Мониторинг гибридной безопасности с помощью Microsoft Defender для облака и Microsoft Sentinel

Azure Log Analytics
Azure Monitor
Microsoft Defender для облака
Microsoft Sentinel
Azure Stack

В этой эталонной архитектуре показано, как использовать Microsoft Defender для облака и Microsoft Sentinel для мониторинга конфигурации безопасности и телеметрии локальных рабочих нагрузок, Azure и Azure Stack.

Архитектура

Схема, показывающая агент мониторинга в локальной среде, а также в Azure, передавая данные в Microsoft Defender для облака и Microsoft Sentinel.

Скачайте файл Visio для этой архитектуры.

Рабочий процесс

  • Microsoft Defender для облака. Это расширенная унифицированная платформа управления безопасностью, которую корпорация Майкрософт предлагает всем подписчикам Azure. Defender для облака сегментируется как управление безопасностью в облаке (CSPM) и платформа защиты облачных рабочих нагрузок (CWPP). CWPP определяется решениями защиты безопасности, ориентированными на рабочую нагрузку, которые обычно основаны на агентах. Microsoft Defender для облака обеспечивает защиту от угроз для рабочих нагрузок Azure, как локальных, так и в других облаках, включая виртуальные машины Windows и Linux (виртуальные машины), контейнеры, базы данных и Интернет вещей (IoT). При активации агент Log Analytics автоматически развертывается в Azure Виртуальные машины. Для локальных серверов и виртуальных машин Windows и Linux можно вручную развернуть агент, использовать средство развертывания вашей организации, например Microsoft Endpoint Protection Manager, или использовать методы развертывания с помощью сценариев. Defender для облака начинает оценивать состояние безопасности всех виртуальных машин, сетей, приложений и данных.
  • Microsoft Sentinel. Это решение для управления безопасностью и событиями в облаке (SIEM) и автоматизированное реагирование системы безопасности (SOAR), которое использует расширенную аналитику искусственного интеллекта и безопасности для обнаружения, охоты, предотвращения и реагирования на угрозы в вашей организации.
  • Azure Stack. Это портфель продуктов, которые расширяют возможности и службы Azure в выбранной среде, включая центр обработки данных, пограничные расположения и удаленные офисы. Реализация Azure Stack обычно использует стойки из четырех до шестнадцати серверов, созданных доверенными партнерами по оборудованию и доставленных в центр обработки данных.
  • Azure Monitor. Собирает данные телеметрии мониторинга из различных локальных источников и источников Azure. Средства управления, например в Microsoft Defender для облака и служба автоматизации Azure, также отправляют данные журналов в Azure Monitor.
  • Рабочая область Log Analytics. Azure Monitor хранит данные журнала в рабочей области Log Analytics, которая является контейнером со сведениями о данных и конфигурации.
  • Агент Log Analytics. Агент Log Analytics собирает данные мониторинга из гостевой операционной системы и рабочих нагрузок виртуальных машин в Azure, от других поставщиков облачных служб и из локальной среды. Агент Log Analytics поддерживает конфигурацию прокси-сервера, и, как правило, в этом сценарии шлюз Microsoft Operations Management Suite (OMS) выступает в качестве прокси-сервера.
  • Локальная сеть. Это брандмауэр, настроенный для поддержки исходящего трафика HTTPS из определенных систем.
  • Локальные системы Windows и Linux. Системы с установленным агентом Log Analytics.
  • Виртуальные машины Azure Windows и Linux. Системы, в которых установлен агент мониторинга Microsoft Defender для облака.

Компоненты

Подробности сценария

Потенциальные варианты использования

Типичные способы использования этой архитектуры:

  • Рекомендации по интеграции локального мониторинга безопасности и телеметрии с рабочими нагрузками на основе Azure
  • Интеграция Microsoft Defender для облака с Azure Stack
  • Интеграция Microsoft Defender для облака с Microsoft Sentinel

Рекомендации

Следующие рекомендации применимы для большинства ситуаций. Следуйте этим рекомендациям, если они не противоречат особым требованиям для вашего случая.

обновление Microsoft Defender для облака

Эта эталонная архитектура использует Microsoft Defender для облака для мониторинга локальных систем, виртуальных машин Azure, ресурсов Azure Monitor и даже виртуальных машин, размещенных другими поставщиками облачных служб. Дополнительные сведения о ценах на Microsoft Defender для облака см. здесь.

Настраиваемая рабочая область Log Analytics

Microsoft Sentinel должен получить доступ к рабочей области Log Analytics. В этом сценарии нельзя использовать рабочую область Log Analytics в Defender для облака по умолчанию с Microsoft Sentinel. Вместо этого создается настраиваемая рабочая область. Хранение данных для настраиваемой рабочей области основано на ценовой категории рабочей области, и здесь можно найти модели ценообразования для журналов мониторинга.

Примечание.

Microsoft Sentinel может работать в рабочих областях в любом общедоступном регионе Log Analytics, кроме регионов Китая и Германии (Национальный). Данные, создаваемые Microsoft Sentinel, такие как инциденты, закладки и правила генерации оповещений, которые могут содержать некоторые данные клиента из этих рабочих областей, сохраняются либо в Европе (для рабочих областей на основе Европы), в Австралии (для рабочих областей на основе Австралии), либо в восточной части США (для рабочих областей, расположенных в любом другом регионе).

Рекомендации

Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая является набором руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.

Безопасность

Безопасность обеспечивает гарантии от преднамеренного нападения и злоупотребления ценными данными и системами. Дополнительные сведения см. в разделе "Общие сведения о компоненте безопасности".

Политика безопасности определяет набор элементов управления, рекомендуемых для ресурсов в указанной подписке. В Microsoft Defender для облака вы определяете политики для подписок Azure в соответствии с требованиями к безопасности вашей компании и типом приложений или конфиденциальности данных для каждой подписки.

Политики безопасности, которые можно включить в Microsoft Defender для облака рекомендации по безопасности и мониторингу. Дополнительные сведения о политиках безопасности см. в статье "Укрепление политики безопасности с помощью Microsoft Defender для облака". Политики безопасности можно назначать в Microsoft Defender для облака только на уровнях управления или группы подписок.

Примечание.

Часть одной из эталонных архитектур, которые позволяют Microsoft Defender для облака отслеживать ресурсы Azure, локальные системы и системы Azure Stack.

Оптимизация затрат

Оптимизация затрат заключается в поиске способов уменьшения ненужных расходов и повышения эффективности работы. Дополнительные сведения см. в разделе Обзор критерия "Оптимизация затрат".

Как описано ранее, затраты за пределами подписки Azure могут включать:

  1. Microsoft Defender для облака затраты. Дополнительные сведения см. в Defender для облака ценах.
  2. Рабочая область Azure Monitor обеспечивает детализацию выставления счетов. Дополнительные сведения см. в статье "Управление использованием и затратами с помощью журналов Azure Monitor".
  3. Microsoft Sentinel — это платная служба. Дополнительные сведения см. в ценах на Microsoft Sentinel.

Эффективность работы

Оперативное превосходство охватывает процессы операций, которые развертывают приложение и продолжают работать в рабочей среде. Дополнительные сведения см. в разделе "Общие сведения о принципах эффективности работы".

роли Microsoft Defender для облака

Defender для облака оценивает конфигурацию ресурсов для выявления проблем безопасности и уязвимостей, а также отображает сведения, связанные с ресурсом при назначении роли владельца, участника или читателя для подписки или группы ресурсов, к которой принадлежит ресурс.

Помимо этих ролей, есть две специальных роли Defender для облака:

  • Средство чтения безопасности. Пользователь, принадлежащий этой роли, имеет только права на чтение Defender для облака. Пользователь может наблюдать за рекомендациями, оповещениями, политикой безопасности и состояниями безопасности, но не может вносить изменения.

  • Администратор безопасности. Пользователь, принадлежащий этой роли, имеет те же права, что и средство чтения безопасности, а также может обновлять политики безопасности, а также отклонять оповещения и рекомендации. Как правило, это пользователи, которые управляют рабочей нагрузкой.

  • Роли безопасности, читатель безопасности и администратор безопасности имеют доступ только в Defender для облака. Роли безопасности не имеют доступа к другим областям службы Azure, таким как хранилище, интернет, мобильные устройства или IoT.

Подписка Microsoft Sentinel

  • Чтобы включить Microsoft Sentinel, вам потребуются разрешения участника в подписке, в которой размещается рабочая область Microsoft Sentinel.
  • Чтобы использовать Microsoft Sentinel, вам нужны разрешения участника или читателя в группе ресурсов, к которой принадлежит рабочая область.
  • Microsoft Sentinel — это платная служба. Дополнительные сведения см. в ценах на Microsoft Sentinel.

Оптимизация производительности

Эффективность производительности — это возможность масштабирования рабочей нагрузки в эффективном режиме для удовлетворения требований, которые пользователи размещают на нем. Дополнительные сведения см. в разделе "Общие сведения о эффективности производительности".

Агент Log Analytics для Windows и Linux предназначен для минимального влияния на производительность виртуальных машин или физических систем.

Microsoft Defender для облака операционный процесс не будет мешать обычным операционным процедурам. Вместо этого Defender пассивно отслеживает развертывания и предоставляет рекомендации на основе включенных политик безопасности.

Развертывание этого сценария

Создание рабочей области Log Analytics на портале Azure

  1. Войдите в портал Azure в качестве пользователя с правами администратора безопасности.
  2. На портале Azure щелкните Все службы. В списке ресурсов введите Log Analytics. При вводе фильтры списков на основе входных данных. Выберите Рабочие области Log Analytics.
  3. Выберите " Добавить" на странице Log Analytics.
  4. Укажите имя новой рабочей области Log Analytics, например Defender для облака-SentinelWorkspace. Это имя должно быть уникальным среди всех подписок Azure Monitor.
  5. Выберите подписку, выбрав из раскрывающегося списка, если выбор по умолчанию не подходит.
  6. Для группы ресурсов выберите существующую группу ресурсов или создайте новую.
  7. Для расположения выберите доступное географическое расположение.
  8. Нажмите кнопку ОК, чтобы завершить настройку. Новая рабочая область, созданная для архитектуры

Включение Defender для облака

Пока вы все еще вошли в портал Azure в качестве пользователя с правами администратора безопасности, выберите Defender для облака на панели. Defender для облака. Откроется обзор:

Откроется колонка панели мониторинга Defender для облака

Defender для облака автоматически включает уровень "Бесплатный" для любой из подписок Azure, не подключенных вами или другим пользователем подписки.

Обновление Microsoft Defender для облака

  1. В главном меню Defender для облака выберите пункт "Начало работы".
  2. Нажмите кнопку "Обновить сейчас ". Defender для облака выводит список подписок и рабочих областей, которые могут использоваться.
  3. Вы можете выбрать подходящие рабочие области и подписки для использования в режиме пробной версии. Выберите созданную ранее рабочую область ASC-SentinelWorkspace. В раскрывающемся меню.
  4. В главном меню Defender для облака выберите "Начать пробную версию".
  5. Откроется диалоговое окно "Агенты установки".
  6. Нажмите кнопку "Установить агенты ". В колонке Defender для облака — покрытие отображается, и вы должны наблюдать за выбранной подпиской. Колонка

Теперь вы включили автоматическую подготовку и Defender для облака установит агент Log Analytics для Windows (HealthService.exe) и omsagent для Linux на всех поддерживаемых виртуальных машинах Azure и любых новых виртуальных машинах Azure. Эту политику можно отключить и вручную управлять ими, хотя настоятельно рекомендуется автоматически подготавливать.

Дополнительные сведения о конкретных Defender для облака функциях, доступных в Windows и Linux, см. в статье о охвате компонентов для компьютеров.

Включение Microsoft Defender для облака мониторинга локальных компьютеров Windows

  1. В колонке Defender для облака портал Azure — Обзор выберите вкладку "Начало работы".
  2. Выберите "Настроить" в разделе "Добавить новые компьютеры, отличные от Azure". Отображается список рабочих областей Log Analytics и должен содержать Defender для облака-SentinelWorkspace.
  3. Выберите эту рабочую область. Откроется колонка "Прямой агент " со ссылкой на скачивание агента Windows и ключей для идентификации рабочей области (идентификатора), используемых при настройке агента.
  4. Выберите ссылку Скачать агент для Windows, соответствующую типу процессора на вашем компьютере, чтобы скачать файл установки.
  5. Справа от идентификатора рабочей области нажмите кнопку "Копировать", а затем вставьте идентификатор в блокнот.
  6. Справа от первичного ключа нажмите кнопку "Копировать", а затем вставьте его в блокнот.

Установка агента Windows

Чтобы установить агент на целевых компьютерах, выполните следующие действия.

  1. Скопируйте файл на целевой компьютер и запустите программу установки.
  2. На странице приветствия нажмите кнопку Далее.
  3. На странице Условия лицензии ознакомьтесь с лицензией и нажмите Принимаю.
  4. На странице Конечная папка измените или сохраните установочную папку по умолчанию, а затем нажмите Далее.
  5. На странице Параметры установки агента выберите подключение агента к Azure Log Analytics и нажмите кнопку Далее.
  6. На странице Azure Log Analytics, вставьте идентификатор рабочей области и ключ рабочей области (первичный ключ), скопированные в Блокнот в ходе предыдущей процедуры.
  7. Если компьютер должен передавать данные в рабочую область Log Analytics в облаке Azure для государственных организаций, выберите Azure для государственных организаций США из раскрывающегося списка Облако Azure. Если компьютер должен взаимодействовать через прокси-сервер со службой Log Analytics, выберите "Дополнительно", а затем укажите URL-адрес и номер порта прокси-сервера.
  8. После предоставления необходимых параметров конфигурации нажмите кнопку "Далее". Страница настройки агента Log Analytics для подключения агента к рабочей области Azure Log Analytics
  9. На странице Все готово для установки просмотрите выбранные параметры, а затем выберите Установить.
  10. На странице Настройка успешно завершена щелкните Готово.

По завершении агент Log Analytics появится в Windows панель управления, и вы можете просмотреть конфигурацию и убедиться, что агент подключен.

Дополнительные сведения об установке и настройке агента см. в статье "Установка агента Log Analytics на компьютерах Windows".

Служба агента Log Analytics собирает данные о событиях и производительности, выполняет задачи и другие рабочие процессы, определенные в пакете управления. Defender для облака расширяет платформы защиты облачных рабочих нагрузок путем интеграции с Microsoft Defender для серверов. Вместе они обеспечивают широкие возможности обнаружения конечных точек и реагирования.

Дополнительные сведения о Microsoft Defender для серверов см. в разделе "Подключение серверов" к службе Microsoft Defender для серверов.

Включение Microsoft Defender для облака мониторинга локальных компьютеров Linux

  1. Вернитесь на вкладку "Начало работы", как описано ранее.
  2. Выберите "Настроить" в разделе "Добавить новые компьютеры, отличные от Azure". Отображается список рабочих областей Log Analytics. Список должен содержать созданный Defender для облака-SentinelWorkspace.
  3. В колонке Direct Agent в разделе DOWNLOAD AND ONBOARD AGENT FOR LINUX выберите копию, чтобы скопировать команду wget.
  4. Откройте Блокнот и вставьте эту команду. Сохраните этот файл в расположении, к которому можно получить доступ с компьютера Linux.

Примечание.

В операционных системах Unix и Linux wget — это средство для неинтерактивного скачивания файлов из Интернета. Он поддерживает HTTPS, FTPs и прокси-серверы.

Агент Linux использует платформу управляющей программы аудита Linux. Defender для облака интегрирует функции из этой платформы в агент Log Analytics, что позволяет собирать, обогащение и агрегировать записи аудита в события с помощью агента Log Analytics для Linux. В Defender для облака постоянно добавляется новая аналитика, которая использует сигналы Linux для обнаружения вредоносного поведения на облачных и локальных компьютерах с Linux.

Список оповещений Linux см . в справочной таблице оповещений.

Установка агента Linux

Чтобы установить агент на целевых компьютерах Linux, выполните следующие действия.

  1. На компьютере Linux откройте файл, сохраненный ранее. Выберите и скопируйте все содержимое, откройте консоль терминала и вставьте команду.
  2. После завершения установки можно проверить, установлен ли omsagent , выполнив команду pgrep . Команда вернет идентификатор процесса omsagent (PID). Журналы для агента можно найти по адресу /var/opt/microsoft/omsagent/"идентификатор рабочей области"/log/.

Для отображения нового компьютера Linux в Defender для облака может потребоваться до 30 минут.

Включение Microsoft Defender для облака мониторинга виртуальных машин Azure Stack

После подключения подписки Azure вы можете включить Defender для облака для защиты виртуальных машин, работающих в Azure Stack, добавив расширение виртуальной машины Azure Monitor, update and Configuration Management из Azure Stack Marketplace. Для этого:

  1. Вернитесь на вкладку "Начало работы", как описано ранее.
  2. Выберите "Настроить" в разделе "Добавить новые компьютеры, отличные от Azure". Отображается список рабочих областей Log Analytics и должен содержать созданный Defender для облака-SentinelWorkspace.
  3. В колонке Direct Agent есть ссылка на скачивание агента и ключей для идентификатора рабочей области для использования во время настройки агента. Вам не нужно скачивать агент вручную. Он будет установлен в качестве расширения виртуальной машины в следующих шагах.
  4. Справа от идентификатора рабочей области нажмите кнопку "Копировать", а затем вставьте идентификатор в блокнот.
  5. Справа от первичного ключа нажмите кнопку "Копировать", а затем вставьте его в блокнот.

Включение Defender для облака мониторинга виртуальных машин Azure Stack

Microsoft Defender для облака использует Расширение виртуальной машины Azure Monitor, обновление и управление конфигурацией, в комплекте с Azure Stack. Чтобы включить расширение Azure Monitor, Update and Configuration Management , выполните следующие действия.

  1. На новой вкладке браузера войдите на портал Azure Stack .
  2. Перейдите на страницу "Виртуальные машины", а затем выберите виртуальную машину, которую вы хотите защитить с помощью Defender для облака.
  3. Выберите Расширения. Список расширений виртуальных машин, установленных на этой виртуальной машине.
  4. Выберите вкладку "Добавить ". Откроется колонка меню "Создать ресурс" и отображается список доступных расширений виртуальных машин.
  5. Выберите расширение Azure Monitor, Обновление и управление конфигурацией, а затем нажмите кнопку "Создать". Откроется колонка "Установка расширения".
  6. В колонке конфигурации Установить расширение вставьте идентификатор рабочей области и ключ рабочей области (первичный ключ), скопированные в Блокнот в ходе предыдущей процедуры.
  7. После завершения предоставления необходимых параметров конфигурации нажмите кнопку "ОК".
  8. После завершения установки расширения его состояние будет отображаться в качестве успешной подготовки. Для отображения виртуальной машины на портале Defender для облака может потребоваться до одного часа.

Дополнительные сведения об установке и настройке агента для Windows см. в разделе "Установка агента с помощью мастера установки".

Сведения об устранении неполадок агента Linux см. в статье "Устранение неполадок с агентом Log Analytics для Linux".

Теперь можно осуществлять мониторинг виртуальных машин Azure и компьютеров, не относящихся к Azure, из одного расположения. Вычислительная среда Azure предоставляет общие сведения обо всех виртуальных машинах и компьютерах вместе с рекомендациями. Каждый столбец представляет один набор рекомендаций, а цвет представляет виртуальные машины или компьютеры и текущее состояние безопасности для этой рекомендации. Defender для облака также предоставляет все обнаружения для этих компьютеров в оповещениях системы безопасности. Defender для облака список систем, отслеживаемых в колонке вычислений

В колонке Вычисления представлены два типа значков:

Значок Компьютер, отличный от Azure

Значок синего терминала, представляющий компьютер, отслеживаемый Azure Компьютер Azure

Примечание.

Часть 2 эталонной архитектуры будет подключать оповещения из Microsoft Defender для облака и передавать их в Microsoft Sentinel.

Роль Microsoft Sentinel заключается в приеме данных из разных источников данных и корреляции данных между этими источниками данных. Microsoft Sentinel использует машинное обучение и ИИ, чтобы сделать поиск угроз, обнаружение оповещений и реагирование на угрозы более умным.

Чтобы подключить Microsoft Sentinel, необходимо включить это решение и подключить источники данных. Microsoft Sentinel поставляется с рядом соединителей для решений Майкрософт, которые доступны из коробки и обеспечивают интеграцию в режиме реального времени, включая Microsoft Defender для облака, решения Microsoft Threat Protection, источники Microsoft 365 (включая Office 365), Идентификатор Microsoft Entra, Microsoft Defender для серверов, Microsoft Defender для облака приложения и многое другое. Кроме того, существуют встроенные соединители для более широкой экосистемы безопасности для решений сторонних производителей. Вы также можете использовать общий формат событий, системный журнал или API передачи репрезентативного состояния для подключения источников данных к Microsoft Sentinel.

Требования к интеграции Microsoft Sentinel с Microsoft Defender для облака

  1. Подписка Microsoft Azure
  2. Рабочая область Log Analytics, которая не является рабочей областью по умолчанию, созданной при включении Microsoft Defender для облака.
  3. Microsoft Defender для облака.

Все три требования должны быть выполнены, если вы работали с предыдущим разделом.

Глобальные предварительные требования

  • Чтобы включить Microsoft Sentinel, вам потребуются разрешения участника в подписке, в которой размещается рабочая область Microsoft Sentinel.
  • Чтобы использовать Microsoft Sentinel, вам нужны разрешения участника или читателя в группе ресурсов, к которой принадлежит рабочая область.
  • Для подключения определенных источников данных может потребоваться дополнительное разрешение. Вам не нужны дополнительные разрешения для подключения к Defender для облака.
  • Microsoft Sentinel — это платная служба. Дополнительные сведения см. в ценах на Microsoft Sentinel.

Включение Microsoft Sentinel

  1. Войдите в портал Azure с помощью пользователя, имеющего права участника на Defender для облака-Sentinelworkspace.
  2. Найдите и выберите элемент Microsoft Sentinel. В портал Azure выполните поиск термина
  3. Выберите Добавить.
  4. В колонке Microsoft Sentinel выберите Defender для облака-Sentinelworkspace.
  5. В Microsoft Sentinel выберите соединители данных в меню навигации.
  6. В коллекции соединителей данных выберите Microsoft Defender для облака и нажмите кнопку "Открыть соединитель". В Microsoft Sentinel отображается открытая страница сборщиков
  7. В разделе "Конфигурация" выберите "Подключиться рядом с этими подписками", для которых требуется потоковая передача оповещений в Microsoft Sentinel. Кнопка "Подключить" будет доступна только в том случае, если у вас есть необходимые разрешения и подписка Defender для облака.
  8. Теперь вы должны наблюдать за состоянием подключения в качестве подключения. После подключения он переключится на подключенный.
  9. После подтверждения подключения можно закрыть параметры соединителя данных Defender для облака и обновить страницу, чтобы наблюдать за оповещениями в Microsoft Sentinel. Для синхронизации журналов с Microsoft Sentinel может потребоваться некоторое время. После подключения вы увидите сводку данных в графе получения данных и состояние подключения типов данных.
  10. Вы можете выбрать, будут ли оповещения из Microsoft Defender для облака автоматически создавать инциденты в Microsoft Sentinel. В разделе Создание инцидентов выберите Включено, чтобы включить правило аналитики по умолчанию, которое автоматически создает инциденты на основе оповещений. Позднее это правило можно будет изменить в разделе Analytics (Аналитика) на вкладке Активные правила (Active rules).
  11. Чтобы использовать соответствующую схему в Log Analytics для оповещений Microsoft Defender для облака, найдите SecurityAlert.

Одним из преимуществ использования Microsoft Sentinel в качестве SIEM является то, что она обеспечивает корреляцию данных между несколькими источниками, что позволяет обеспечить сквозную видимость событий, связанных с безопасностью вашей организации.

Дополнительные сведения о Microsoft Sentinel см. в следующих статьях:

Следующие шаги

Azure Monitor

Microsoft Defender для облака

Microsoft Sentinel

Azure Stack