Conecte os servidores ativados do Azure Arc ao Centro de Segurança AzureConnect Azure Arc enabled servers to Azure Security Center

Este artigo fornece orientações sobre como embarcar num Azure Arc habilitado servidor para O Centro de Segurança Azure (Centro de Segurança Azure).This article provides guidance on how to onboard an Azure Arc enabled server to Azure Security Center (Azure Security Center). Isto ajuda-o a começar a recolher configurações relacionadas com segurança e registos de eventos para que possa recomendar ações e melhorar a sua postura de segurança geral do Azure.This helps you start collecting security-related configurations and event logs so you can recommend actions and improve your overall Azure security posture.

Nos seguintes procedimentos, ativa e configura o nível padrão do Azure Security Center na sua subscrição Azure.In the following procedures, you enable and configure Azure Security Center Standard tier on your Azure subscription. Isto fornece capacidades avançadas de proteção contra ameaças (ATP) e capacidades de deteção.This provides advanced threat protection (ATP) and detection capabilities. O processo inclui:The process includes:

  • Configurar um espaço de trabalho Log Analytics onde os registos e eventos são agregados para análise.Setup a Log Analytics workspace where logs and events are aggregated for analysis.
  • Atribua as políticas de segurança padrão do Centro de Segurança.Assign Security Center's default security policies.
  • Reveja as recomendações do Centro de Segurança Azure.Review Azure Security Center's recommendations.
  • Aplicar configurações recomendadas em servidores ativados pelo Arco Azure utilizando as reparações quick fix.Apply recommended configurations on Azure Arc enabled servers using the Quick Fix remediations.

Importante

Os procedimentos neste artigo pressupõe que já implementou VMs, ou servidores que estão a funcionar no local ou em outras nuvens, e que os ligou ao Arco de Azure. Se não o fez, as seguintes informações podem ajudá-lo a automatizar isto.The procedures in this article assumes you've already deployed VMs, or servers that are running on-premises or on other clouds, and you have connected them to Azure Arc. If you haven't, the following information can help you automate this.

Pré-requisitosPrerequisites

  1. Clone o repositório Azure Arc Jumpstart.Clone the Azure Arc Jumpstart repository.

    git clone https://github.com/microsoft/azure_arc
    
  2. Como mencionado, este guia começa no ponto onde já implementou e ligou VMs ou servidores de metal nu a Azure Arc. Para este cenário, utilizamos uma instância da Google Cloud Platform (GCP) que já foi ligada ao Arco Azure e é visível como um recurso no Azure.As mentioned, this guide starts at the point where you already deployed and connected VMs or bare-metal servers to Azure Arc. For this scenario, we use a Google Cloud Platform (GCP) instance that has been already connected to Azure Arc and is visible as a resource in Azure. Como mostrado nas seguintes imagens:As shown in the following screenshots:

    Uma imagem de um servidor ativado pelo Azure Arc no portal Azure.

    Uma imagem de detalhes de um servidor Azure Arc ativado no portal Azure.

  3. Instale ou atualize o Azure CLI.Install or update Azure CLI. O Azure CLI deve estar a executar a versão 2.7 ou mais tarde.Azure CLI should be running version 2.7 or later. Utilize az --version para verificar a sua versão instalada atual.Use az --version to check your current installed version.

  4. Criar um diretor de serviço Azure.Create an Azure service principal.

    Para ligar um servidor VM ou de metal nu ao Azure Arc, é necessário o principal do serviço Azure atribuído à função Contribuinte.To connect a VM or bare-metal server to Azure Arc, Azure service principal assigned with the Contributor role is required. Para criá-lo, inscreva-se na sua conta Azure e execute o seguinte comando.To create it, sign in to your Azure account and run the following command. Também pode executar este comando em Azure Cloud Shell.You can also run this command in Azure Cloud Shell.

    az login
    az ad sp create-for-rbac -n "<Unique SP Name>" --role contributor
    

    Por exemplo:For example:

    az ad sp create-for-rbac -n "http://AzureArcServers" --role contributor
    

    A saída deve ser assim:Output should look like this:

    {
      "appId": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
      "displayName": "AzureArcServers",
      "name": "http://AzureArcServers",
      "password": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
      "tenant": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX"
    }
    

Nota

Recomendamos vivamente que se encate o principal do serviço a um grupo específico de subscrição e recursos da Azure.We highly recommend that you scope the service principal to a specific Azure subscription and resource group.

Centro de Segurança Azure a bordoOnboard Azure Security Center

  1. Os dados recolhidos pelo Azure Security Center são armazenados num espaço de trabalho log analytics.Data collected by Azure Security Center is stored in a Log Analytics workspace. Pode utilizar o padrão criado pelo Azure Security Center ou um personalizado criado por si.You can either use the default one created by Azure Security Center or a custom one created by you. Se pretender criar um espaço de trabalho dedicado, pode automatizar a implementação editando o ficheiro de parâmetrosdo modelo Azure Resource Manager (modelo ARM), fornecer um nome e localização para o seu espaço de trabalho:If you want to create a dedicated workspace, you can automate the deployment by editing the Azure Resource Manager template (ARM template) parameters file, provide a name and location for your workspace:

    Uma imagem de um modelo ARM.

  2. Para implantar o modelo ARM, navegue na pasta de implantação e execute o seguinte comando:To deploy the ARM template, navigate to the deployment folder and run the following command:

    az deployment group create --resource-group <Name of the Azure resource group> \
    --template-file <The `log_analytics-template.json` template file location> \
    --parameters <The `log_analytics-template.parameters.json` template file location>
    
  3. Se for para um espaço de trabalho definido pelo utilizador, deve instruir o Centro de Segurança a usá-lo em vez do predefinido, utilize o seguinte comando:If you are going for an user-defined workspace, you should instruct Security Center to use it instead of the default one, use the following command:

    az security workspace-setting create --name default \
    --target-workspace '/subscriptions/<Your subscription ID>/resourceGroups/<Name of the Azure resource group>/providers/Microsoft.OperationalInsights/workspaces/<Name of the Log Analytics Workspace>'
    
  4. Selecione o nível do Centro de Segurança Azure.Select the Azure Security Center tier. O nível Free está ativado em todas as suas subscrições Azure por padrão e fornecerá uma avaliação contínua de segurança e recomendações de segurança accibilizadas.The Free tier is enabled on all your Azure subscriptions by default and will provide continuous security assessment and actionable security recommendations. Neste guia, você usa o nível Standard para Máquinas Virtuais Azure que amplia estas capacidades fornecendo uma gestão unificada de segurança e proteção de ameaças através das suas cargas de trabalho em nuvem híbrida.In this guide, you use the Standard tier for Azure Virtual Machines that extends these capabilities providing unified security management and threat protection across your hybrid cloud workloads. Para ativar o nível standard do Centro de Segurança Azure para VMs, executar o seguinte comando:To enable the Standard tier of Azure Security Center for VMs, run the following command:

    az security pricing create -n VirtualMachines --tier 'standard'
    
  5. Atribua a iniciativa política do Centro de Segurança padrão.Assign the default Security Center policy initiative. O Azure Security Center faz as suas recomendações de segurança com base em políticas.Azure Security Center makes its security recommendations based on policies. Existe uma iniciativa específica que agru como as políticas do Centro de Segurança com a definição 1f3afdf9-d0c9-4c3d-847f-89da613e70a8 ID.There is an specific initiative that groups Security Center policies with the definition ID 1f3afdf9-d0c9-4c3d-847f-89da613e70a8. O seguinte comando atribuirá a iniciativa do Centro de Segurança Azure à sua subscrição.The following command will assign the Azure Security Center initiative to your subscription.

    az policy assignment create --name 'Azure Security Center Default <Your subscription ID>' \
    --scope '/subscriptions/<Your subscription ID>' \
    --policy-set-definition '1f3afdf9-d0c9-4c3d-847f-89da613e70a8'
    

Integração do Azure Arc e do Centro de Segurança AzureAzure Arc and Azure Security Center integration

Depois de ter conseguido entrar no Azure Security Center, receberá recomendações para o ajudar a proteger os seus recursos, incluindo os seus servidores ativados pelo Azure Arc.After you successfully onboard Azure Security Center, you'll get recommendations to help you protect your resources, including your Azure Arc enabled servers. O Azure Security Center analisará periodicamente o estado de segurança dos seus recursos Azure para identificar potenciais vulnerabilidades de segurança.Azure Security Center will periodically analyze the security state of your Azure resources to identify potential security vulnerabilities.

Na secção de Aplicações & Compute em VM & Servers, o Azure Security Center fornece uma visão geral de todas as recomendações de segurança descobertas para os seus VMs e computadores, incluindo VMs Azure, VMs clássicos Azure, servidores e máquinas Azure Arc.In the Compute & Apps section under VM & Servers, Azure Security Center provides an overview of all the discovered security recommendations for your VMs and computers, including Azure VMs, Azure classic VMs, servers, and Azure Arc machines.

Uma imagem de Compute & Apps no Centro de Segurança Azure.

Nos servidores ativados do Azure Arc, o Azure Security Center recomenda a instalação do agente Log Analytics.On the Azure Arc enabled servers, Azure Security Center recommends installing the Log Analytics agent. Cada recomendação também inclui:Each recommendation also includes:

  • Uma breve descrição da recomendação.A short description of the recommendation.
  • Um impacto de pontuação segura, neste caso, com um estatuto de High.A secure score impact, in this case, with a status of High.
  • As medidas de reparação a tomar para implementar a recomendação.The remediation steps to carry out in order to implement the recommendation.

Para recomendações específicas, como na imagem seguinte, também receberá uma Quick Fix que lhe permite remediar rapidamente uma recomendação sobre múltiplos recursos.For specific recommendations, like in the following screenshot, you will also get a Quick Fix that enables you to quickly remediate a recommendation on multiple resources.

Uma imagem de uma recomendação do Azure Security Center para o servidor ativado pelo Azure Arc.

Uma imagem de uma recomendação do Centro de Segurança Azure para instalar o Log Analytics.

A seguinte correção Quick Fix está a utilizar um modelo ARM para implantar a extensão do Agente de Monitorização da Microsoft na máquina Azure Arc.The following remediation Quick Fix is using an ARM template to deploy the Microsoft Monitoring Agent extension on the Azure Arc machine.

Uma imagem de um modelo de braço do Azure Security Center Quick Fix .

Pode acionar a remediação com o modelo ARM a partir do painel do Centro de Segurança Azure, selecionando o espaço de trabalho Log Analytics utilizado para o Centro de Segurança Azure e, em seguida, escolhendo o recurso Remediate 1.You can trigger the remediation with the ARM template from the Azure Security Center dashboard, by selecting the Log Analytics workspace used for Azure Security Center and then choosing Remediate 1 resource.

Uma imagem de como desencadear um passo de reparação no Centro de Segurança Azure.

Depois de aplicar a recomendação no servidor ativado Azure Arc, o recurso será marcado como saudável.After you apply the recommendation on the Azure Arc enabled server, the resource will be marked as healthy.

Uma imagem de um servidor saudável Azure Arc ativado.

Limpe o seu ambienteClean up your environment

Complete os seguintes passos para limpar o seu ambiente.Complete the following steps to clean up your environment.

  1. Retire as máquinas virtuais de cada ambiente seguindo as instruções de demolição de cada guia.Remove the virtual machines from each environment by following the teardown instructions from each guide.

  2. Remova o espaço de trabalho Log Analytics executando o seguinte script em Azure CLI.Remove the Log Analytics workspace by executing the following script in Azure CLI. Forneça o nome do espaço de trabalho que usou ao criar o espaço de trabalho Log Analytics.Provide the workspace name you used when creating the Log Analytics workspace.

az monitor log-analytics workspace delete --resource-group <Name of the Azure resource group> --workspace-name <Log Analytics Workspace Name> --yes