使用 Azure 安全中心和 Azure Sentinel 的混合安全監(jiān)視

此參考體系結(jié)構(gòu)演示了如何使用 Azure 安全中心和 Azure Sentinel 來監(jiān)視本地和 Azure 操作系統(tǒng)工作負荷的安全配置和遙測數(shù)據(jù)。 這包括 Azure Stack。

下載此體系結(jié)構(gòu)的 Visio 文件。

此體系結(jié)構(gòu)的典型用途包括：

• 將本地安全和遙測監(jiān)視與基于 Azure 的工作負荷集成的最佳實踐

• 如何將 Azure 安全中心與 Azure Stack 集成

• 如何將 Azure 安全中心與 Azure Sentinel 集成

體系結(jié)構(gòu)

該體系結(jié)構(gòu)包括以下組件：

• Azure 安全中心。 這是 Microsoft 提供給所有 Azure 訂戶的高級統(tǒng)一安全管理平臺。 安全中心劃分為云安全狀況管理 (CSPM) 和云工作負荷保護平臺 (CWPP) 。 CWPP 是由以工作負荷為中心的安全保護解決方案（通?；诖恚┒x的。 Azure 安全中心可為本地和其他云中的 Azure 工作負荷（包括 Windows 和 Linux 虛擬機 (Vm) 、容器、數(shù)據(jù)庫和物聯(lián)網(wǎng) (IoT) ）提供威脅保護。 激活時，Log Analytics 代理會自動部署到 Azure 虛擬機中。 對于本地 Windows 和 Linux 服務(wù)器和 Vm，你可以手動部署代理，使用組織的部署工具（如 Microsoft Endpoint Protection 管理員）或使用腳本化部署方法。 安全中心開始評估所有 Vm、網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)的安全狀態(tài)。

• Azure Sentinel。 是一種云本機安全信息和事件管理 (SIEM) 和安全業(yè)務(wù)流程自動響應(yīng) (之忠誠度) 解決方案，該解決方案使用高級 AI 和安全分析來幫助檢測、查尋、阻止和應(yīng)對企業(yè)內(nèi)的威脅。

• Azure Stack。 是一系列產(chǎn)品，可將 Azure 服務(wù)和功能從數(shù)據(jù)中心擴展到邊緣位置和遠程辦公室。 與 Azure Stack 集成的系統(tǒng)通常使用由受信任的硬件合作伙伴構(gòu)建并直接傳遞到你的數(shù)據(jù)中心的四到十六個服務(wù)器。

• Azure Monitor。 從各種本地和 Azure 源收集監(jiān)視遙測數(shù)據(jù)。 管理工具（例如 Azure 安全中心和 Azure 自動化中的工具）也將日志數(shù)據(jù)推送到 Azure Monitor。

• Log Analytics 工作區(qū)。 Azure Monitor 將日志數(shù)據(jù)存儲在 Log Analytics 工作區(qū)，該工作區(qū)是包含數(shù)據(jù)和配置信息的容器。

• Log Analytics 代理。 Log Analytics 代理從 Azure、其他云提供程序和本地中的來賓操作系統(tǒng)和 VM 工作負載收集監(jiān)視數(shù)據(jù)。 Log Analytics 代理支持代理配置，通常在這種情況下，Microsoft Operations Management Suite (OMS) 網(wǎng)關(guān)充當代理。

• 本地網(wǎng)絡(luò)。 此防火墻配置為支持來自定義的系統(tǒng)的 HTTPS 出口。

• 本地 Windows 和 Linux 系統(tǒng)。 安裝了 Log Analytics 代理的系統(tǒng)。

• Azure Windows 和 Linux vm。 安裝 Azure 安全中心監(jiān)視代理的系統(tǒng)。

建議

以下建議適用于大多數(shù)方案。 除非有優(yōu)先于這些建議的特定要求，否則請遵循這些建議。

Azure 安全中心升級

此參考體系結(jié)構(gòu)使用 Azure 安全中心 來監(jiān)視本地系統(tǒng)、Azure vm、Azure Monitor 資源，甚至其他云提供商托管的 vm。 若要支持該功能，需要 Azure 安全中心的 基于費用的標準層 。 建議使用30天免費試用版來驗證要求。

可在 此處找到有關(guān) Azure 安全中心定價的詳細信息。

自定義 Log Analytics 工作區(qū)

Azure Sentinel 需要 Log Analytics 工作區(qū)的訪問權(quán)限。 在這種情況下，不能將默認 ASC Log Analytics 工作區(qū)與 Azure Sentinel 一起使用。 需要創(chuàng)建自定義工作區(qū)。 自定義工作區(qū)的數(shù)據(jù)保留基于工作區(qū)定價層，可在 此處找到監(jiān)視日志的定價模型。

 備注

Azure Sentinel 可以在任何公開上市 (GA) Log Analytics 區(qū)域（中國和德國 (主權(quán)) 區(qū)域除外）上運行。 Azure Sentinel 生成的數(shù)據(jù)，例如事件、書簽和警報規(guī)則（其中可能包含源自這些工作區(qū)的客戶數(shù)據(jù)）將保存在基于歐洲的工作區(qū)的歐洲 (中) ，在澳大利亞 (適用于基于澳大利亞的工作區(qū)) ，或在位于任何其他區(qū)域的工作區(qū)的美國東部 () 。

可伸縮性注意事項

適用于 Windows 和 Linux 的 Log Analytics 代理旨在對 Vm 或物理系統(tǒng)的性能產(chǎn)生非常小的影響。

Azure 安全中心操作過程不會影響正常的操作過程。 相反，它將被動監(jiān)視你的部署并根據(jù)你啟用的安全策略提供建議。

可管理性注意事項

Azure 安全中心角色

安全中心會評估資源的配置以識別安全問題，并在為資源所屬的訂閱或資源組分配所有者、參與者或讀取者角色時，顯示與資源相關(guān)的信息。

除這些角色外，還有兩個特定的安全中心角色：

• 安全讀者。 屬于此角色的用戶對安全中心具有只讀權(quán)限。 用戶可以觀察建議、警報、安全策略和安全狀態(tài)，但不能進行更改。

• 安全管理員。屬于此角色的用戶具有與安全讀取器相同的權(quán)限，并且還可以更新安全策略，并消除警報和建議。 通常，這些是管理工作負荷的用戶。

• 安全角色、安全****管理員和安全管理員 只能訪問安全中心。 安全角色無權(quán)訪問其他 Azure 服務(wù)區(qū)域，如存儲、web、移動或 IoT。

Azure Sentinel 訂閱

• 若要啟用 Azure Sentinel，需要獲取 Azure Sentinel 工作區(qū)所在訂閱的參與者權(quán)限。

• 若要使用 Azure Sentinel，需要對工作區(qū)所屬資源組具有參與者或讀者權(quán)限。

• Azure Sentinel 是付費服務(wù)。 有關(guān)詳細信息，請參閱 Azure Sentinel 定價。

安全注意事項

安全策略 定義為指定訂閱中的資源建議的一組控件。 在 Azure 安全中心，根據(jù)公司的安全要求和應(yīng)用程序類型或每個訂閱的數(shù)據(jù)敏感度，為 Azure 訂閱定義策略。

Azure 安全中心中啟用的安全策略用于驅(qū)動安全建議和監(jiān)視。 若要了解有關(guān)安全策略的詳細信息，請參閱 通過 Azure 安全中心增強安全策略。 只能在管理組或訂閱組級別分配 Azure 安全中心的安全策略。

 備注

部分參考體系結(jié)構(gòu)詳細介紹了如何啟用 Azure 安全中心來監(jiān)視 Azure 資源、本地系統(tǒng)和 Azure Stack 系統(tǒng)。

部署解決方案

在 Azure 門戶中創(chuàng)建 Log Analytics 工作區(qū)

1. 以具有安全管理員權(quán)限的用戶身份登錄到 Azure 門戶。

2. 在 Azure 門戶中，選擇“所有服務(wù)”。 在資源列表中，輸入 Log Analytics。 開始輸入時，列表會根據(jù)輸入篩選。 選擇“Log Analytics 工作區(qū)”。

3. 在 Log Analytics "頁上選擇" 添加 "。

4. 為新的 Log Analytics 工作區(qū)提供名稱，例如 SentinelWorkspace。 此名稱在所有 Azure Monitor 訂閱中必須是全局唯一的。

5. 如果默認選擇不合適，請從下拉列表中選擇來選擇訂閱。

6. 對于 " 資源組"，請選擇使用現(xiàn)有的資源組或創(chuàng)建一個新的資源組。

7. 對于 " 位置"，請選擇可用的地理位置。

8. 選擇“確定”以完成配置。 

啟用安全中心

當你仍以具有安全管理員權(quán)限的用戶身份登錄到 Azure 門戶時，請在面板中選擇 " 安全中心 "。 安全中心-概述 打開：

安全中心會自動為你或其他訂閱用戶之前未載入的任何 Azure 訂閱啟用免費級別。

升級到標準層

 重要

此參考體系結(jié)構(gòu)使用安全中心標準層的30天免費試用版。

1. 在 "安全中心" 主菜單上，選擇 " 入門"。

2. 選擇 " 立即升級 " 按鈕。 安全中心列出了可在標準層中使用的訂閱和工作區(qū)。

3. 可以選擇符合試用條件的工作區(qū)和訂閱來開始試用。 選擇以前創(chuàng)建的工作區(qū) SentinelWorkspace。 從下拉菜單中。

4. 在安全中心主菜單中，選擇 " 開始試用"。

5. 應(yīng)該會顯示 " 安裝代理 " 對話框。

6. 選擇 " 安裝代理 " 按鈕。 將顯示 " 安全中心覆蓋率 " 邊欄選項卡，你應(yīng)在 " 標準覆蓋范圍 " 選項卡中查看所選的訂閱。 

你現(xiàn)在已啟用自動預(yù)配，安全中心將在所有受支持的 Azure Vm 以及你創(chuàng)建的任何新 Vm 上安裝適用于 Windows (HealthService.exe) 和 omsagent For Linux 的 Log Analytics 代理。 盡管我們強烈建議自動預(yù)配，但你可以關(guān)閉此策略并手動管理它。

若要詳細了解 Windows 和 Linux 中提供的特定安全中心功能，請參閱 計算機的功能覆蓋。

啟用本地 Windows 計算機的 Azure 安全中心監(jiān)視

1. 在 Azure 門戶中的 " 安全中心-概述 " 邊欄選項卡上，選擇 " 入門 " 選項卡。

2. 在 "添加新的非 Azure 計算機" 下選擇 "配置"。 將顯示 Log Analytics 工作區(qū)列表，并應(yīng)包括 SentinelWorkspace。

3. 選擇此工作區(qū)。 此時會打開 " 直接代理 " 邊欄選項卡，其中包含用于下載 Windows 代理和密鑰的鏈接， (ID) 在配置代理時使用。

4. 選擇適用于計算機處理器類型的“下載 Windows 代理”鏈接，以下載安裝程序文件。

5. 在 " 工作區(qū) ID" 右側(cè)，選擇 " 復制"，然后將該 ID 粘貼到記事本中。

6. 在 " 主鍵" 的右側(cè)，選擇 " 復制"，然后將該密鑰粘貼到記事本中。

安裝 Windows 代理

若要在目標計算機上安裝代理，請按照以下步驟操作。

1. 將該文件復制到目標計算機，然后 運行安裝程序。

2. 在“歡迎”頁上，選擇“下一步”。

3. 在“許可條款”頁面上閱讀許可協(xié)議，然后選擇“我接受” 。

4. 在“目標文件夾”頁面上更改或保留默認安裝文件夾，然后選擇“下一步” 。

5. 在“代理安裝選項”頁上，選擇將代理連接到 Azure Log Analytics，然后選擇“下一步”。

6. 在 Azure Log Analytics 頁上，粘貼在前面步驟中復制到記事本的“工作區(qū) ID” 和“工作區(qū)密鑰(主密鑰)” 。

7. 如果計算機應(yīng)向 Azure 政府云中的 Log Analytics 工作區(qū)報告，請從“Azure 云”下拉列表中選擇“Azure 美國政府版”。 如果計算機需要通過代理服務(wù)器與 Log Analytics 服務(wù)通信，請選擇 " 高級"，然后提供代理服務(wù)器的 URL 和端口號。

8. 提供必要的配置設(shè)置后，選擇 " 下一步"。 

9. 在“準備安裝”頁上檢查所做的選擇，并選擇“安裝” 。

10. 在“配置已成功完成”頁上，選擇“完成”。

完成后，Log Analytics 代理將顯示在 Windows "控制面板" 中，你可以查看配置并驗證代理是否已連接。

有關(guān)安裝和配置代理的詳細信息，請參閱 在 Windows 計算機上安裝 Log Analytics 代理。

Log Analytics 代理服務(wù)收集事件和性能數(shù)據(jù)、執(zhí)行任務(wù)以及管理包中定義的其他工作流。 安全中心通過集成 服務(wù)器 的 Microsoft Defender 高級威脅防護 (ATP) 來擴展其云工作負荷保護平臺。 兩者共同提供全面的終結(jié)點檢測和響應(yīng) (EDR) 功能。

有關(guān) Microsoft Defender ATP 的詳細信息，請參閱 Microsoft DEFENDER atp 服務(wù)的板載服務(wù)器。

啟用本地 Linux 計算機的 Azure 安全中心監(jiān)視

1. 如前面所述，返回到 " 入門 " 選項卡。

2. 在 "添加新的非 Azure 計算機" 下選擇 "配置"。 將顯示 Log Analytics 工作區(qū)的列表。 此列表應(yīng)包括你創(chuàng)建的 SentinelWorkspace 。

3. 在 下載和 LINUX 代理 下的 "直接代理" 邊欄選項卡中，選擇 "復制" 以復制 wget 命令。

4. 打開記事本，然后粘貼此命令。 將此文件保存到你可以從 Linux 計算機訪問的位置。

 備注

在 Unix 和 Linux 操作系統(tǒng)上， wget 是用于從 web 下載非交互式文件的工具。 它支持 HTTPS、FTPs 和代理。

Linux 代理使用 Linux 審核后臺程序框架。 安全中心在 Log Analytics 代理中將此框架的功能集成，這使得可以使用適用于 Linux 的 Log Analytics 代理將審核記錄收集、進行豐富并聚合到事件中。 安全中心會持續(xù)添加新分析功能，這些功能可以使用 Linux 信號來檢測云和本地 Linux 計算機上的惡意行為。

有關(guān) Linux 警報的列表，請參閱 警報的引用表。

安裝 Linux 代理

若要在目標 Linux 計算機上安裝代理，請執(zhí)行以下步驟：

1. 在 Linux 計算機上，打開以前保存的文件。 選擇并復制整個內(nèi)容，打開終端控制臺，然后粘貼命令。

2. 安裝完成后，可以通過運行 pgrep 命令來驗證是否已安裝 omsagent 。 命令將返回 omsagent 進程標識符 (PID) 。 可以在以下位置找到代理的日志： /var/opt/microsoft/omsagent/"工作區(qū) id"/log/。

最長可能需要30分鐘的時間，新的 Linux 計算機才會顯示在安全中心。

啟用 Azure Stack Vm 的 Azure 安全中心監(jiān)視

載入 Azure 訂閱后，可以通過從 Azure Stack marketplace 添加 Azure Monitor、更新和配置管理 VM 擴展，使安全中心能夠保護 Azure Stack 上運行的 vm。 為此，請按以下步驟操作：

1. 如前面所述，返回到 " 入門 " 選項卡。

2. 在 "添加新的非 Azure 計算機" 下選擇 "配置"。 將顯示 Log Analytics 工作區(qū)列表，并應(yīng)包括你創(chuàng)建的 SentinelWorkspace 。

3. 在 " 直接代理 " 邊欄選項卡上有一個鏈接，用于下載代理和密鑰，以便在代理配置過程中使用工作區(qū) ID。 不需要手動下載代理。 在以下步驟中，它將安裝為 VM 擴展。

4. 在 " 工作區(qū) ID" 右側(cè)，選擇 " 復制"，然后將該 ID 粘貼到記事本中。

5. 在 " 主鍵" 的右側(cè)，選擇 " 復制"，然后將該密鑰粘貼到記事本中。

啟用 Azure Stack Vm 的 ASC 監(jiān)視

Azure 安全中心使用與 Azure Stack 捆綁的 Azure Monitor、更新和配置管理 VM 擴展。 若要啟用 Azure Monitor、更新和配置管理 擴展，請執(zhí)行以下步驟：

1. 在新的瀏覽器選項卡中，登錄到 Azure Stack 門戶。

2. 請參閱 " 虛擬機 " 頁，然后選擇要用安全中心保護的虛擬機。

3. 選擇“擴展”。 此時會顯示在此 VM 上安裝的 VM 擴展的列表。

4. 選擇 " 添加 " 選項卡。此時將打開 " 新建資源 菜單" 邊欄選項卡，其中顯示可用 VM 擴展的列表。

5. 選擇 Azure Monitor、更新和配置管理 擴展，然后選擇 " 創(chuàng)建"。 此時將打開 " 安裝擴展 配置" 邊欄選項卡。

6. 在“安裝擴展”配置邊欄選項卡上，粘貼在前面步驟中復制到記事本的“工作區(qū) ID” 和“工作區(qū)密鑰(主密鑰)”。

7. 提供必要的配置設(shè)置后，請選擇 "確定"。

8. 擴展安裝完成后，其狀態(tài)將顯示為 " 預(yù)配已成功"。 VM 可能需要長達一小時的時間才會出現(xiàn)在安全中心門戶中。

有關(guān)安裝和配置 Windows 代理的詳細信息，請參閱 使用安裝向?qū)О惭b代理。

有關(guān) Linux 代理的疑難解答問題，請參閱 如何排查適用于 linux 的 Log Analytics 代理的問題。

現(xiàn)在，可以從單個位置監(jiān)視 Azure VM 和非 Azure 計算機了。 Azure 計算 提供所有 vm 和計算機的概述以及建議。 每一列代表一組建議，顏色表示 Vm 或計算機以及該建議的當前安全狀態(tài)。 安全中心還會在安全警報中提供對這些計算機的任何檢測。 

有兩種類型的圖標表示在“計算”邊欄選項卡上：

 非 Azure 計算機

 Azure 計算機

 備注

參考體系結(jié)構(gòu)中的第二部分將連接 Azure 安全中心的警報，并將其流式傳輸?shù)?Azure Sentinel。

Azure Sentinel 的作用是從不同的數(shù)據(jù)源引入數(shù)據(jù)，并跨這些數(shù)據(jù)源執(zhí)行數(shù)據(jù)關(guān)聯(lián)。 Azure Sentinel 利用機器學習和 AI，使威脅搜尋、警報檢測和威脅響應(yīng)更智能。

若要載入 Azure Sentinel，需要先啟用它，然后連接數(shù)據(jù)源。 Azure Sentinel 附帶了多個 Microsoft 解決方案連接器，它們可供使用，并提供實時集成，包括 Microsoft 安全中心、Microsoft 威脅防護解決方案、Microsoft 365 源 (包括 Office 365) 、Azure Active Directory (Azure AD) 、Azure ATP、Microsoft Cloud App Security 等。 另外，還有適用于非 Microsoft 解決方案的更廣闊的安全生態(tài)系統(tǒng)的內(nèi)置連接器。 你還可以使用通用事件格式、syslog 或具象狀態(tài)傳輸 API，通過 Azure Sentinel 連接數(shù)據(jù)源。

將 Azure Sentinel 與 Azure 安全中心集成的要求

1. Microsoft Azure 訂閱

2. 不是在啟用 Azure 安全中心時創(chuàng)建的默認工作區(qū)的 Log Analytics 工作區(qū)。

3. 啟用了安全中心標準層的 Azure 安全中心。

如果完成了上一節(jié)，則所有三個要求都應(yīng)該已經(jīng)準備就緒。

全局先決條件

• 若要啟用 Azure Sentinel，需要獲取 Azure Sentinel 工作區(qū)所在訂閱的參與者權(quán)限。

• 若要使用 Azure Sentinel，需要對工作區(qū)所屬資源組具有參與者或讀者權(quán)限。

• 可能需要更多的權(quán)限才能連接特定的數(shù)據(jù)源。 不需要其他權(quán)限即可連接到 ASC。

• Azure Sentinel 是付費服務(wù)。 有關(guān)詳細信息，請參閱 Azure Sentinel 定價。

啟用 Azure Sentinel

1. 使用具有 Sentinelworkspace 的參與者權(quán)限的用戶登錄到 Azure 門戶。

2. 搜索“Azure Sentinel”并將其選中。 

3. 選擇 添加 。

4. 在 Azure Sentinel 邊欄選項卡中，選擇 " Sentinelworkspace"。

5. 在 Azure Sentinel 中，從 導航 菜單中選擇 "數(shù)據(jù)連接器"。

6. 從 "數(shù)據(jù)連接器" 庫中，選擇 " Azure 安全中心"，然后選擇 " 打開連接器" 頁面 按鈕。 

7. 在 " 配置" 下，選擇要將警報流式傳輸?shù)?Azure Sentinel 的訂閱旁邊的 " 連接 "。 只有在具有所需權(quán)限和 ASC 標準層訂閱時，" 連接 " 按鈕才可用。

8. 現(xiàn)在應(yīng)會看到 連接狀態(tài) 為 " 正在連接"。 連接后，它將切換到 " 已連接"。

9. 確認連接后，可以關(guān)閉 ASC 數(shù)據(jù)連接器 設(shè)置，并刷新頁面以觀察 Azure Sentinel 中的警報。 可能需要一段時間才能開始使用 Azure Sentinel 同步日志。 在連接后，你將在 "接收的數(shù)據(jù)" 關(guān)系圖中觀察到數(shù)據(jù)類型的連接狀態(tài)中的數(shù)據(jù)摘要。

10. 你可以選擇是否希望 Azure 安全中心的警報在 Azure Sentinel 中自動生成事件。 在 " 創(chuàng)建事件" 下，選擇 " 啟用 " 以啟用自動根據(jù)警報創(chuàng)建事件的默認分析規(guī)則。 然后，你可以在 " 分析" 下的 " 活動規(guī)則 " 選項卡中編輯此規(guī)則。

11. 若要在 Azure 安全中心警報的 Log Analytics 中使用相關(guān)架構(gòu)，請搜索 SecurityAlert。

使用 Azure Sentinel 作為 SIEM 的一個優(yōu)點是，它提供了跨多個源的數(shù)據(jù)關(guān)聯(lián)，使你能夠?qū)M織的安全相關(guān)事件進行端到端的可見性。

 備注

若要了解如何提高數(shù)據(jù)的可見性并識別潛在的威脅，請參閱 TechNet 庫中的 Azure 行動手冊，其中包含一組資源，其中包含可在其中模擬攻擊的實驗室。 不應(yīng)在生產(chǎn)環(huán)境中使用此實驗室。

若要了解有關(guān) Azure Sentinel 的詳細信息，請參閱以下文章：

• 快速入門： Azure Sentinel 入門

• 教程：就地檢測威脅

成本注意事項

• 如前文所述，Azure 訂閱之外的成本可能包括：

1. Azure 安全中心標準層。 有關(guān)詳細信息，請參閱 安全中心定價。

2. Azure Monitor 工作區(qū)提供計費的粒度。 有關(guān)詳細信息，請參閱 使用 Azure Monitor 日志管理使用情況和成本。

3. Azure Sentinel 是付費服務(wù)。 有關(guān)詳細信息，請參閱 Azure Sentinel 定價。