时间:2021-07-15 | 标签: | 作者:Q8 | 来源:Microsoft网络
小提示:您能找到这篇{使用 Azure 安全中心和 Azure Sentinel 的混合安全监视}绝对不是偶然,我们能帮您找到潜在客户,解决您的困扰。如果您对本页介绍的使用 Azure 安全中心和 Azure Sentinel 的混合安全监视内容感兴趣,有相关需求意向欢迎拨打我们的服务热线,或留言咨询,我们将第一时间联系您! |
此参考体系结构演示了如何使用 Azure 安全中心和 Azure Sentinel 来监视本地和 Azure 操作系统工作负荷的安全配置和遥测数据。 这包括 Azure Stack。 下载此体系结构的 Visio 文件。 此体系结构的典型用途包括:
体系结构该体系结构包括以下组件:
建议以下建议适用于大多数方案。 除非有优先于这些建议的特定要求,否则请遵循这些建议。 Azure 安全中心升级此参考体系结构使用 Azure 安全中心 来监视本地系统、Azure vm、Azure Monitor 资源,甚至其他云提供商托管的 vm。 若要支持该功能,需要 Azure 安全中心的 基于费用的标准层 。 建议使用30天免费试用版来验证要求。 可在 此处找到有关 Azure 安全中心定价的详细信息。 自定义 Log Analytics 工作区Azure Sentinel 需要 Log Analytics 工作区的访问权限。 在这种情况下,不能将默认 ASC Log Analytics 工作区与 Azure Sentinel 一起使用。 需要创建自定义工作区。 自定义工作区的数据保留基于工作区定价层,可在 此处找到监视日志的定价模型。 备注 Azure Sentinel 可以在任何公开上市 (GA) Log Analytics 区域(中国和德国 (主权) 区域除外)上运行。 Azure Sentinel 生成的数据,例如事件、书签和警报规则(其中可能包含源自这些工作区的客户数据)将保存在基于欧洲的工作区的欧洲 (中) ,在澳大利亚 (适用于基于澳大利亚的工作区) ,或在位于任何其他区域的工作区的美国东部 () 。 可伸缩性注意事项适用于 Windows 和 Linux 的 Log Analytics 代理旨在对 Vm 或物理系统的性能产生非常小的影响。 Azure 安全中心操作过程不会影响正常的操作过程。 相反,它将被动监视你的部署并根据你启用的安全策略提供建议。 可管理性注意事项Azure 安全中心角色安全中心会评估资源的配置以识别安全问题,并在为资源所属的订阅或资源组分配所有者、参与者或读取者角色时,显示与资源相关的信息。 除这些角色外,还有两个特定的安全中心角色:
Azure Sentinel 订阅
安全注意事项安全策略 定义为指定订阅中的资源建议的一组控件。 在 Azure 安全中心,根据公司的安全要求和应用程序类型或每个订阅的数据敏感度,为 Azure 订阅定义策略。 Azure 安全中心中启用的安全策略用于驱动安全建议和监视。 若要了解有关安全策略的详细信息,请参阅 通过 Azure 安全中心增强安全策略。 只能在管理组或订阅组级别分配 Azure 安全中心的安全策略。 备注 部分参考体系结构详细介绍了如何启用 Azure 安全中心来监视 Azure 资源、本地系统和 Azure Stack 系统。 部署解决方案在 Azure 门户中创建 Log Analytics 工作区
启用安全中心当你仍以具有安全管理员权限的用户身份登录到 Azure 门户时,请在面板中选择 " 安全中心 "。 安全中心-概述 打开: 安全中心会自动为你或其他订阅用户之前未载入的任何 Azure 订阅启用免费级别。 升级到标准层重要 此参考体系结构使用安全中心标准层的30天免费试用版。
你现在已启用自动预配,安全中心将在所有受支持的 Azure Vm 以及你创建的任何新 Vm 上安装适用于 Windows (HealthService.exe) 和 omsagent For Linux 的 Log Analytics 代理。 尽管我们强烈建议自动预配,但你可以关闭此策略并手动管理它。 若要详细了解 Windows 和 Linux 中提供的特定安全中心功能,请参阅 计算机的功能覆盖。 启用本地 Windows 计算机的 Azure 安全中心监视
安装 Windows 代理若要在目标计算机上安装代理,请按照以下步骤操作。
完成后,Log Analytics 代理将显示在 Windows "控制面板" 中,你可以查看配置并验证代理是否已连接。 有关安装和配置代理的详细信息,请参阅 在 Windows 计算机上安装 Log Analytics 代理。 Log Analytics 代理服务收集事件和性能数据、执行任务以及管理包中定义的其他工作流。 安全中心通过集成 服务器 的 Microsoft Defender 高级威胁防护 (ATP) 来扩展其云工作负荷保护平台。 两者共同提供全面的终结点检测和响应 (EDR) 功能。 有关 Microsoft Defender ATP 的详细信息,请参阅 Microsoft DEFENDER atp 服务的板载服务器。 启用本地 Linux 计算机的 Azure 安全中心监视
备注 在 Unix 和 Linux 操作系统上, wget 是用于从 web 下载非交互式文件的工具。 它支持 HTTPS、FTPs 和代理。 Linux 代理使用 Linux 审核后台程序框架。 安全中心在 Log Analytics 代理中将此框架的功能集成,这使得可以使用适用于 Linux 的 Log Analytics 代理将审核记录收集、进行丰富并聚合到事件中。 安全中心会持续添加新分析功能,这些功能可以使用 Linux 信号来检测云和本地 Linux 计算机上的恶意行为。 有关 Linux 警报的列表,请参阅 警报的引用表。 安装 Linux 代理若要在目标 Linux 计算机上安装代理,请执行以下步骤:
最长可能需要30分钟的时间,新的 Linux 计算机才会显示在安全中心。 启用 Azure Stack Vm 的 Azure 安全中心监视载入 Azure 订阅后,可以通过从 Azure Stack marketplace 添加 Azure Monitor、更新和配置管理 VM 扩展,使安全中心能够保护 Azure Stack 上运行的 vm。 为此,请按以下步骤操作:
启用 Azure Stack Vm 的 ASC 监视Azure 安全中心使用与 Azure Stack 捆绑的 Azure Monitor、更新和配置管理 VM 扩展。 若要启用 Azure Monitor、更新和配置管理 扩展,请执行以下步骤:
有关安装和配置 Windows 代理的详细信息,请参阅 使用安装向导安装代理。 有关 Linux 代理的疑难解答问题,请参阅 如何排查适用于 linux 的 Log Analytics 代理的问题。 现在,可以从单个位置监视 Azure VM 和非 Azure 计算机了。 Azure 计算 提供所有 vm 和计算机的概述以及建议。 每一列代表一组建议,颜色表示 Vm 或计算机以及该建议的当前安全状态。 安全中心还会在安全警报中提供对这些计算机的任何检测。 有两种类型的图标表示在“计算”边栏选项卡上: 非 Azure 计算机 Azure 计算机 备注 参考体系结构中的第二部分将连接 Azure 安全中心的警报,并将其流式传输到 Azure Sentinel。 Azure Sentinel 的作用是从不同的数据源引入数据,并跨这些数据源执行数据关联。 Azure Sentinel 利用机器学习和 AI,使威胁搜寻、警报检测和威胁响应更智能。 若要载入 Azure Sentinel,需要先启用它,然后连接数据源。 Azure Sentinel 附带了多个 Microsoft 解决方案连接器,它们可供使用,并提供实时集成,包括 Microsoft 安全中心、Microsoft 威胁防护解决方案、Microsoft 365 源 (包括 Office 365) 、Azure Active Directory (Azure AD) 、Azure ATP、Microsoft Cloud App Security 等。 另外,还有适用于非 Microsoft 解决方案的更广阔的安全生态系统的内置连接器。 你还可以使用通用事件格式、syslog 或具象状态传输 API,通过 Azure Sentinel 连接数据源。 将 Azure Sentinel 与 Azure 安全中心集成的要求
如果完成了上一节,则所有三个要求都应该已经准备就绪。 全局先决条件
启用 Azure Sentinel
使用 Azure Sentinel 作为 SIEM 的一个优点是,它提供了跨多个源的数据关联,使你能够对组织的安全相关事件进行端到端的可见性。 备注 若要了解如何提高数据的可见性并识别潜在的威胁,请参阅 TechNet 库中的 Azure 行危机处理步骤动手册,其中包含一组资源,其中包含可在其中模拟攻击的实验室。 不应在生产环境中使用此实验室。 若要了解有关 Azure Sentinel 的详细信息,请参阅以下文章:
成本注意事项
|
上一篇:eBay店铺没流量是什么原因?怎么解决?
下一篇:eBay新手卖家如何选品及打造爆款?
基于对传统行业渠道的理解,对互联网行业的渠道我们可以下这样一个定义:一切...
小米应用商店的后台操作和苹果是比较相似的,因为都能填写100字符关键词,允许...
小米的规则目前是在变更中的,但是根据经验小米的搜索排名评分的高低是个很重...
为了恰饭,有时候是要接入一些广告的,所以FB也专门有一个广告的SDK,这就是A...
在 2018 年于旧金山举行的游戏开发者大会上,Amazon Web Services (AWS) 曾宣布,目前世...
关于Facebook Audience Network如何收款的问题,其实官方已经给了详细的步骤。本文主要...
本文介绍了Audience Network对广告载体的质量检查,以及它重点广告形式需要注意的问...
随着iOS开发,作为开发者或公司需要针对iOS App开发涉及的方方面面作出对应的信息...
Facebook和谷歌对出海企业广告渠道都很熟悉,但事实上,在国外还有一些渠道也很...
卖家从做号的第1分钟开始,就一定要想好变现路径是什么?一定要以变现为目的去...
小提示:您应该对本页介绍的“使用 Azure 安全中心和 Azure Sentinel 的混合安全监视”相关内容感兴趣,若您有相关需求欢迎拨打我们的服务热线或留言咨询,我们尽快与您联系沟通使用 Azure 安全中心和 Azure Sentinel 的混合安全监视的相关事宜。
关键词:使用,Azure,安全中心和,Az