Руководство. Использование Центра безопасности Azure для мониторинга виртуальных машин

Центр безопасности Azure поможет вам получить представление о рекомендациях по обеспечению безопасности ресурсов Azure. Центр безопасности предлагает интегрированный мониторинг безопасности. Он может обнаружить угрозы, которые в противном случае могут быть незамечены. В этом руководстве вы узнаете о Центре безопасности Azure и о том, как:

Общие сведения о Центре безопасности

Центр безопасности определяет потенциальные проблемы конфигурации виртуальной машины и целевые угрозы безопасности. К ним могут относиться виртуальные машины, которые отсутствуют группы безопасности сети, незашифрованные диски и атаки протокола удаленного рабочего стола (RDP). Эти сведения отображаются на панели мониторинга Центра безопасности на простых для чтения графах.

Чтобы открыть панель мониторинга Центра безопасности, на портале Azure в меню выберите Центр безопасности. На панели мониторинга можно просмотреть работоспособность системы безопасности среды Azure, найти количество текущих рекомендаций и просмотреть текущее состояние оповещений об угрозах. Вы можете развернуть каждую высокоуровневую диаграмму, чтобы просмотреть дополнительные сведения.

Центр безопасности выходит за рамки обнаружения данных, чтобы предоставить рекомендации по обнаружению проблем. Например, если виртуальная машина была развернута без подключенной сетевой группы безопасности, Центр безопасности отображает рекомендацию и предлагает шаги по исправлению ситуации. Вы получаете автоматическое исправление, не выходя из контекста Центра безопасности.

Настройка сбора данных

Прежде чем получить представление о конфигурациях безопасности виртуальных машин, необходимо настроить сбор данных Центра безопасности. Это включает включение сбора данных, которая автоматически устанавливает Microsoft Monitoring Agent на всех виртуальных машинах в подписке.

1. На панели мониторинга Центра безопасности щелкните политику безопасности и выберите подписку.
2. Для сбора данных в автоматическом режиме подготовки нажмите кнопку "Вкл.".
3. Для конфигурации рабочей области по умолчанию оставьте Использовать рабочие области, созданные Центром безопасности (по умолчанию).
4. В разделе "События безопасности" параметр common по умолчанию сохраняется.
5. Нажмите кнопку "Сохранить " в верхней части страницы.

Затем агент сбора данных Центра безопасности устанавливается на всех виртуальных машинах и начинается сбор данных.

Настройка политики безопасности

Политики безопасности используются для определения элементов, для которых Центр безопасности собирает данные и делает рекомендации. Вы можете применять различные политики безопасности к разным наборам ресурсов Azure. Хотя по умолчанию ресурсы Azure оцениваются по всем элементам политики, вы можете отключить отдельные элементы политики для всех ресурсов Azure или группы ресурсов. Подробные сведения о политиках безопасности Центра безопасности см. в разделе "Настройка политик безопасности" в Центре безопасности Azure.

Чтобы настроить политику безопасности для всей подписки, выполните следующие действия.

1. На панели мониторинга Центра безопасности выберите политику безопасности и выберите подписку.
2. В колонке "Политика безопасности " выберите политику безопасности.
3. В колонке "Политика безопасности — политика безопасности " включите или отключите элементы политики, которые необходимо применить к подписке.
4. После завершения выбора параметров нажмите Сохранить в верхней части панели.

Просмотр работоспособности конфигурации виртуальной машины

После включения сбора данных и настройки политики безопасности центр безопасности начинает предоставлять оповещения и рекомендации. При развертывании виртуальных машин устанавливается агент сбора данных. Затем центр безопасности заполняется данными для новых виртуальных машин. Подробные сведения о работоспособности конфигурации виртуальных машин см. в разделе "Защита виртуальных машин в Центре безопасности".

По мере сбора данных работоспособности ресурсов для каждой виртуальной машины и связанного ресурса Azure агрегируется. Сведения отображаются на диаграмме с легкостью для чтения.

Чтобы просмотреть работоспособности ресурсов, выполните приведенные действия.

1. На панели мониторинга Центра безопасности в разделе "Предотвращение" выберите "Вычисления".
2. На панели вычислительная выберите ВМ и компьютеры. Это представление содержит сводку о состоянии конфигурации для всех виртуальных машин.

Чтобы просмотреть все рекомендации для виртуальной машины, выберите виртуальную машину.

Устранение проблем с конфигурацией

После того как центр безопасности начнет заполняться данными конфигурации, рекомендации создаются на основе настроенной политики безопасности. Например, если виртуальная машина была настроена без связанной группы безопасности сети, рекомендуется создать ее.

Чтобы просмотреть список всех рекомендаций:

1. На панели мониторинга Центра безопасности выберите "Рекомендации".
2. Выберите определенную рекомендацию. Появляется список всех ресурсов, для которых применима рекомендация.
3. Чтобы применить рекомендацию, выберите ресурс.
4. Следуйте инструкциям по исправлению.

Во многих случаях Центр безопасности предоставляет действия, которые можно предпринять для решения рекомендаций, не выходя из Центра безопасности. В следующем примере Центр безопасности обнаруживает группу безопасности сети с неограниченным правилом для входящего трафика. На странице рекомендаций можно нажать кнопку "Изменить правила входящего трафика ". Появится пользовательский интерфейс, необходимый для изменения правила.

По мере исправления рекомендаций они помечаются как разрешенные.

Просмотр обнаруженных угроз

Помимо рекомендаций по настройке ресурсов центр безопасности отображает оповещения об обнаружении угроз. Функция оповещений системы безопасности объединяет данные, собранные из каждой виртуальной машины, сетевых журналов Azure и подключенных партнерских решений для обнаружения угроз безопасности для ресурсов Azure. Подробные сведения о возможностях обнаружения угроз в Центре безопасности см. в статье "Как центр безопасности обнаруживает угрозы?".

Функция оповещений системы безопасности требует, чтобы ценовая категория "Центр безопасности" была увеличена с "Бесплатный" до "Стандартный". Бесплатная пробная версия доступна при переходе на эту более высокую ценовую категорию.

Чтобы изменить ценовую категорию, выполните следующие действия.

1. На панели мониторинга Центра безопасности щелкните политику безопасности и выберите подписку.
2. Выберите ценовую категорию.
3. Выберите "Стандартный" и нажмите кнопку "Сохранить " в верхней части колонки.

После изменения ценовой категории граф оповещений системы безопасности начинает заполняться по мере обнаружения угроз безопасности.

Выберите оповещение для просмотра сведений. Например, можно увидеть описание угрозы, время обнаружения угрозы, все попытки угрозы и рекомендуемое исправление. В следующем примере была обнаружена атака методом перебора паролей через RDP, с 294 неудачными попытками входа. Рекомендуемое разрешение предлагается.

Дальнейшие действия

В этом руководстве описано, как настроить Центр безопасности Azure, а затем просмотреть виртуальные машины в Центре безопасности. Вы узнали, как:

Перейдите к следующему руководству, чтобы узнать больше о создании конвейера CI/CD с помощью Jenkins, GitHub и Docker.