使用 Azure 安全中心和 Azure Sentinel 的混合安全监视

小提示：您能找到这篇{使用 Azure 安全中心和 Azure Sentinel 的混合安全监视}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的使用 Azure 安全中心和 Azure Sentinel 的混合安全监视内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

此参考体系结构演示了如何使用 Azure 安全中心和 Azure Sentinel 来监视本地和 Azure 操作系统工作负荷的安全配置和遥测数据。 这包括 Azure Stack。

下载此体系结构的 Visio 文件。

此体系结构的典型用途包括：

• 将本地安全和遥测监视与基于 Azure 的工作负荷集成的最佳实践

• 如何将 Azure 安全中心与 Azure Stack 集成

• 如何将 Azure 安全中心与 Azure Sentinel 集成

体系结构

该体系结构包括以下组件：

• Azure 安全中心。 这是 Microsoft 提供给所有 Azure 订户的高级统一安全管理平台。 安全中心划分为云安全状况管理 (CSPM) 和云工作负荷保护平台 (CWPP) 。 CWPP 是由以工作负荷为中心的安全保护解决方案（通常基于代理）定义的。 Azure 安全中心可为本地和其他云中的 Azure 工作负荷（包括 Windows 和 Linux 虚拟机 (Vm) 、容器、数据库和物联网 (IoT) ）提供威胁保护。 激活时，Log Analytics 代理会自动部署到 Azure 虚拟机中。 对于本地 Windows 和 Linux 服务器和 Vm，你可以手动部署代理，使用组织的部署工具（如 Microsoft Endpoint Protection 管理员）或使用脚本化部署方法。 安全中心开始评估所有 Vm、网络、应用程序和数据的安全状态。

• Azure Sentinel。 是一种云本机安全信息和事件管理 (SIEM) 和安全业务流程自动响应 (之忠诚度) 解决方案，该解决方案使用高级 AI 和安全分析来帮助检测、查寻、阻止和应对企业内的威胁。

• Azure Stack。 是一系列产品，可将 Azure 服务和功能从数据中心扩展到边缘位置和远程办公室。 与 Azure Stack 集成的系统通常使用由受信任的硬件合作伙伴构建并直接传递到你的数据中心的四到十六个服务器。

• Azure Monitor。 从各种本地和 Azure 源收集监视遥测数据。 管理工具（例如 Azure 安全中心和 Azure 自动化中的工具）也将日志数据推送到 Azure Monitor。

• Log Analytics 工作区。 Azure Monitor 将日志数据存储在 Log Analytics 工作区，该工作区是包含数据和配置信息的容器。

• Log Analytics 代理。 Log Analytics 代理从 Azure、其他云提供程序和本地中的来宾操作系统和 VM 工作负载收集监视数据。 Log Analytics 代理支持代理配置，通常在这种情况下，Microsoft Operations Management Suite (OMS) 网关充当代理。

• 本地网络。 此防火墙配置为支持来自定义的系统的 HTTPS 出口。

• 本地 Windows 和 Linux 系统。 安装了 Log Analytics 代理的系统。

• Azure Windows 和 Linux vm。 安装 Azure 安全中心监视代理的系统。

建议

以下建议适用于大多数方案。 除非有优先于这些建议的特定要求，否则请遵循这些建议。

Azure 安全中心升级

此参考体系结构使用 Azure 安全中心 来监视本地系统、Azure vm、Azure Monitor 资源，甚至其他云提供商托管的 vm。 若要支持该功能，需要 Azure 安全中心的 基于费用的标准层 。 建议使用30天免费试用版来验证要求。

可在 此处找到有关 Azure 安全中心定价的详细信息。

自定义 Log Analytics 工作区

Azure Sentinel 需要 Log Analytics 工作区的访问权限。 在这种情况下，不能将默认 ASC Log Analytics 工作区与 Azure Sentinel 一起使用。 需要创建自定义工作区。 自定义工作区的数据保留基于工作区定价层，可在 此处找到监视日志的定价模型。

 备注

Azure Sentinel 可以在任何公开上市 (GA) Log Analytics 区域（中国和德国 (主权) 区域除外）上运行。 Azure Sentinel 生成的数据，例如事件、书签和警报规则（其中可能包含源自这些工作区的客户数据）将保存在基于欧洲的工作区的欧洲 (中) ，在澳大利亚 (适用于基于澳大利亚的工作区) ，或在位于任何其他区域的工作区的美国东部 () 。

可伸缩性注意事项

适用于 Windows 和 Linux 的 Log Analytics 代理旨在对 Vm 或物理系统的性能产生非常小的影响。

Azure 安全中心操作过程不会影响正常的操作过程。 相反，它将被动监视你的部署并根据你启用的安全策略提供建议。

可管理性注意事项

Azure 安全中心角色

安全中心会评估资源的配置以识别安全问题，并在为资源所属的订阅或资源组分配所有者、参与者或读取者角色时，显示与资源相关的信息。

除这些角色外，还有两个特定的安全中心角色：

• 安全读者。 属于此角色的用户对安全中心具有只读权限。 用户可以观察建议、警报、安全策略和安全状态，但不能进行更改。

• 安全管理员。属于此角色的用户具有与安全读取器相同的权限，并且还可以更新安全策略，并消除警报和建议。 通常，这些是管理工作负荷的用户。

• 安全角色、安全****管理员和安全管理员 只能访问安全中心。 安全角色无权访问其他 Azure 服务区域，如存储、web、移动或 IoT。

Azure Sentinel 订阅

• 若要启用 Azure Sentinel，需要获取 Azure Sentinel 工作区所在订阅的参与者权限。

• 若要使用 Azure Sentinel，需要对工作区所属资源组具有参与者或读者权限。

• Azure Sentinel 是付费服务。 有关详细信息，请参阅 Azure Sentinel 定价。

安全注意事项

安全策略 定义为指定订阅中的资源建议的一组控件。 在 Azure 安全中心，根据公司的安全要求和应用程序类型或每个订阅的数据敏感度，为 Azure 订阅定义策略。

Azure 安全中心中启用的安全策略用于驱动安全建议和监视。 若要了解有关安全策略的详细信息，请参阅 通过 Azure 安全中心增强安全策略。 只能在管理组或订阅组级别分配 Azure 安全中心的安全策略。

 备注

部分参考体系结构详细介绍了如何启用 Azure 安全中心来监视 Azure 资源、本地系统和 Azure Stack 系统。

部署解决方案

在 Azure 门户中创建 Log Analytics 工作区

1. 以具有安全管理员权限的用户身份登录到 Azure 门户。

2. 在 Azure 门户中，选择“所有服务”。 在资源列表中，输入 Log Analytics。 开始输入时，列表会根据输入筛选。 选择“Log Analytics 工作区”。

3. 在 Log Analytics "页上选择" 添加 "。

4. 为新的 Log Analytics 工作区提供名称，例如 SentinelWorkspace。 此名称在所有 Azure Monitor 订阅中必须是全局唯一的。

5. 如果默认选择不合适，请从下拉列表中选择来选择订阅。

6. 对于 " 资源组"，请选择使用现有的资源组或创建一个新的资源组。

7. 对于 " 位置"，请选择可用的地理位置。

8. 选择“确定”以完成配置。 

启用安全中心

当你仍以具有安全管理员权限的用户身份登录到 Azure 门户时，请在面板中选择 " 安全中心 "。 安全中心-概述 打开：

安全中心会自动为你或其他订阅用户之前未载入的任何 Azure 订阅启用免费级别。

升级到标准层

 重要

此参考体系结构使用安全中心标准层的30天免费试用版。

1. 在 "安全中心" 主菜单上，选择 " 入门"。

2. 选择 " 立即升级 " 按钮。 安全中心列出了可在标准层中使用的订阅和工作区。

3. 可以选择符合试用条件的工作区和订阅来开始试用。 选择以前创建的工作区 SentinelWorkspace。 从下拉菜单中。

4. 在安全中心主菜单中，选择 " 开始试用"。

5. 应该会显示 " 安装代理 " 对话框。

6. 选择 " 安装代理 " 按钮。 将显示 " 安全中心覆盖率 " 边栏选项卡，你应在 " 标准覆盖范围 " 选项卡中查看所选的订阅。 

你现在已启用自动预配，安全中心将在所有受支持的 Azure Vm 以及你创建的任何新 Vm 上安装适用于 Windows (HealthService.exe) 和 omsagent For Linux 的 Log Analytics 代理。 尽管我们强烈建议自动预配，但你可以关闭此策略并手动管理它。

若要详细了解 Windows 和 Linux 中提供的特定安全中心功能，请参阅 计算机的功能覆盖。

启用本地 Windows 计算机的 Azure 安全中心监视

1. 在 Azure 门户中的 " 安全中心-概述 " 边栏选项卡上，选择 " 入门 " 选项卡。

2. 在 "添加新的非 Azure 计算机" 下选择 "配置"。 将显示 Log Analytics 工作区列表，并应包括 SentinelWorkspace。

3. 选择此工作区。 此时会打开 " 直接代理 " 边栏选项卡，其中包含用于下载 Windows 代理和密钥的链接， (ID) 在配置代理时使用。

4. 选择适用于计算机处理器类型的“下载 Windows 代理”链接，以下载安装程序文件。

5. 在 " 工作区 ID" 右侧，选择 " 复制"，然后将该 ID 粘贴到记事本中。

6. 在 " 主键" 的右侧，选择 " 复制"，然后将该密钥粘贴到记事本中。

安装 Windows 代理

若要在目标计算机上安装代理，请按照以下步骤操作。

1. 
   

   

   
   将该文件复制到目标计算机，然后 运行安装程序。

2. 在“欢迎”页上，选择“下一步”。

3. 在“许可条款”页面上阅读许可协议，然后选择“我接受” 。

4. 在“目标文件夹”页面上更改或保留默认安装文件夹，然后选择“下一步” 。

5. 在“代理安装选项”页上，选择将代理连接到 Azure Log Analytics，然后选择“下一步”。

6. 在 Azure Log Analytics 页上，粘贴在前面步骤中复制到记事本的“工作区 ID” 和“工作区密钥(主密钥)” 。

7. 如果计算机应向 Azure 政府云中的 Log Analytics 工作区报告，请从“Azure 云”下拉列表中选择“Azure 美国政府版”。 如果计算机需要通过代理服务器与 Log Analytics 服务通信，请选择 " 高级"，然后提供代理服务器的 URL 和端口号。

8. 提供必要的配置设置后，选择 " 下一步"。 

9. 在“准备安装”页上检查所做的选择，并选择“安装” 。

10. 在“配置已成功营销推广方案策划完成”页上，选择“完成”。

完成后，Log Analytics 代理将显示在 Windows "控制面板" 中，你可以查看配置并验证代理是否已连接。

有关安装和配置代理的详细信息，请参阅 在 Windows 计算机上安装 Log Analytics 代理。

Log Analytics 代理服务收集事件和性能数据、执行任务以及管理包中定义的其他工作流。 安全中心通过集成 服务器 的 Microsoft Defender 高级威胁防护 (ATP) 来扩展其云工作负荷保护平台。 两者共同提供全面的终结点检测和响应 (EDR) 功能。

有关 Microsoft Defender ATP 的详细信息，请参阅 Microsoft DEFENDER atp 服务的板载服务器。

启用本地 Linux 计算机的 Azure 安全中心监视

1. 如前面所述，返回到 " 入门 " 选项卡。

2. 在 "添加新的非 Azure 计算机" 下选择 "配置"。 将显示 Log Analytics 工作区的列表。 此列表应包括你创建的 SentinelWorkspace 。

3. 在 下载和 LINUX 代理 下的 "直接代理" 边栏选项卡中，选择 "复制" 以复制 wget 命令。

4. 打开记事本，然后粘贴此命令。 将此文件保存到你可以从 Linux 计算机访问的位置。

 备注

在 Unix 和 Linux 操作系统上， wget 是用于从 web 下载非交互式文件的工具。 它支持 HTTPS、FTPs 和代理。

Linux 代理使用 Linux 审核后台程序框架。 安全中心在 Log Analytics 代理中将此框架的功能集成，这使得可以使用适用于 Linux 的 Log Analytics 代理将审核记录收集、进行丰富并聚合到事件中。 安全中心会持续添加新分析功能，这些功能可以使用 Linux 信号来检测云和本地 Linux 计算机上的恶意行为。

有关 Linux 警报的列表，请参阅 警报的引用表。

安装 Linux 代理

若要在目标 Linux 计算机上安装代理，请执行以下步骤：

1. 在 Linux 计算机上，打开以前保存的文件。 选择并复制整个内容，打开终端控制台，然后粘贴命令。

2. 安装完成后，可以通过运行 pgrep 命令来验证是否已安装 omsagent 。 命令将返回 omsagent 进程标识符 (PID) 。 可以在以下位置找到代理的日志： /var/opt/microsoft/omsagent/"工作区 id"/log/。

最长可能需要30分钟的时间，新的 Linux 计算机才会显示在安全中心。

启用 Azure Stack Vm 的 Azure 安全中心监视

载入 Azure 订阅后，可以通过从 Azure Stack marketplace 添加 Azure Monitor、更新和配置管理 VM 扩展，使安全中心能够保护 Azure Stack 上运行的 vm。 为此，请按以下步骤操作：

1. 如前面所述，返回到 " 入门 " 选项卡。

2. 在 "添加新的非 Azure 计算机" 下选择 "配置"。 将显示 Log Analytics 工作区列表，并应包括你创建的 SentinelWorkspace 。

3. 在 " 直接代理 " 边栏选项卡上有一个链接，用于下载代理和密钥，以便在代理配置过程中使用工作区 ID。 不需要手动下载代理。 在以下步骤中，它将安装为 VM 扩展。

4. 在 " 工作区 ID" 右侧，选择 " 复制"，然后将该 ID 粘贴到记事本中。

5. 在 " 主键" 的右侧，选择 " 复制"，然后将该密钥粘贴到记事本中。

启用 Azure Stack Vm 的 ASC 监视

Azure 安全中心使用与 Azure Stack 捆绑的 Azure Monitor、更新和配置管理 VM 扩展。 若要启用 Azure Monitor、更新和配置管理 扩展，请执行以下步骤：

1. 在新的浏览器选项卡中，登录到 Azure Stack 门户。

2. 请参阅 " 虚拟机 " 页，然后选择要用安全中心保护的虚拟机。

3. 选择“扩展”。 此时会显示在此 VM 上安装的 VM 扩展的列表。

4. 选择 " 添加 " 选项卡。此时将打开 " 新建资源 菜单" 边栏选项卡，其中显示可用 VM 扩展的列表。

5. 选择 Azure Monitor、更新和配置管理 扩展，然后选择 " 创建"。 此时将打开 " 安装扩展 配置" 边栏选项卡。

6. 在“安装扩展”配置边栏选项卡上，粘贴在前面步骤中复制到记事本的“工作区 ID” 和“工作区密钥(主密钥)”。

7. 提供必要的配置设置后，请选择 "确定"。

8. 扩展安装完成后，其状态将显示为 " 预配已成功"。 VM 可能需要长达一小时的时间才会出现在安全中心门户中。

有关安装和配置 Windows 代理的详细信息，请参阅 使用安装向导安装代理。

有关 Linux 代理的疑难解答问题，请参阅 如何排查适用于 linux 的 Log Analytics 代理的问题。

现在，可以从单个位置监视 Azure VM 和非 Azure 计算机了。 Azure 计算 提供所有 vm 和计算机的概述以及建议。 每一列代表一组建议，颜色表示 Vm 或计算机以及该建议的当前安全状态。 安全中心还会在安全警报中提供对这些计算机的任何检测。 

有两种类型的图标表示在“计算”边栏选项卡上：

 非 Azure 计算机

 Azure 计算机

 备注

参考体系结构中的第二部分将连接 Azure 安全中心的警报，并将其流式传输到 Azure Sentinel。

Azure Sentinel 的作用是从不同的数据源引入数据，并跨这些数据源执行数据关联。 Azure Sentinel 利用机器学习和 AI，使威胁搜寻、警报检测和威胁响应更智能。

若要载入 Azure Sentinel，需要先启用它，然后连接数据源。 Azure Sentinel 附带了多个 Microsoft 解决方案连接器，它们可供使用，并提供实时集成，包括 Microsoft 安全中心、Microsoft 威胁防护解决方案、Microsoft 365 源 (包括 Office 365) 、Azure Active Directory (Azure AD) 、Azure ATP、Microsoft Cloud App Security 等。 另外，还有适用于非 Microsoft 解决方案的更广阔的安全生态系统的内置连接器。 你还可以使用通用事件格式、syslog 或具象状态传输 API，通过 Azure Sentinel 连接数据源。

将 Azure Sentinel 与 Azure 安全中心集成的要求

1. Microsoft Azure 订阅

2. 不是在启用 Azure 安全中心时创建的默认工作区的 Log Analytics 工作区。

3. 启用了安全中心标准层的 Azure 安全中心。

如果完成了上一节，则所有三个要求都应该已经准备就绪。

全局先决条件

• 若要启用 Azure Sentinel，需要获取 Azure Sentinel 工作区所在订阅的参与者权限。

• 若要使用 Azure Sentinel，需要对工作区所属资源组具有参与者或读者权限。

• 可能需要更多的权限才能连接特定的数据源。 不需要其他权限即可连接到 ASC。

• Azure Sentinel 是付费服务。 有关详细信息，请参阅 Azure Sentinel 定价。

启用 Azure Sentinel

1. 使用具有 Sentinelworkspace 的参与者权限的用户登录到 Azure 门户。

2. 搜索“Azure Sentinel”并将其选中。 

3. 选择 添加 。

4. 在 Azure Sentinel 边栏选项卡中，选择 " Sentinelworkspace"。

5. 在 Azure Sentinel 中，从 导航 菜单中选择 "数据连接器"。

6. 从 "数据连接器" 库中，选择 " Azure 安全中心"，然后选择 " 打开连接器" 页面 按钮。 

7. 在 " 配置" 下，选择要将警报流式传输到 Azure Sentinel 的订阅旁边的 " 连接 "。 只有在具有所需权限和 ASC 标准层订阅时，" 连接 " 按钮才可用。

8. 现在应会看到 连接状态 为 " 正在连接"。 连接后，它将切换到 " 已连接"。

9. 确认连接后，可以关闭 ASC 数据连接器 设置，并刷新页面以观察 Azure Sentinel 中的警报。 可能需要一段时间才能开始使用 Azure Sentinel 同步日志。 在连接后，你将在 "接收的数据" 关系图中观察到数据类型的连接状态中的数据摘要。

10. 你可以选择是否希望 Azure 安全中心的警报在 Azure Sentinel 中自动生成事件。 在 " 创建事件" 下，选择 " 启用 " 以启用自动根据警报创建事件的默认分析规则。 然后，你可以在 " 分析" 下的 " 活动规则 " 选项卡中编辑此规则。

11. 若要在 Azure 安全中心警报的 Log Analytics 中使用相关架构，请搜索 SecurityAlert。

使用 Azure Sentinel 作为 SIEM 的一个优点是，它提供了跨多个源的数据关联，使你能够对组织的安全相关事件进行端到端的可见性。

 备注

若要了解如何提高数据的可见性并识别潜在的威胁，请参阅 TechNet 库中的 Azure 行危机处理步骤动手册，其中包含一组资源，其中包含可在其中模拟攻击的实验室。 不应在生产环境中使用此实验室。

若要了解有关 Azure Sentinel 的详细信息，请参阅以下文章：

• 快速入门： Azure Sentinel 入门

• 教程：就地检测威胁

成本注意事项

• 如前文所述，Azure 订阅之外的成本可能包括：

1. Azure 安全中心标准层。 有关详细信息，请参阅 安全中心定价。

2. Azure Monitor 工作区提供计费的粒度。 有关详细信息，请参阅 使用 Azure Monitor 日志管理使用情况和成本。

3. Azure Sentinel 是付费服务。 有关详细信息，请参阅 Azure Sentinel 定价。