNIX i Linux Wget to narzędzie do pobierania plików nieinteraktywnych z sieci Web.On Unix and Linux operating systems, wget is a tool for non-interactive file downloading from the web. Obsługuje ona protokół HTTPS, FTPs i serwery proxy.It supports HTTPS, FTPs, and proxies.

Agent systemu Linux używa struktury demona inspekcji systemu Linux.The Linux agent uses the Linux Audit Daemon framework. Security Center integruje funkcje z tej struktury w ramach agenta Log Analytics, co umożliwia zbieranie, wzbogacanie i agregowanie rekordów inspekcji do zdarzeń przy użyciu agenta Log Analytics dla systemu Linux.Security Center integrates functionalities from this framework within the Log Analytics agent, which enables audit records to be collected, enriched, and aggregated into events by using the Log Analytics Agent for Linux. Security Center ciągle dodaje nową analizę, która używa sygnałów systemu Linux do wykrywania złośliwych zachowań na maszynach w chmurze i lokalnych systemach Linux.Security Center continuously adds new analytics that use Linux signals to detect malicious behaviors on cloud and on-premises Linux machines.

Listę alertów systemu Linux można znaleźć w tabeli referencyjnej alertów.For a list of the Linux alerts, refer to the Reference table of alerts.

Instalowanie agenta systemu LinuxInstall the Linux agent

Aby zainstalować agenta na komputerach z systemem Linux, wykonaj następujące kroki:To install the agent on the targeted Linux computers, follow these steps:

  1. Na komputerze z systemem Linux Otwórz wcześniej zapisany plik.On your Linux computer, open the file that you previously saved. Wybierz i Skopiuj całą zawartość, Otwórz konsolę terminala, a następnie wklej polecenie.Select and copy the entire content, open a terminal console, and then paste the command.
  2. Po zakończeniu instalacji możesz sprawdzić, czy omsagent jest zainstalowany, uruchamiając polecenie pgrep .Once the installation finishes, you can validate that the omsagent is installed by running the pgrep command. Polecenie zwróci identyfikator procesu omsagent (PID).The command will return the omsagent process identifier (PID). Dzienniki dla agenta można znaleźć pod adresem: /var/opt/Microsoft/omsagent/"obszar roboczy ID"/log/.You can find the logs for the agent at: /var/opt/microsoft/omsagent/"workspace id"/log/.

Wyświetlenie nowego komputera z systemem Linux w Security Center może potrwać do 30 minut.It can take up to 30 minutes for the new Linux computer to display in Security Center.

Włączanie Azure Security Center monitorowania maszyn wirtualnych Azure StackEnable Azure Security Center monitoring of Azure Stack VMs

Po dołączeniu subskrypcji platformy Azure możesz włączyć Security Center, aby chronić maszyny wirtualne działające na Azure Stack przez dodanie rozszerzenia maszyny wirtualnej Azure monitor do zarządzania aktualizacjami i konfiguracją z witryny Azure Stack Marketplace.After you onboard your Azure subscription, you can enable Security Center to protect your VMs running on Azure Stack by adding the Azure Monitor, Update and Configuration Management VM extension from the Azure Stack marketplace. W tym celu:To do this:

  1. Wróć do karty wprowadzenie , jak opisano wcześniej.Return to the Getting Started tab as previously described.
  2. Wybierz pozycję Konfiguruj w obszarze Dodaj nowe komputery spoza platformy Azure.Select Configure under Add new non-Azure computers. Zostanie wyświetlona lista Log Analytics obszarów roboczych, która powinna zawierać utworzony przez siebie element ASC-SentinelWorkspace .A list of your Log Analytics workspaces displays, and it should include the ASC-SentinelWorkspace that you created.
  3. W bloku agenta bezpośredniego znajduje się link umożliwiający pobranie agenta i kluczy dla identyfikatora obszaru roboczego do użycia podczas konfigurowania agenta.On the Direct Agent blade there is a link for downloading the agent and keys for your workspace ID to use during agent configuration. Nie musisz pobierać agenta ręcznie.You don’t need to download the agent manually. Zostanie ona zainstalowana jako rozszerzenie maszyny wirtualnej w poniższych krokach.It’ll be installed as a VM extension in the following steps.
  4. Z prawej strony identyfikatora obszaru roboczego wybierz pozycję Kopiuj, a następnie wklej identyfikator do Notatnika.To the right of Workspace ID, select Copy, and then paste the ID into Notepad.
  5. Na prawo od klucza podstawowego wybierz opcję Kopiuj, a następnie wklej klucz do Notatnika.To the right of Primary Key, select Copy, and then paste the key into Notepad.

Włączanie monitorowania ASC Azure Stack maszyn wirtualnychEnable ASC monitoring of Azure Stack VMs

Azure Security Center używa rozszerzenia maszyny wirtualnej Azure monitor do zarządzania aktualizacjami i konfiguracją, dołączonego do Azure Stack.Azure Security Center uses the Azure Monitor, Update and Configuration Management VM extension bundled with Azure Stack. Aby włączyć rozszerzenie Azure monitor, aktualizacji i zarządzania konfiguracją , wykonaj następujące kroki:To enable the Azure Monitor, Update and Configuration Management extension, follow these steps:

  1. Na nowej karcie przeglądarki Zaloguj się do portalu Azure Stack .In a new browser tab, sign into your Azure Stack portal.
  2. Zapoznaj się ze stroną maszyny wirtualne , a następnie wybierz maszynę wirtualną, która ma być chroniona za pomocą Security Center.Refer to the Virtual machines page, and then select the virtual machine that you want to protect with Security Center.
  3. Wybierz pozycję Rozszerzenia.Select Extensions. Zostanie wyświetlona lista rozszerzeń maszyn wirtualnych zainstalowana na tej maszynie wirtualnej.The list of VM extensions installed on this VM displays.
  4. Wybierz kartę Dodaj . Zostanie otwarty blok menu nowy zasób i zostanie wyświetlona lista dostępnych rozszerzeń maszyn wirtualnych.Select the Add tab. The New Resource menu blade opens and displays the list of available VM extensions.
  5. Wybierz rozszerzenie Azure monitor, aktualizacji i zarządzania konfiguracją, a następnie wybierz pozycję Utwórz.Select the Azure Monitor, Update and Configuration Management extension and then select Create. Zostanie otwarty blok konfiguracja rozszerzenia instalacji .The Install extension configuration blade opens.
  6. W bloku konfiguracja rozszerzenia instalacji wklej Identyfikator obszaru roboczego i klucz obszaru roboczego (klucz podstawowy) skopiowane do Notatnika w poprzedniej procedurze.On the Install extension configuration blade, paste the Workspace ID and Workspace Key (Primary Key) that you copied into Notepad in the previous procedure.
  7. Po zakończeniu podawania niezbędnych ustawień konfiguracji wybierz przycisk OK.When you finish providing the necessary configuration settings, select OK.
  8. Po zakończeniu instalacji rozszerzenia jego stan będzie wyświetlany, gdy Inicjowanie obsługi powiodło się.Once the extension installation completes, its status will display as Provisioning Succeeded. Pojawienie się maszyny wirtualnej w portalu Security Center może potrwać do godziny.It might take up to one hour for the VM to appear in the Security Center portal.

Aby uzyskać więcej informacji na temat instalowania i konfigurowania agenta dla systemu Windows, zapoznaj się z tematem Instalowanie agenta za pomocą Kreatora instalacji.For more information about installing and configuring the agent for Windows, refer to Install the agent using setup wizard.

Rozwiązywanie problemów z agentem systemu Linux można znaleźć w tematach rozwiązywania problemów z agentem log Analytics dla systemu Linux.For troubleshooting issues for the Linux agent, refer to How to troubleshoot issues with the Log Analytics agent for Linux.

Teraz możesz monitorować maszyny wirtualne platformy Azure oraz komputery spoza platformy Azure w jednym miejscu.Now you can monitor your Azure VMs and non-Azure computers in one place. Usługa Azure COMPUTE oferuje przegląd wszystkich maszyn wirtualnych i komputerów wraz z zaleceniami.Azure Compute provides you with an overview of all VMs and computers along with recommendations. Każda kolumna reprezentuje jeden zestaw zaleceń, a kolor reprezentuje maszyny wirtualne lub komputery oraz bieżący stan zabezpieczeń dla tego zalecenia.Each column represents one set of recommendations, and the color represents the VMs or computers and the current security state for that recommendation. Security Center również zapewnia wykrywanie dla tych komputerów w alertach zabezpieczeń.Security Center also provides any detections for these computers in security alerts. Lista ASC systemów monitorowanych w bloku obliczeniaASC list of systems monitored on the Compute blade

Istnieją dwa typy ikon przedstawianych w bloku Obliczanie:There are two types of icons represented on the Compute blade:

Ikona komputera purpurowego, która reprezentuje monitorowany komputer spoza platformy Azure Komputer spoza platformy AzureNon-Azure computer

Ikona terminalu Blue reprezentująca komputer monitorowany przez platformę Azure Komputer z platformą AzureAzure computer

Uwaga

Druga część architektury referencyjnej łączy alerty od Azure Security Center i przesyła strumieniowo do usługi Azure wskaźnikowej.Part two of the reference architecture will connect alerts from Azure Security Center and stream them into Azure Sentinel.

Rolą wskaźnikiem na platformie Azure jest pozyskiwanie danych z różnych źródeł danych i wykonywanie korelacji danych w tych źródłach danych.The role of Azure Sentinel is to ingest data from different data sources and perform data correlation across these data sources. Usługa Azure Learning wykorzystuje Uczenie maszynowe i AI, aby wypróbować zagrożenie, wykrywanie alertów i odpowiedzi na zagrożenia.Azure Sentinel leverages machine learning and AI to make threat hunting, alert detection, and threat responses smarter.

Aby wdrożyć usługę Azure Sentinel, musisz ją włączyć, a następnie połączyć ze źródłami danych.To onboard Azure Sentinel, you need to enable it, and then connect your data sources. Wskaźnik platformy Azure obejmuje wiele łączników dla rozwiązań firmy Microsoft, które są dostępne na bieżąco i zapewniają integrację w czasie rzeczywistym, w tym Microsoft Security Center, rozwiązania ochrony przed zagrożeniami firmy Microsoft, źródła Microsoft 365 (w tym Office 365), Azure Active Directory (Azure AD), Azure ATP, Microsoft Cloud App Security i inne.Azure Sentinel comes with a number of connectors for Microsoft solutions, which are available out of the box and provide real-time integration, including Microsoft Security Center, Microsoft Threat Protection solutions, Microsoft 365 sources (including Office 365), Azure Active Directory (Azure AD), Azure ATP, Microsoft Cloud App Security, and more. Ponadto istnieją wbudowane łączniki dla szerszego ekosystemu zabezpieczeń obejmującego rozwiązania firm innych niż Microsoft.Additionally, there are built-in connectors to the broader security ecosystem for non-Microsoft solutions. Możesz również użyć typowego formatu zdarzeń, dziennika systemowego lub interfejsu API transferu stanu, aby połączyć źródła danych z platformą Azure.You can also use Common Event Format, syslog, or the Representational State Transfer API to connect your data sources with Azure Sentinel.

Wymagania dotyczące integrowania platformy Azure ze wskaźnikami Azure Security CenterRequirements for integrating Azure Sentinel with Azure Security Center

  1. Subskrypcja Microsoft AzureA Microsoft Azure Subscription
  2. Obszar roboczy Log Analytics, który nie jest domyślnym obszarem roboczym tworzonym po włączeniu Azure Security Center.A Log Analytics workspace that isn't the default workspace created when you enable Azure Security Center.
  3. Azure Security Center z włączoną Security Center warstwą standardową.Azure Security Center with Security Center Standard tier enabled.

Wszystkie trzy wymagania powinny być stosowane w przypadku pracy w poprzedniej sekcji.All three requirements should be in place if you worked through the previous section.

Ogólne wymagania wstępneGlobal prerequisites

  • Aby włączyć wskaźnik na platformie Azure, musisz mieć uprawnienia współautora do subskrypcji, w której znajduje się obszar roboczy wskaźnik platformy Azure.To enable Azure Sentinel, you need contributor permissions to the subscription in which the Azure Sentinel workspace resides.
  • Aby korzystać z platformy Azure, musisz mieć uprawnienia współautora lub czytelnika w grupie zasobów, do której należy obszar roboczy.To use Azure Sentinel, you need contributor or reader permissions on the resource group to which the workspace belongs.
  • Aby połączyć określone źródła danych, mogą być potrzebne dodatkowe uprawnienia.You might need additional permissions to connect specific data sources. Nie potrzebujesz dodatkowych uprawnień, aby nawiązać połączenie z usługą ASC.You don't need additional permissions to connect to ASC.
  • Azure Sentinel to usługa płatna.Azure Sentinel is a paid service. Aby uzyskać więcej informacji, zapoznaj się z cennikiem usługi Azure wskaźnikiem.For more information, refer to Azure Sentinel pricing.

Włączanie usługi Azure SentinelEnable Azure Sentinel

  1. Zaloguj się do Azure Portal przy użyciu użytkownika, który ma uprawnienia współautora w ramach ASC-Sentinelworkspace.Sign into the Azure portal with a user that has contributor rights for ASC-Sentinelworkspace.
  2. Wyszukaj i wybierz pozycję wskaźnik na platformie Azure.Search for and select Azure Sentinel. W Azure Portal wyszukaj termin "wskaźnik" platformy AzureIn the Azure portal search for the term "Azure Sentinel"
  3. Wybierz pozycję Dodaj.Select Add.
  4. W bloku wskaźnikowego platformy Azure wybierz pozycję ASC-Sentinelworkspace.On the Azure Sentinel blade, select ASC-Sentinelworkspace.
  5. W obszarze wskaźnik platformy Azure wybierz pozycję Łączniki danych z menu nawigacji .In Azure Sentinel, select Data connectors from the navigation menu.
  6. W galerii łączniki danych wybierz pozycję Azure Security Center i wybierz przycisk Otwórz stronę łącznika .From the data connectors gallery, select Azure Security Center, and select the Open connector page button. W obszarze wskaźnik platformy Azure, na którym jest wyświetlana otwarta strona kolektorówIn Azure Sentinel showing the open Collectors page
  7. W obszarze Konfiguracja wybierz pozycję Połącz obok tych subskrypcji, dla których alerty mają być przesyłane strumieniowo do usługi Azure wskaźnikowej.Under Configuration, select Connect next to those subscriptions for which you want alerts to stream into Azure Sentinel. Przycisk Połącz będzie dostępny tylko wtedy, gdy masz wymagane uprawnienia i subskrypcję warstwy Standardowa ASC.The Connect button will be available only if you have the required permissions and the ASC Standard tier subscription.
  8. Teraz należy obserwować stan połączenia jako połączenie.You should now observe the Connection Status as Connecting. Po nawiązaniu połączenia nastąpi przełączenie na połączenie.After connecting, it will switch to Connected.
  9. Po potwierdzeniu łączności można zamknąć ustawienia łącznika danych ASC i odświeżyć stronę, aby obserwować alerty na platformie Azure wskaźnikowej.After confirming the connectivity, you can close ASC Data Connector settings and refresh the page to observe alerts in Azure Sentinel. Synchronizacja dzienników z platformą Azure jest czasochłonna.It might take some time for the logs to start syncing with Azure Sentinel. Po nawiązaniu połączenia zobaczysz podsumowanie danych w grafie otrzymane dane i stan łączności typów danych.After you connect, you'll observe a data summary in the Data received graph and the connectivity status of the data types.
  10. Możesz wybrać, czy alerty od Azure Security Center mają automatycznie generować zdarzenia na platformie Azure.You can select whether you want the alerts from Azure Security Center to automatically generate incidents in Azure Sentinel. W obszarze Tworzenie zdarzeń wybierz pozycję włączone , aby włączyć domyślną regułę analizy, która automatycznie tworzy zdarzenia z alertów.Under Create incidents, select Enabled to turn on the default analytics rule that automatically creates incidents from alerts. Następnie można edytować tę regułę w obszarze Analiza na karcie aktywne reguły .You can then edit this rule under Analytics, in the Active rules tab.
  11. Aby użyć odpowiedniego schematu w Log Analytics dla alertów Azure Security Center, Wyszukaj pozycję SecurityAlert.To use the relevant schema in Log Analytics for the Azure Security Center alerts, search for SecurityAlert.

Jedną z zalet korzystania z platformy Azure jako SIEM jest to, że zapewnia ona korelację danych w wielu źródłach, co pozwala na kompleksową widoczność zdarzeń związanych z zabezpieczeniami w organizacji.One advantage of using Azure Sentinel as your SIEM is that it provides data correlation across multiple sources, which enables you to have an end-to-end visibility of your organization’s security-related events.

Uwaga

Aby dowiedzieć się, jak zwiększyć widoczność danych i zidentyfikować potencjalne zagrożenia, zapoznaj się z tematem Azure elementy PlayBook w galerii TechNet, która zawiera zbiór zasobów, w tym laboratorium, w którym można symulować ataki.To learn how to increase visibility in your data and identify potential threats, refer to Azure playbooks on TechNet Gallery, which has a collection of resources including a lab in which you can simulate attacks. Tego laboratorium nie należy używać w środowisku produkcyjnym.You should not use this lab in a production environment.

Aby dowiedzieć się więcej na temat platformy Azure, zobacz następujące artykuły:To learn more about Azure Sentinel, refer to the following articles:

  • Szybki Start: Rozpoczynanie pracy z platformą Azure — wskaźnikiemQuickstart: Get started with Azure Sentinel
  • Samouczek: wykrywanie zagrożeń wbudowanychTutorial: Detect threats out-of-the-box

Kwestie związane z kosztamiCost considerations

DokumentacjaReferences

Azure MonitorAzure Monitor

Azure Security CenterAzure Security Center

Usługa Azure SentinelAzure Sentinel

Azure StackAzure Stack