Planerings- och användningsguide för Azure Security CenterAzure Security Center planning and operations guide

Den här guiden är till för IT-experter, IT-arkitekter, informations säkerhets analytiker och moln administratörer som planerar att använda Azure Security Center.This guide is for information technology (IT) professionals, IT architects, information security analysts, and cloud administrators planning to use Azure Security Center.

PlaneringsanvisningarPlanning guide

Den här guiden beskriver uppgifter som du kan följa för att optimera din användning av Security Center baserat på din organisations säkerhets krav och moln hanterings modell.This guide covers tasks that you can follow to optimize your use of Security Center based on your organization’s security requirements and cloud management model. För att få ut mesta möjliga av Security Center är det viktigt att veta hur olika medarbetare och avdelningar i organisationen kommer att använda tjänsten så att kraven på säkerhet vid utvecklingsarbete, drift, övervakning, styrning och incidenthantering uppfylls.To take full advantage of Security Center, it is important to understand how different individuals or teams in your organization use the service to meet secure development and operations, monitoring, governance, and incident response needs. Tänk på följande när du planerar integreringen av Security Center:The key areas to consider when planning to use Security Center are:

  • Säkerhetsroller och åtkomstkontrollSecurity Roles and Access Controls
  • Säkerhetsprinciper och säkerhetsrekommendationerSecurity Policies and Recommendations
  • Datainsamling och lagringData Collection and Storage
  • Pågående icke-Azure-resurserOngoing non-Azure resources
  • Fortlöpande säkerhetsövervakningOngoing Security Monitoring
  • IncidenthanteringIncident Response

I nästa avsnitt lär du dig hur du planerar för vart och ett av dessa områden och hur du tillämpar rekommendationerna baserat på dina behov.In the next section, you will learn how to plan for each one of those areas and apply those recommendations based on your requirements.

Anteckning

På vår sida med vanliga frågor och svar om Azure Security Center finns en lista med ofta ställda frågor som kan vara bra att läsa i planerings- och utformningsfasen.Read Azure Security Center frequently asked questions (FAQ) for a list of common questions that can also be useful during the designing and planning phase.

Säkerhetsroller och åtkomstkontrollSecurity roles and access controls

Beroende på hur stor din organisation är och hur den är uppbyggd kan olika medarbetare och avdelningar använda Security Center för att utföra olika säkerhetsrelaterade arbetsuppgifter.Depending on the size and structure of your organization, multiple individuals and teams may use Security Center to perform different security-related tasks. Följande diagram innehåller exempel på fiktiva personer och deras olika roller och ansvarsområden:In the following diagram, you have an example of fictitious personas and their respective roles and security responsibilities:

Roller

Med Security Center kan dessa medarbetare effektivt sköta sina respektive arbetsuppgifter.Security Center enables these individuals to meet these various responsibilities. Exempel:For example:

Jens (arbetsbelastningsägare)Jeff (Workload Owner)

  • Hanterar en arbetsbelastning i molnet och relaterade resurser.Manage a cloud workload and its related resources
  • Ansvarig för att implementera och underhålla säkerheten i enlighet med företagets säkerhetspolicy.Responsible for implementing and maintaining protections in accordance with company security policy

Elisabeth (IT-chef)Ellen (CISO/CIO)

  • Ansvarig för alla säkerhetsaspekter på företaget.Responsible for all aspects of security for the company
  • Behöver ha en bra överblick över företagets säkerhet i alla arbetsbelastningar i molnet.Wants to understand the company's security posture across cloud workloads
  • Måste bli informerad om större attacker och risker.Needs to be informed of major attacks and risks

Daniel (IT-säkerhetsansvarig)David (IT Security)

  • Definierar företagets säkerhetsprinciper för att se till att rätt skyddsåtgärder finns på plats.Sets company security policies to ensure the appropriate protections are in place
  • Övervakar principefterlevnaden.Monitors compliance with policies
  • Genererar rapporter till chefer eller granskare.Generates reports for leadership or auditors

Selma (säkerhetsmedarbetare)Judy (Security Operations)

  • Övervakar och agerar på säkerhetsvarningar dygnet runt alla dagar i veckan.Monitors and responds to security alerts 24/7
  • Eskalerar till molnansvarig eller IT-säkerhetsanalytiker.Escalates to Cloud Workload Owner or IT Security Analyst

Sami (säkerhetsanalytiker)Sam (Security Analyst)

  • Undersöker attacker.Investigate attacks
  • Arbetar med företagets molnansvarige för att åtgärda problemetWork with Cloud Workload Owner to apply remediation

I Security Center används rollbaserad åtkomstkontroll, vilket innebär att det finns förinställda roller som kan tilldelas användare, grupper och tjänster i Azure.Security Center uses Role-Based Access Control (RBAC), which provides built-in roles that can be assigned to users, groups, and services in Azure. När en användare öppnar Security Center ser de bara information om de resurser som de har åtkomst till.When a user opens Security Center, they only see information related to resources they have access to. Detta betyder att användaren tilldelas rollen som ägare, deltagare eller läsare för den prenumeration eller resursgrupp som en resurs hör till.Which means the user is assigned the role of Owner, Contributor, or Reader to the subscription or resource group that a resource belongs to. Förutom dessa roller finns två specifika roller i Security Center:In addition to these roles, there are two specific Security Center roles:

  • Security-läsare: en användare som tillhör den här rollen kan bara visa Security Center-konfigurationer, vilket innehåller rekommendationer, aviseringar, principer och hälsa, men kan inte ändra.Security reader: a user that belongs to this role is able to view only Security Center configurations, which include recommendations, alerts, policy, and health, but it won't be able to make changes.
  • Security-admin: samma som security-läsare, men kan också uppdatera säkerhetsprinciper, stänga rekommendationer och aviseringar.Security admin: same as security reader but it can also update the security policy, dismiss recommendations and alerts.

Security Center-rollerna som beskrivs ovan har inte åtkomst till andra delar av Azure, till exempel lagring, webb och mobil eller IoT (sakernas internet).The Security Center roles described above do not have access to other service areas of Azure such as Storage, Web & Mobile, or Internet of Things.

Med utgångspunkt i de fiktiva personer som beskrivs i diagrammet ovan krävs följande rollbaserade åtkomst:Using the personas explained in the previous diagram, the following RBAC would be needed:

Jens (arbetsbelastningsägare)Jeff (Workload Owner)

  • Resurs grupp ägare/deltagareResource Group Owner/Contributor

Daniel (IT-säkerhetsansvarig)David (IT Security)

  • Prenumerationens ägare/deltagare eller säkerhets administratörSubscription Owner/Contributor or Security Admin

Selma (säkerhetsmedarbetare)Judy (Security Operations)

  • Läsare i prenumeration eller Security-läsare för att kunna se aviseringarSubscription Reader or Security Reader to view Alerts
  • Prenumerations ägare/deltagare eller säkerhets administratör som krävs för att ignorera aviseringarSubscription Owner/Contributor or Security Admin required to dismiss Alerts

Sami (säkerhetsanalytiker)Sam (Security Analyst)

  • Läsare i prenumeration för att kunna se aviseringarSubscription Reader to view Alerts
  • Prenumerationens ägare/deltagare krävs för att ignorera aviseringarSubscription Owner/Contributor required to dismiss Alerts
  • Åtkomst till arbetsytan kan krävasAccess to the workspace may be required

Tänk även på följande:Some other important information to consider:

  • Endast ägare och deltagare i prenumerationer samt Security-administratörer kan ändra säkerhetsprinciper.Only subscription Owners/Contributors and Security Admins can edit a security policy.
  • Endast ägare och deltagare i prenumerationer och resursgrupper kan tillämpa säkerhetsrekommendationer på en resurs.Only subscription and resource group Owners and Contributors can apply security recommendations for a resource.

När du planerar åtkomstkontroll med rollbaserad åtkomst (RBAC) för Security Center är det viktigt att du vet vem i din organisation som ska använda Security Center,When planning access control using RBAC for Security Center, be sure to understand who in your organization will be using Security Center. samt vilka typer av uppgifter som de ska utföra, innan du konfigurerar den rollbaserade åtkomsten.Also, what types of tasks they will be performing and then configure RBAC accordingly.

Anteckning

Vi rekommenderar att du ger användarna den roll som precis ger dem den behörighet de behöver för att kunna utföra sina arbetsuppgifter.We recommend that you assign the least permissive role needed for users to complete their tasks. De användare som till exempel endast behöver se information om säkerhetsstatusen på resurser men inte vidta några åtgärder, som att tillämpa rekommendationer eller ändra principer, bör få rollen som läsare.For example, users who only need to view information about the security state of resources but not take action, such as applying recommendations or editing policies, should be assigned the Reader role.

Säkerhetsprinciper och säkerhetsrekommendationerSecurity policies and recommendations

En säkerhetsprincip definierar den önskade konfigurationen för arbetsbelastningarna och hjälper till att säkerställa efterlevnaden av företagets eller bestämmelsemässiga säkerhetskrav.A security policy defines the desired configuration of your workloads and helps ensure compliance with company or regulatory security requirements. I Security Center kan du definiera principer för dina Azure-prenumerationer, som kan skräddarsys efter arbetsbelastningstyp eller datakänslighet.In Security Center, you can define policies for your Azure subscriptions, which can be tailored to the type of workload or the sensitivity of data.

Security Center-principer innehåller följande komponenter:Security Center policies contain the following components:

  • Datainsamling: agentetablering och datainsamlingsinställningar.Data collection: agent provisioning and data collection settings.
  • Säkerhets princip: en Azure policy som avgör vilka kontroller som övervakas och rekommenderas av Security Center, eller Använd Azure policy för att skapa nya definitioner, definiera ytterligare principer och tilldela principer över hanterings grupper.Security policy: an Azure Policy that determines which controls are monitored and recommended by Security Center, or use Azure Policy to create new definitions, define additional policies, and assign policies across management groups.
  • E-postmeddelanden: säkerhetskontakter och inställningar för meddelanden.Email notifications: security contacts and notification settings.
  • Prisnivå: val av kostnadsfritt eller standardpris, som bestämmer vilka Security Center-funktioner som är tillgängliga för resurser i omfattningen (kan anges för prenumerationer, resursgrupper och arbetsytor).Pricing tier: free or standard pricing selection, which determine which Security Center features are available for resources in scope (can be specified for subscriptions, resource groups and workspaces).

Anteckning

Om du anger en säkerhetskontakt säkerställer du att Azure kan nå rätt person i organisationen om en säkerhetsincident inträffar.Specifying a security contact will ensure that Azure can reach the right person in your organization if a security incident occurs. Mer information om hur du aktiverar den här rekommendationen finns i Lägga till kontaktuppgifter i Azure Security Center.Read Provide security contact details in Azure Security Center for more information on how to enable this recommendation.

Säkerhetsprincipdefinitioner och rekommendationerSecurity policies definitions and recommendations

Security Center skapar automatiskt en standardsäkerhetsprincip för var och en av dina Azure-prenumerationer.Security Center automatically creates a default security policy for each of your Azure subscriptions. Du kan redigera principen i Security Center eller använda Azure Policy för att skapa nya definitioner, definiera ytterligare principer och tilldela principer i hanteringsgrupper (som kan motsvara hela organisationen, en affärsenhet osv.) och övervaka efterlevnad av dessa principer i dessa omfattningar.You can edit the policy in Security Center or use Azure Policy to create new definitions, define additional policies, and assign policies across Management Groups (which can represent the entire organization, a business unit in it etc.), and monitor compliance to these policies across these scopes.

Innan du börjar konfigurera säkerhetsprinciper går du igenom de olika säkerhetsrekommendationerna och avgör om dessa principer passar dina olika prenumerationer och resursgrupper.Before configuring security policies, review each of the security recommendations, and determine whether these policies are appropriate for your various subscriptions and resource groups. Det är också viktigt att förstå vilka åtgärder som vidtas för att hantera säkerhetsrekommendationer och vem i din organisation är ansvarig för att övervaka nya rekommendationer och vidta nödvändiga åtgärder.It is also important to understand what action should be taken to address Security Recommendations and who in your organization will be responsible for monitoring for new recommendations and taking the needed steps.

Datainsamling och datalagringData collection and storage

Azure Security Center använder Microsoft Monitoring Agent – det här är samma agent som används av Azure Monitor-tjänsten – för att samla in säkerhets data från dina virtuella datorer.Azure Security Center uses the Microsoft Monitoring Agent – this is the same agent used by the Azure Monitor service – to collect security data from your virtual machines. Data som samlas in från den här agenten kommer att lagras i Log Analytics-arbetsytor.Data collected from this agent will be stored in your Log Analytics workspace(s).

agentAgent

När automatisk etablering är aktiverat i säkerhetsprincipen installeras Microsoft Monitoring Agent (för Windows eller Linux) på alla virtuella Azure-datorer som stöds och alla nya som skapas.When automatic provisioning is enabled in the security policy, the Microsoft Monitoring Agent (for Windows or Linux) is installed on all supported Azure VMs, and any new ones that are created. Om den virtuella datorn eller datorn redan har Microsoft Monitoring Agent installerad, kommer Azure Security Center att utnyttja den befintliga installerade agenten.If the VM or computer already has the Microsoft Monitoring Agent installed, Azure Security Center will leverage the current installed agent. Agentens process är avsedd att vara icke-inkräktande och har mycket minimal påverkan på den virtuella datorns prestanda.The agent’s process is designed to be non-invasive and have very minimal impact on VM performance.

Microsoft Monitoring Agent för Windows kräver TCP-port 443.The Microsoft Monitoring Agent for Windows requires use TCP port 443. Se Felsökningsartikeln för ytterligare information.See the Troubleshooting article for additional details.

Om du vid ett senare tillfälle vill inaktivera datainsamlingen kan du göra det i säkerhetsprincipen.If at some point you want to disable Data Collection, you can turn it off in the security policy. Men eftersom Microsoft Monitoring Agent kan användas av andra tjänster för hantering och övervakning av Azure kommer agenten inte att avinstalleras automatiskt när du inaktiverar data insamling i Security Center.However, because the Microsoft Monitoring Agent may be used by other Azure management and monitoring services, the agent will not be uninstalled automatically when you turn off data collection in Security Center. Du kan avinstallera agenten manuellt om det behövs.You can manually uninstall the agent if needed.

Anteckning

Om du vill veta vilka virtuella datorer som stöds finns en lista bland våra vanliga frågor och svar om Azure Security Center.To find a list of supported VMs, read the Azure Security Center frequently asked questions (FAQ).

ArbetsytaWorkspace

En arbetsyta är en Azure-resurs som fungerar som en datacontainer.A workspace is an Azure resource that serves as a container for data. Du eller andra medlemmar i din organisation kan använda flera arbetsytor för att hantera olika uppsättningar av data som samlas in från alla eller delar av din IT-infrastruktur.You or other members of your organization might use multiple workspaces to manage different sets of data that is collected from all or portions of your IT infrastructure.

Data som samlas in från Microsoft Monitoring Agent (för Azure Security Center) lagras i befintliga Log Analytics-arbetsytor som är associerade med din Azure-prenumeration eller nya arbetsytor med hänsyn till den virtuella datorns geografiska plats.Data collected from the Microsoft Monitoring Agent (on behalf of Azure Security Center) will be stored in either an existing Log Analytics workspace(s) associated with your Azure subscription or a new workspace(s), taking into account the Geo of the VM.

Du kan bläddra om du vill se en lista över dina logganalysarbetsytor, inklusive alla som skapats av Azure Security Center i Azure-portalen.In the Azure portal, you can browse to see a list of your Log Analytics workspaces, including any created by Azure Security Center. En relaterad resursgrupp skapas för nya arbetsytor.A related resource group will be created for new workspaces. Både följer namnkonventionen:Both will follow this naming convention:

  • Platsen DefaultWorkspace-[subscription-ID]-[geo]Workspace: DefaultWorkspace-[subscription-ID]-[geo]
  • Resursgrupp: DefaultResourceGroup-[geo]Resource Group: DefaultResourceGroup-[geo]

För arbetsytor som skapats av Azure Security Center sparas data i 30 dagar.For workspaces created by Azure Security Center, data is retained for 30 days. För befintliga arbetsytor baseras kvarhållningen på arbetsytans prisnivå.For existing workspaces, retention is based on the workspace pricing tier. Om du vill kan du även använda en befintlig arbetsyta.If you want, you can also use an existing workspace.

Anteckning

Microsoft arbetar hårt för att skydda sekretessen och säkerheten för dessa data.Microsoft makes strong commitment to protect the privacy and security of this data. Microsoft följer strikta riktlinjer för efterlevnad och säkerhet – från kodning till driften av en tjänst.Microsoft adheres to strict compliance and security guidelines—from coding to operating a service. Mer information om datahantering och sekretess finns i Datasäkerhet i Azure Security Center.For more information about data handling and privacy, read Azure Security Center Data Security.

Publicera icke-Azure-resurserOnboarding non-Azure resources

Security Center kan övervaka säkerhetsstatusen för icke-Azure-datorer men du måste först publicera dessa resurser.Security Center can monitor the security posture of your non-Azure computers but you need to first onboard these resources. Mer information om hur du publicerar icke-Azure-resurser finns i Publicera i Azure Security Center Standard för förbättrad säkerhet.Read Onboarding to Azure Security Center Standard for enhanced security for more information on how to onboarding non-Azure resources.

Fortlöpande säkerhetsövervakningOngoing security monitoring

När rekommendationerna i Security Center har ställts in och tillämpats är det dags att fundera över driftrutinerna i Security Center.After initial configuration and application of Security Center recommendations, the next step is considering Security Center operational processes.

Översikten över Security Center ger en enhetlig vy över säkerheten i alla dina Azure-resurser och eventuella icke-Azure-resurser som du har anslutit.The Security Center Overview provides a unified view of security across all your Azure resources and any non-Azure resources you have connected. Exemplet nedan visar en miljö med många problem att hantera:The example below shows an environment with many issues to be addressed:

instrumentpanel

Anteckning

Security Center påverkar inte de normala driftrutinerna. Alla distributioner övervakas passivt och rekommendationer går ut baserat på de säkerhetsprinciper som du har aktiverat.Security Center will not interfere with your normal operational procedures, it will passively monitor your deployments and provide recommendations based on the security policies you enabled.

Första gången du väljer att använda Security Center för din befintliga Azure-miljö är det viktigt att du läser igenom alla rekommendationer. Det kan du göra på bladet Rekommendationer eller för varje resurs (Compute, Networking, Storage & data och Application).When you first opt in to use Security Center for your current Azure environment, make sure that you review all recommendations, which can be done in the Recommendations tile or per resource (Compute, Networking, Storage & data, Application).

När du har genomfört alla rekommendationer bör skyddsdelen vara grön för alla resurser som du har åtgärdat.Once you address all recommendations, the Prevention section should be green for all resources that were addressed. Den fortlöpande övervakningen blir enklare efter det här eftersom du hädanefter bara behöver vidta åtgärder om det sker förändringar i resursernas säkerhetshälsa och i rekommendationsrutorna.Ongoing monitoring at this point becomes easier since you will only take actions based on changes in the resource security health and recommendations tiles.

Identifieringsdelen är mer reaktiv. Här visas varningar om problem som antingen precis uppstått eller som uppkommit tidigare men som nyss upptäckts genom kontrollerna i Security Center och i tredjepartssystem.The Detection section is more reactive, these are alerts regarding issues that are either taking place now, or occurred in the past and were detected by Security Center controls and 3rd party systems. I rutan med säkerhetsaviseringar visas diagram med antalet hotidentifieringsaviseringar som uppkommit per dag uppdelat efter olika allvarlighetsgrader (låg, medelhög och hög).The Security Alerts tile will show bar graphs that represent the number of threat detection alerts that were found in each day, and their distribution among the different severity categories (low, medium, high). Mer information om säkerhetsaviseringar finns i Hantera och åtgärda säkerhetsaviseringar i Azure Security Center.For more information about Security Alerts, read Managing and responding to security alerts in Azure Security Center.

Planera in att använda Hotinformation som en del av dina dagliga säkerhetsåtgärder.Plan to visit the threat intelligence option as part of your daily security operations. Där kan du identifiera säkerhetshot mot miljön, till exempel identifiera om en viss dator är en del av ett botnät.There you can identify security threats against the environment, such as identify if a particular computer is part of a botnet.

Övervakning av nya och ändrade resurserMonitoring for new or changed resources

De flesta Azure-miljöer är dynamiska, och de resurser som regelbundet skapas, anpassas upp eller ned, konfigureras om och ändras.Most Azure environments are dynamic, with resources regularly being created, spun up or down, reconfigured, and changed. Med Security Center har du bra insyn i de nya objektens säkerhetsstatus.Security Center helps ensure that you have visibility into the security state of these new resources.

När du lägger till nya resurser (virtuella datorer, SQL-databaser osv.) i Azure-miljön identifierar Security Center de här resurserna automatiskt och börjar övervaka deras säkerhet.When you add new resources (VMs, SQL DBs) to your Azure Environment, Security Center will automatically discover these resources and begin to monitor their security. Detta omfattar även arbetarroller och webbroller i PaaS.This also includes PaaS web roles and worker roles. Om datainsamling har aktiverats i säkerhetsprincipen aktiveras ytterligare övervakningsfunktioner för alla virtuella datorer automatiskt.If Data Collection is enabled in the Security Policy, additional monitoring capabilities will be enabled automatically for your virtual machines.

Huvuddelar

  1. För virtuella datorer klickar du på compute & Appsi avsnittet resurs säkerhets hygien .For virtual machines, click Compute & apps, under the Resource Security Hygiene section. Eventuella problem med att aktivera datainsamling eller tillhörande rekommendationer visas i fliken Översikt och Monitoring Recommendations (Övervakningsrekommendationer).Any issues with enabling data or related recommendations will be surfaced in the Overview tab, and Monitoring Recommendations section.
  2. Under Recommendations (Rekommendationer) kan du se om några säkerhetsrisker har upptäckts i den nya resursen.View the Recommendations to see what, if any, security risks were identified for the new resource.
  3. När nya virtuella datorer läggs till i miljön brukar det först bara vara operativsystemet som är installerat.It is very common that when new VMs are added to your environment, only the operating system is initially installed. Resursägaren kan behöva lite tid för att distribuera andra program som ska användas på de här datorerna.The resource owner might need some time to deploy other apps that will be used by these VMs. Helst bör du veta vilka planerna för arbetsbelastningen är.Ideally, you should know the final intent of this workload. Ska det vara en programserver?Is it going to be an Application Server? Beroende på vad den nya arbetsbelastningen ska bli kan du aktivera en säkerhetsprincip som passar, vilket är det tredje steget i det här arbetsflödet.Based on what this new workload is going to be, you can enable the appropriate Security Policy, which is the third step in this workflow.
  4. När nya resurser läggs till i din Azure-miljö kan nya aviseringar visas i panelen säkerhets aviseringar .As new resources are added to your Azure environment, new alerts may appear in the Security Alerts tile. Sök efter nya aviseringar i den här panelen och följ rekommendationerna.Look for new alerts in this tile and follow the recommendations.

Du bör också regelbundet övervaka befintliga resurser för konfigurations ändringar som kan ha skapat säkerhets risker, avvikelse från rekommenderade bas linjer och säkerhets aviseringar.You should also regularly monitor existing resources for configuration changes that could have created security risks, drift from recommended baselines, and security alerts. Starta på instrumentpanelen för Security Center.Start at the Security Center dashboard. Därifrån finns det tre viktiga områden att granska konsekvent.From there, you have three major areas to review on a consistent basis.

Åtgärder

  1. I rutan Förebyggande kan du snabbt gå till dina viktigaste resurser.The Prevention section panel provides you quick access to your key resources. Använd det här alternativet om du vill övervaka beräkning, nätverk, lagring och data samt program.Use this option to monitor Compute, Networking, Storage & data and Applications.
  2. I rutan Rekommendationer ser du rekommendationerna från Security Center.The Recommendations panel enables you to review Security Center recommendations. Under den pågående övervakningen kanske du upptäcker att du inte har rekommendationer per dag, vilket är normalt eftersom du har åtgärdat alla rekommendationer på den inledande Security Center installationen.During your ongoing monitoring, you may find that you don’t have recommendations on a daily basis, which is normal since you addressed all recommendations on the initial Security Center setup. Så det finns kanske inte ny information här varje dag och du behöver bara gå hit ibland.For this reason, you may not have new information in this section every day and will just need to access it as needed.
  3. Hur ofta innehållet i identifieringspanelen ändras kan variera ganska mycket.The Detection section might change on either a very frequent or very infrequent basis. Du bör alltid kontrollera säkerhetsaviseringarna och vidta åtgärder enligt rekommendationerna i Security Center.Always review your security alerts and take actions based on Security Center recommendations.

Härdning av åtkomst och programHardening access and applications

Som en del av dina säkerhetsåtgärder bör du även vidta förebyggande åtgärder för att begränsa åtkomsten till virtuella datorer och kontrollera programmen som körs på virtuella datorer.As part of your security operations, you should also adopt preventative measures to restrict access to VMs, and control the applications that are running on VMs. Genom att låsa inkommande trafik till dina virtuella Azure-datorer minskar du exponeringen för attacker och samtidigt ger du enkel anslutningsåtkomst till virtuella datorer när det behövs.By locking down inbound traffic to your Azure VMs, you are reducing the exposure to attacks, and at the same time providing easy access to connect to VMs when needed. Använd just-in-Time- funktionen för VM-åtkomst för att skärpa åtkomsten till dina virtuella datorer.Use just-in-time VM access feature to hardening access to your VMs.

Du kan använda anpassningsbara program kontroller för att begränsa vilka program som kan köras på dina virtuella datorer som finns i Azure.You can use Adaptive Application Controls to limit which applications can run on your VMs located in Azure. Bland andra förmåner hjälper detta till att förstärka dina virtuella datorer mot skadlig kod.Among other benefits, this helps harden your VMs against malware. Med maskin inlärning analyseras Security Center processer som körs i den virtuella datorn för att hjälpa dig att skapa vit listning-regler.Using machine learning, Security Center analyzes processes running in the VM to help you create whitelisting rules.

IncidenthanteringIncident response

Security Center identifierar och varnar dig om hot så fort de uppstår.Security Center detects and alerts you to threats as they occur. Organisationen bör övervaka om det kommer nya säkerhetsaviseringar och vidta de åtgärder som behövs för att undersöka vidare eller stoppa angreppet.Organizations should monitor for new security alerts and take action as needed to investigate further or remediate the attack. Mer information om hur Security Center hot identifiering fungerar finns i hur Azure Security Center identifierar och svarar på hot.For more information on how Security Center threat detection works, read How Azure Security Center detects and responds to threats.

Avsikten med den här artikeln är inte att hjälpa dig att skapa en egen incidenthanteringsplan, men vi ska använda Microsoft Azure Security Response i molnets livscykel för att beskriva de grundläggande incidenthanteringsfaserna.While this article doesn’t have the intent to assist you creating your own Incident Response plan, we are going to use Microsoft Azure Security Response in the Cloud lifecycle as the foundation for incident response stages. Stegen visas i följande diagram:The stages are shown in the following diagram:

Misstänkt aktivitet

Anteckning

National Institute of Standards and Technology (NIST) har en handbok för hantering av datasäkerhetsrelaterade incidenter som kan vara till hjälp när du vill skapa en egen plan.You can use the National Institute of Standards and Technology (NIST) Computer Security Incident Handling Guide as a reference to assist you building your own.

Du kan använda Security Center-aviseringar i följande faser:You can use Security Center Alerts during the following stages:

  • Identifiera: Identifiera misstänkt aktivitet i en eller flera resurser.Detect: identify a suspicious activity in one or more resources.
  • Utvärdera: Utför en första utvärdering för att få mer information om den misstänkta aktiviteten.Assess: perform the initial assessment to obtain more information about the suspicious activity.
  • Diagnostisera: Gå igenom de tekniska rutinerna genom att utföra åtgärdsstegen för att åtgärda problemet.Diagnose: use the remediation steps to conduct the technical procedure to address the issue.

I säkerhetsaviseringarna finns information som gör att du kan förstå vilken typ av angrepp det rör sig om och vad du kan göra för att åtgärda angreppet.Each Security Alert provides information that can be used to better understand the nature of the attack and suggest possible mitigations. I vissa aviseringar finns länkar antingen till mer information eller till andra informationskällor inom Azure.Some alerts also provide links to either more information or to other sources of information within Azure. Du kan använda informationen för ytterligare forskning och för att påbörja åtgärdsarbetet. Du kan också söka säkerhetsrelaterade data som lagras på din arbetsyta.You can use the information provided for further research and to begin mitigation, and you can also search security-related data that is stored in your workspace.

Följande exempel visar en misstänkt RDP-aktivitet:The following example shows a suspicious RDP activity taking place:

Misstänkt aktivitet

Den här sidan visar information om när angreppet upptäcktes, varifrån det kommer och vilken virtuell dator som är drabbad, och här finns även rekommendationer för vad du bör göra.This page shows the details regarding the time that the attack took place, the source hostname, the target VM and also gives recommendation steps. I vissa fall kan Angreppets käll information vara tom.In some circumstances, the source information of the attack may be empty. Här finns mer information om de fall då uppgift om källa saknas i aviseringar i Azure Security Center.Read Missing Source Information in Azure Security Center Alerts for more information about this type of behavior.

På den här sidan kan du även starta en undersökning för att bättre förstå attackens tidslinje, hur attacken skedde, vilka system som möjligen har drabbats, vilka autentiseringsuppgifter som användes samt visa en grafisk representation av hela attackkedjan.From this page, you can also start an investigation to better understand the timeline of the attack, how the attack took place, which systems were potentially compromised, which credentials were used, and see a graphical representation of the entire attack chain.

När du har identifierat det drabbade systemet kan du köra strategiböcker för säkerhet som har skapats tidigare.Once you identify the compromised system, you can run security playbooks that were previously created. Säkerhetsspelbok är en samling processer som kan köras från Security Center när en viss spelbok löses ut av en vald avisering.Security playbook is a collection of procedures that can be executed from Security Center once a certain playbook is triggered from selected alert.

I hur du utnyttjar Azure Security Center & Microsoft Operations Management Suite för en incident svars video kan du se vissa demonstrationer som kan hjälpa dig att förstå hur Security Center kan användas i var och en av dessa steg.In the How to Leverage the Azure Security Center & Microsoft Operations Management Suite for an Incident Response video, you can see some demonstrations that can help you to understand how Security Center can be used in each one of those stages.

Anteckning

Läs Hantera och svara på säkerhets aviseringar i Azure Security Center om du vill ha mer information om hur du använder Security Center funktioner för att hjälpa dig under incident svars processen.Read Managing and responding to security alerts in Azure Security Center for more information on how to use Security Center capabilities to assist you during your Incident Response process.

Nästa stegNext steps

I det här dokumentet har du lärt dig hur du planerar integreringen av Security Center.In this document, you learned how to plan for Security Center adoption. I följande avsnitt kan du lära dig mer om Security Center:To learn more about Security Center, see the following: