Przewodnik dotyczący planowania i operacjiPlanning and operations guide

Ten przewodnik jest przeznaczony dla specjalistów IT, architektów IT, analityków zabezpieczeń informacji i administratorów chmury do korzystania z Azure Security Center.This guide is for information technology (IT) professionals, IT architects, information security analysts, and cloud administrators planning to use Azure Security Center.

Przewodnik planowaniaPlanning guide

W tym przewodniku opisano zadania, które można wykonać, aby zoptymalizować korzystanie z Security Center na podstawie wymagań dotyczących zabezpieczeń i modelu zarządzania chmurą w organizacji.This guide covers tasks that you can follow to optimize your use of Security Center based on your organization's security requirements and cloud management model. Aby w pełni wykorzystać zalety usługi Security Center, trzeba zrozumieć, w jak różny sposób będą używać usługi poszczególne osoby i zespoły w organizacji, gdyż umożliwi to spełnienie wymagań związanych z bezpieczeństwem programowania i obsługi, monitorowaniem, zarządzaniem i reagowaniem na zdarzenia.To take full advantage of Security Center, it is important to understand how different individuals or teams in your organization use the service to meet secure development and operations, monitoring, governance, and incident response needs. Kluczowe obszary, które należy wziąć pod uwagę podczas planowania korzystania z usługi Security Center:The key areas to consider when planning to use Security Center are:

  • Role zabezpieczeń i kontrola dostępuSecurity Roles and Access Controls
  • Zasady zabezpieczeń i zalecenia w tym zakresieSecurity Policies and Recommendations
  • Zbieranie i przechowywanie danychData Collection and Storage
  • Dołączanie zasobów innych niż platformy AzureOnboarding non-Azure resources
  • Bieżące monitorowanie zabezpieczeńOngoing Security Monitoring
  • Reagowanie na zdarzeniaIncident Response

W następnej sekcji dowiesz się, jak utworzyć plan dla każdego z tych obszarów i zastosować te zalecenia w zależności od wymagań.In the next section, you will learn how to plan for each one of those areas and apply those recommendations based on your requirements.

Uwaga

Artykuł Azure Security Center frequently asked questions (FAQ) (Centrum zabezpieczeń Azure — często zadawane pytania) zawiera listę często zadawanych pytań, która również może być przydatna w fazie projektowania i planowania.Read Azure Security Center frequently asked questions (FAQ) for a list of common questions that can also be useful during the designing and planning phase.

Role zabezpieczeń i kontrola dostępuSecurity roles and access controls

W zależności od rozmiaru i struktury organizacji wiele osób oraz zespołów może korzystać z Centrum zabezpieczeń, aby wykonywać różne zadania związane z zabezpieczeniami.Depending on the size and structure of your organization, multiple individuals and teams may use Security Center to perform different security-related tasks. Poniższy diagram przedstawia przykład fikcyjnych osób oraz ich ról i obowiązków związanych z zabezpieczeniami:In the following diagram, you have an example of fictitious personas and their respective roles and security responsibilities:

Role

Usługa Security Center umożliwia tym osobom wypełnianie różnych obowiązków.Security Center enables these individuals to meet these various responsibilities. Na przykład:For example:

Jan (właściciel obciążenia)Jeff (Workload Owner)

  • Zarządza obciążeniem chmury i powiązanymi zasobamiManage a cloud workload and its related resources
  • Odpowiada za zaimplementowanie i utrzymanie ochrony zgodnie z zasadami zabezpieczeń firmyResponsible for implementing and maintaining protections in accordance with company security policy

Aneta (CISO/CIO)Ellen (CISO/CIO)

  • Odpowiada za wszystkie aspekty zabezpieczeń firmyResponsible for all aspects of security for the company
  • Chce zrozumieć poziom zabezpieczeń firmy w przypadku różnych obciążeń chmuryWants to understand the company's security posture across cloud workloads
  • Potrzebuje informacji o najpoważniejszych atakach i zagrożeniachNeeds to be informed of major attacks and risks

Daniel (Zabezpieczenia informatyczne)David (IT Security)

  • Określa firmowe zasady zabezpieczeń w celu zapewnienia odpowiedniej ochronySets company security policies to ensure the appropriate protections are in place
  • Monitoruje zgodność z zasadamiMonitors compliance with policies
  • Generuje raporty dla kierownictwa lub audytorówGenerates reports for leadership or auditors

Magda (operacje zabezpieczeń)Judy (Security Operations)

  • Bez przerwy monitoruje alerty zabezpieczeń i reaguje na nieMonitors and responds to security alerts 24/7
  • Eskaluje do właściciela obciążenia chmury lub analityka zabezpieczeń informatycznychEscalates to Cloud Workload Owner or IT Security Analyst

Stanisław (analityk zabezpieczeń)Sam (Security Analyst)

  • Bada atakiInvestigate attacks
  • Praca z właścicielem obciążenia chmury w celu zastosowania rozwiązaniaWork with Cloud Workload Owner to apply remediation

Security Center używa kontroli dostępu opartej na rolach platformy Azure (Azure RBAC), która udostępnia wbudowane role , które można przypisać do użytkowników, grup i usług na platformie Azure.Security Center uses Azure role-based access control (Azure RBAC), which provides built-in roles that can be assigned to users, groups, and services in Azure. Gdy użytkownik otwiera usługę Security Center, widzi tylko informacje dotyczące zasobów, do których ma dostęp.When a user opens Security Center, they only see information related to resources they have access to. Oznacza to, że użytkownik ma przypisaną rolę właściciela, współautora lub czytelnika subskrypcji albo grupy zasobów, do której należy zasób.Which means the user is assigned the role of Owner, Contributor, or Reader to the subscription or resource group that a resource belongs to. Oprócz tych ról istnieją dwie określone role usługi Security Center:In addition to these roles, there are two specific Security Center roles:

  • Czytelnik zabezpieczeń: użytkownik, który należy do tej roli, może wyświetlać tylko konfiguracje usługi Security Center, co obejmuje zalecenia, alerty, zasady i kondycję, ale nie może wprowadzać zmian.Security reader: a user that belongs to this role is able to view only Security Center configurations, which include recommendations, alerts, policy, and health, but it won't be able to make changes.
  • Administrator zabezpieczeń: użytkownik ma takie same uprawnienia, jak w przypadku roli Czytelnik zabezpieczeń, ale ma również możliwość aktualizowania zasad zabezpieczeń oraz odrzucania zaleceń i alertów.Security admin: same as security reader but it can also update the security policy, dismiss recommendations and alerts.

Opisane powyżej role usługi Security Center nie mają dostępu do innych obszarów usług platformy Azure, takich jak magazyn, sieć internetowa i aplikacje mobilne oraz Internet rzeczy.The Security Center roles described above do not have access to other service areas of Azure such as Storage, Web & Mobile, or Internet of Things.

Korzystając z osób wyjaśnionego na poprzednim diagramie, wymagana jest następująca kontrola RBAC platformy Azure:Using the personas explained in the previous diagram, the following Azure RBAC would be needed:

Jan (właściciel obciążenia)Jeff (Workload Owner)

  • Właściciel/współautor grupy zasobówResource Group Owner/Contributor

Aneta (CISO/CIO)Ellen (CISO/CIO)

  • Właściciel/współautor subskrypcji lub administrator zabezpieczeńSubscription Owner/Contributor or Security Admin

Daniel (Zabezpieczenia informatyczne)David (IT Security)

  • Właściciel/współautor subskrypcji lub administrator zabezpieczeńSubscription Owner/Contributor or Security Admin

Magda (operacje zabezpieczeń)Judy (Security Operations)

  • Czytelnik subskrypcji lub czytelnik zabezpieczeń przeglądający alertySubscription Reader or Security Reader to view Alerts
  • Właściciel/współautor subskrypcji lub administrator zabezpieczeń wymagany do odrzucania alertówSubscription Owner/Contributor or Security Admin required to dismiss Alerts

Stanisław (analityk zabezpieczeń)Sam (Security Analyst)

  • Czytelnik subskrypcji przeglądający alertySubscription Reader to view Alerts
  • Właściciel/współautor subskrypcji wymagany do odrzucania alertówSubscription Owner/Contributor required to dismiss Alerts
  • Może być wymagany dostęp do obszaru roboczegoAccess to the workspace may be required

Niektóre inne istotne informacje, które należy wziąć pod uwagę:Some other important information to consider:

  • Tylko właściciele lub współautorzy subskrypcji i administratorzy zabezpieczeń mogą edytować zasady zabezpieczeń.Only subscription Owners/Contributors and Security Admins can edit a security policy.
  • Tylko właściciele i współautorzy subskrypcji i grupy zasobów mogą stosować zalecenia dotyczące zabezpieczeń zasobu.Only subscription and resource group Owners and Contributors can apply security recommendations for a resource.

Planując kontrolę dostępu przy użyciu usługi Azure RBAC dla Security Center, pamiętaj, aby zrozumieć, kto w organizacji będzie używać Security Center.When planning access control using Azure RBAC for Security Center, be sure to understand who in your organization will be using Security Center. Ponadto typy zadań, które będą wykonywane, a następnie skonfigurują odpowiednio usługę Azure RBAC.Also, what types of tasks they will be performing and then configure Azure RBAC accordingly.

Uwaga

Zaleca się przypisanie użytkownikom najbardziej ograniczonej roli wystarczającej do wykonywania zadań.We recommend that you assign the least permissive role needed for users to complete their tasks. Na przykład użytkownikom, którzy muszą tylko przeglądać informacje o stanie zabezpieczeń zasobów, ale nie muszą podejmować działań, np. stosować zaleceń ani edytować zasad, należy przypisać rolę czytelnika.For example, users who only need to view information about the security state of resources but not take action, such as applying recommendations or editing policies, should be assigned the Reader role.

Zasady zabezpieczeń i zalecenia w tym zakresieSecurity policies and recommendations

Zasady zabezpieczeń definiują pożądaną konfigurację Twoich obciążeń oraz pomagają zapewnić zgodność z wymaganiami dotyczącymi zabezpieczeń określonymi przez firmę lub przepisy.A security policy defines the desired configuration of your workloads and helps ensure compliance with company or regulatory security requirements. W usłudze Security Center możesz zdefiniować zasady dla swoich subskrypcji platformy Azure, które mogą być dopasowane do typu obciążenia oraz poufności danych.In Security Center, you can define policies for your Azure subscriptions, which can be tailored to the type of workload or the sensitivity of data.

Zasady usługi Security Center zawierają następujące składniki:Security Center policies contain the following components:

  • Zbieranie danych: ustawienia agenta aprowizacji i zbierania danych.Data collection: agent provisioning and data collection settings.
  • Zasady zabezpieczeń: Azure Policy , który określa, które kontrolki są monitorowane i zalecane przez Security Center, lub użyj Azure Policy do tworzenia nowych definicji, definiowania dodatkowych zasad i przypisywania zasad w grupach zarządzania.Security policy: an Azure Policy that determines which controls are monitored and recommended by Security Center, or use Azure Policy to create new definitions, define additional policies, and assign policies across management groups.
  • Wiadomości e-mail z powiadomieniami: ustawienia kontaktów i powiadomień dotyczących zabezpieczeń.Email notifications: security contacts and notification settings.
  • Warstwa cenowa: z usługą Azure Defender lub bez niej, która określa, które funkcje Security Center są dostępne dla zasobów w zakresie (można je określić dla subskrypcji i obszarów roboczych lub grup zasobów przy użyciu interfejsu API).Pricing tier: with or without Azure Defender, which determine which Security Center features are available for resources in scope (can be specified for subscriptions and workspaces, or resource groups using the API).

Uwaga

Określenie kontaktu dotyczącego zabezpieczeń, za pomocą którego zespół platformy Azure może się skontaktować z odpowiednią osobą w Twojej organizacji, jeśli wystąpi incydent związany z zabezpieczeniami.Specifying a security contact will ensure that Azure can reach the right person in your organization if a security incident occurs. Aby uzyskać więcej informacji na temat sposobu włączania tego zalecenia, przeczytaj Provide security contact details in Azure Security Center (Wprowadzanie danych kontaktowych na potrzeby zabezpieczeń w usłudze Azure Security Center).Read Provide security contact details in Azure Security Center for more information on how to enable this recommendation.

Definicje i zalecenia dotyczące zasad zabezpieczeńSecurity policies definitions and recommendations

Usługa Security Center automatycznie tworzy domyślne zasady zabezpieczeń dla każdej Twojej subskrypcji platformy Azure.Security Center automatically creates a default security policy for each of your Azure subscriptions. Możesz edytować zasady w usłudze Security Center lub użyć usługi Azure Policy do utworzenia nowych definicji, zdefiniowania dodatkowych zasad i przypisania zasad w grupach zarządzania (które mogą reprezentować całą organizację, jednostki biznesowe w niej itp.) oraz monitorowania zgodności z tymi zasadami w tych zakresach.You can edit the policy in Security Center or use Azure Policy to create new definitions, define additional policies, and assign policies across Management Groups (which can represent the entire organization, a business unit in it etc.), and monitor compliance to these policies across these scopes.

Przed skonfigurowaniem zasad zabezpieczeń przejrzyj poszczególne zalecenia dotyczące zabezpieczeń i określ, czy te zasady są właściwe dla różnych subskrypcji i grup zasobów.Before configuring security policies, review each of the security recommendations, and determine whether these policies are appropriate for your various subscriptions and resource groups. Ważne jest również, aby zrozumieć, jakie działania powinny zostać podjęte w celu wypełnienia zaleceń dotyczących zabezpieczeń oraz kto w organizacji będzie odpowiedzialny za monitorowanie pod kątem nowych zaleceń i podejmowanie wymaganych działań.It is also important to understand what action should be taken to address Security Recommendations and who in your organization will be responsible for monitoring for new recommendations and taking the needed steps.

Zbieranie i przechowywanie danychData collection and storage

Azure Security Center używa agenta Log Analytics — jest to ten sam Agent, który jest używany przez usługę Azure Monitor do zbierania danych zabezpieczeń z maszyn wirtualnych.Azure Security Center uses the Log Analytics agent – this is the same agent used by the Azure Monitor service – to collect security data from your virtual machines. Dane zbierane z tego agenta będą przechowywane w obszarach roboczych log Analytics.Data collected from this agent will be stored in your Log Analytics workspace(s).

AgentAgent

W przypadku włączenia automatycznej obsługi administracyjnej w zasadach zabezpieczeń Agent Log Analytics (dla systemu Windows lub Linux) jest instalowany na wszystkich obsługiwanych maszynach wirtualnych platformy Azure i tworzonych nowych.When automatic provisioning is enabled in the security policy, the Log Analytics agent (for Windows or Linux) is installed on all supported Azure VMs, and any new ones that are created. Jeśli na maszynie wirtualnej lub komputerze jest już zainstalowany agent Log Analytics, Azure Security Center będzie korzystać z aktualnie zainstalowanego agenta.If the VM or computer already has the Log Analytics agent installed, Azure Security Center will leverage the current installed agent. Proces agenta został zaprojektowany jako nieinwazyjny i ma minimalny wpływ na wydajność maszyny wirtualnej.The agent's process is designed to be non-invasive and have very minimal impact on VM performance.

Agent Log Analytics dla systemu Windows wymaga użycia portu TCP 443.The Log Analytics agent for Windows requires use TCP port 443. Przeczytaj artykuł na temat rozwiązywania problemów, aby uzyskać więcej informacji.See the Troubleshooting article for additional details.

Jeśli w dowolnym momencie chcesz wyłączyć funkcję zbierania danych, możesz to zrobić w zasadach zabezpieczeń.If at some point you want to disable Data Collection, you can turn it off in the security policy. Jednak ponieważ agent Log Analytics może być używany przez inne usługi zarządzania i monitorowania platformy Azure, Agent nie zostanie odinstalowany automatycznie po wyłączeniu zbierania danych w programie Security Center.However, because the Log Analytics agent may be used by other Azure management and monitoring services, the agent will not be uninstalled automatically when you turn off data collection in Security Center. W razie potrzeby można odinstalować agenta ręcznie.You can manually uninstall the agent if needed.

Uwaga

Lista obsługiwanych maszyn wirtualnych znajduje się w artykule Azure Security Center frequently asked questions (FAQ) (Azure Security Center — często zadawane pytania [FAQ]).To find a list of supported VMs, read the Azure Security Center frequently asked questions (FAQ).

WorkspaceWorkspace

Obszar roboczy to zasób platformy Azure, który służy jako kontener dla danych.A workspace is an Azure resource that serves as a container for data. Ty i inni członkowie organizacji możecie używać wielu obszarów roboczych, aby zarządzać różnymi zestawami danych zebranymi z całej infrastruktury IT lub jej części.You or other members of your organization might use multiple workspaces to manage different sets of data that is collected from all or portions of your IT infrastructure.

Dane zbierane z agenta Log Analytics (w imieniu Azure Security Center) będą przechowywane w istniejących obszarach roboczych Log Analytics skojarzonych z subskrypcją platformy Azure lub w nowych obszarach roboczych, uwzględniając lokalizację geograficzną maszyny wirtualnej.Data collected from the Log Analytics agent (on behalf of Azure Security Center) will be stored in either an existing Log Analytics workspace(s) associated with your Azure subscription or a new workspace(s), taking into account the Geo of the VM.

W witrynie Azure Portal można wyświetlić listę swoich obszarów roboczych usługi Log Analytics, w tym wszystkich utworzonych przez usługę Azure Security Center.In the Azure portal, you can browse to see a list of your Log Analytics workspaces, including any created by Azure Security Center. W przypadku nowych obszarów roboczych zostanie utworzona powiązana grupa zasobów.A related resource group will be created for new workspaces. W obu przypadkach stosowana będzie następująca konwencja nazewnictwa:Both will follow this naming convention:

  • Obszar roboczy: DefaultWorkspace-[identyfikator-subskrypcji]-[lokalizacja-geograficzna]Workspace: DefaultWorkspace-[subscription-ID]-[geo]
  • Grupa zasobów: DefaultResourceGroup-[Geo]Resource Group: DefaultResourceGroup-[geo]

W przypadku obszarów roboczych utworzonych przez usługę Azure Security Center dane są przechowywane przez 30 dni.For workspaces created by Azure Security Center, data is retained for 30 days. W przypadku istniejących obszarów przechowywanie zależy od warstwy cenowej obszaru roboczego.For existing workspaces, retention is based on the workspace pricing tier. Jeśli chcesz, możesz również użyć istniejącego obszaru roboczego.If you want, you can also use an existing workspace.

Uwaga

Firma Microsoft podejmuje mocne zobowiązania w zakresie ochrony prywatności i bezpieczeństwa tych danych.Microsoft makes strong commitments to protect the privacy and security of this data. Firma Microsoft przestrzega surowych wymogów z zakresu zabezpieczeń i zgodności — od kodu po działanie usługi.Microsoft adheres to strict compliance and security guidelines—from coding to operating a service. Aby uzyskać więcej informacji na temat obsługi danych i poufności, należy przeczytać artykuł Azure Security Center — bezpieczeństwo danych.For more information about data handling and privacy, read Azure Security Center Data Security.

Dołączanie zasobów nienależących do platformy AzureOnboard non-Azure resources

Usługa Security Center może monitorować stan bezpieczeństwa komputerów nienależących do platformy Azure, ale musisz najpierw dołączyć te zasoby.Security Center can monitor the security posture of your non-Azure computers but you need to first onboard these resources. Odczytuj komputery spoza platformy Azure , aby uzyskać więcej informacji na temat dołączania zasobów nienależących do platformy Azure.Read Onboard non-Azure computers for more information on how to onboard non-Azure resources.

Bieżące monitorowanie zabezpieczeńOngoing security monitoring

Po wstępnej konfiguracji i zastosowaniu zaleceń usługi Security Center następny krok polega na uwzględnieniu procesów operacyjnych usługi Security Center.After initial configuration and application of Security Center recommendations, the next step is considering Security Center operational processes.

Omówienie usługi Security Center zapewnia spójny widok zabezpieczeń dla wszystkich podłączonych przez Ciebie zasobów należących do platformy Azure i nienależących do niej.The Security Center Overview provides a unified view of security across all your Azure resources and any non-Azure resources you have connected. W poniższym przykładzie pokazano środowisko zawierające wiele problemów do rozwiązania:The example below shows an environment with many issues to be addressed:

pulpit nawigacyjny

Uwaga

Usługa Security Center nie zakłóca zwykłych procedur operacyjnych, pasywnie monitoruje wdrożenia i zapewnia zalecenia na podstawie włączonych zasad zabezpieczeń.Security Center will not interfere with your normal operational procedures, it will passively monitor your deployments and provide recommendations based on the security policies you enabled.

Podczas pierwszego korzystania z Security Center dla bieżącego środowiska platformy Azure należy zapoznać się ze wszystkimi zaleceniami, które można wykonać na stronie zalecenia .When you first opt in to use Security Center for your current Azure environment, make sure that you review all recommendations, which can be done in the Recommendations page.

Zaplanuj odwiedzenie opcji analizy zagrożeń jako część codziennych operacji zabezpieczeń.Plan to visit the threat intelligence option as part of your daily security operations. Możesz tam zidentyfikować zagrożenia bezpieczeństwa środowiska, takie jak ustalenie, czy dany komputer jest częścią botnetu.There you can identify security threats against the environment, such as identify if a particular computer is part of a botnet.

Monitorowanie nowych lub zmodyfikowanych zasobówMonitoring for new or changed resources

Większość środowisk platformy Azure jest dynamiczna, a zasoby są regularnie tworzone, można je w górę lub w dół, ponownie skonfigurować i zmienić.Most Azure environments are dynamic, with resources regularly being created, spun up or down, reconfigured, and changed. Usługa Security Center pomaga zagwarantować widoczność stanu zabezpieczeń nowych zasobów.Security Center helps ensure that you have visibility into the security state of these new resources.

Po dodaniu nowych zasobów (maszyn wirtualnych, baz danych SQL) do środowiska Azure usługa Security Center wykrywa je automatycznie i rozpoczyna monitorowanie ich zabezpieczeń.When you add new resources (VMs, SQL DBs) to your Azure Environment, Security Center will automatically discover these resources and begin to monitor their security. Obejmuje to także role procesu roboczego i role sieci Web usługi PaaS.This also includes PaaS web roles and worker roles. Jeśli w zasadach zabezpieczeńwłączono funkcję zbierania danych, w przypadku maszyn wirtualnych zostaną automatycznie włączone dodatkowe funkcje monitorowania.If Data Collection is enabled in the Security Policy, additional monitoring capabilities will be enabled automatically for your virtual machines.

Należy również regularnie monitorować istniejące zasoby w celu wprowadzenia zmian w konfiguracji, które mogłyby spowodować ryzyko związane z bezpieczeństwem, odniesieniu od zalecanych linii bazowych i alertów zabezpieczeń.You should also regularly monitor existing resources for configuration changes that could have created security risks, drift from recommended baselines, and security alerts.

Wzmacnianie ochrony dostępu i aplikacjiHardening access and applications

W ramach operacji zabezpieczeń należy również zastosować środki zapobiegawcze w celu ograniczenia dostępu do maszyn wirtualnych i kontroli aplikacji, które są uruchomione na maszynach wirtualnych.As part of your security operations, you should also adopt preventative measures to restrict access to VMs, and control the applications that are running on VMs. Blokując ruch przychodzący na maszyny wirtualne platformy Azure, zmniejszasz narażenie na ataki, jednocześnie zapewniając łatwy dostęp do nawiązywania połączenia z maszynami wirtualnymi w razie potrzeby.By locking down inbound traffic to your Azure VMs, you are reducing the exposure to attacks, and at the same time providing easy access to connect to VMs when needed. Użyj funkcji dostępu just in Time do maszyny wirtualnej w celu ograniczenia dostępu do maszyn wirtualnych.Use just-in-time VM access access feature to hardening access to your VMs.

Możesz użyć adaptacyjnych kontrolek aplikacji , aby ograniczyć aplikacje, które mogą być uruchamiane na maszynach wirtualnych znajdujących się na platformie Azure.You can use adaptive application controls to limit which applications can run on your VMs located in Azure. Dzięki temu można zwiększyć ochronę maszyn wirtualnych przed złośliwym oprogramowaniem.Among other benefits, this helps harden your VMs against malware. Za pomocą uczenia maszynowego Security Center analizuje procesy uruchomione na maszynie wirtualnej, aby ułatwić tworzenie reguł listy dozwolonych.Using machine learning, Security Center analyzes processes running in the VM to help you create allow listing rules.

Reagowanie na zdarzeniaIncident response

Usługa Security Center wykrywa zagrożenia i powiadamia o nich, gdy tylko wystąpią.Security Center detects and alerts you to threats as they occur. Firmy powinny śledzić pojawianie się nowych alertów zabezpieczeń i w razie potrzeby podejmować działania w celu zbadania ataku lub usunięcia jego skutków.Organizations should monitor for new security alerts and take action as needed to investigate further or remediate the attack. Aby uzyskać więcej informacji na temat działania Security Center ochrony przed zagrożeniami, Przeczytaj, w jaki sposób Azure Security Center wykrywać zagrożenia i reagować nanie.For more information on how Security Center threat protection works, read How Azure Security Center detects and responds to threats.

Chociaż w tym artykule nie ma potrzeby pomocy przy tworzeniu własnego planu reagowania na zdarzenia, będziemy używać Microsoft Azure odpowiedzi na zabezpieczenia w cyklu życia chmury jako podstawę etapów reagowania na zdarzenia.While this article doesn't have the intent to assist you creating your own Incident Response plan, we are going to use Microsoft Azure Security Response in the Cloud lifecycle as the foundation for incident response stages. Poszczególne etapy przedstawiono na poniższym diagramie:The stages are shown in the following diagram:

Etapy odpowiedzi na zdarzenia w cyklu życia chmury

Uwaga

W tworzeniu takiego planu może pomóc Computer Security Incident Handling Guide (Przewodnik obsługi zdarzeń zabezpieczeń komputera) Narodowego Instytutu Norm i Technologii (NIST).You can use the National Institute of Standards and Technology (NIST) Computer Security Incident Handling Guide as a reference to assist you building your own.

Na poniższych etapach możesz używać alertów usługi Security Center:You can use Security Center Alerts during the following stages:

  • Wykrywanie: zidentyfikuj podejrzane działanie w co najmniej jednym zasobie.Detect: identify a suspicious activity in one or more resources.
  • Ocenianie: wykonaj wstępną ocenę, aby uzyskać więcej informacji na temat podejrzanego działania.Assess: perform the initial assessment to obtain more information about the suspicious activity.
  • Diagnozowanie: zastosuj czynności zaradcze, aby przeprowadzić procedurę techniczną rozwiązania problemu.Diagnose: use the remediation steps to conduct the technical procedure to address the issue.

Każdy alert zabezpieczeń zawiera informacje, które mogą ułatwić lepsze zrozumienie natury ataku i zasugerować możliwe ograniczenie jego skutków.Each Security Alert provides information that can be used to better understand the nature of the attack and suggest possible mitigations. Niektóre alerty zapewniają również linki do większej ilości informacji lub do innych źródeł informacji w ramach platformy Azure.Some alerts also provide links to either more information or to other sources of information within Azure. Dostarczonych informacji możesz użyć do dalszej analizy i rozpoczęcia rozwiązywania problemu. Możliwe jest również wyszukiwanie danych związanych z zabezpieczeniami przechowywanych w obszarze roboczym.You can use the information provided for further research and to begin mitigation, and you can also search security-related data that is stored in your workspace.

W poniższym przykładzie pokazano podejrzane działanie w protokole RDP:The following example shows a suspicious RDP activity taking place:

Podejrzane działania

Ta strona pokazuje szczegóły dotyczące godziny, o której nastąpił atak, nazwy hosta źródłowego, docelowej maszyny wirtualnej oraz poszczególnych kroków zaleceń.This page shows the details regarding the time that the attack took place, the source hostname, the target VM and also gives recommendation steps. W pewnych okolicznościach informacje źródłowe ataku mogą być puste.In some circumstances, the source information of the attack may be empty. Więcej informacji na temat działania tego typu znajduje się w artykule Missing Source Information in Azure Security Center Alerts (Brakujące informacje źródłowe w alertach Centrum zabezpieczeń Azure).Read Missing Source Information in Azure Security Center Alerts for more information about this type of behavior.

Po zidentyfikowaniu zagrożonego systemu można uruchomić automatyzację przepływu pracy , która została wcześniej utworzona.Once you identify the compromised system, you can run a workflow automation that was previously created. Są to zbiór procedur, które mogą być wykonywane z Security Center po wyzwoleniu alertu.These are a collection of procedures that can be executed from Security Center once triggered by an alert.

W obszarze jak korzystać z Azure Security Center & Microsoft Operations Management Suite dla wideo z odpowiedzią na zdarzenia można zobaczyć niektóre demonstracje pokazujące, w jaki sposób Security Center może być używany w każdym z tych etapów.In the How to Leverage the Azure Security Center & Microsoft Operations Management Suite for an Incident Response video, you can see some demonstrations that show how Security Center can be used in each one of those stages.

Uwaga

Aby uzyskać więcej informacji na temat korzystania z funkcji Security Center, zobacz temat Zarządzanie alertami zabezpieczeń i reagowanie na nie w Azure Security Center .Read Managing and responding to security alerts in Azure Security Center for more information on how to use Security Center capabilities to assist you during your Incident Response process.

Następne krokiNext steps

W tym dokumencie omówiono, jak zaplanować wykorzystanie usługi Security Center.In this document, you learned how to plan for Security Center adoption. Aby dowiedzieć się więcej na temat Centrum zabezpieczeń, zobacz następujące artykuły:To learn more about Security Center, see the following: