Cum se utilizează Azure Security Center pentru a monitoriza mașinile virtuale

Microsoft Azure este o platformă cloud dezvoltată de Microsoft, prin intermediul căreia va fi posibil să accesați crearea și administrarea a sute de resurse, cum ar fi mașini virtuale sau aplicații atât de la Microsoft, cât și de la unele din Ubuntu; permițând ca aceste tipuri de resurse să fie disponibile nu numai, dar mediul lor este sigur și disponibil în orice moment și de oriunde, cu sprijinul Microsoft.

În afară de resursele pe care le putem crea și gestiona, Microsoft Azure ne oferă o serie de instrumente și utilități pentru a facilita munca în mediul respectiv și unul dintre acestea este Centrul de securitate Azure, datorită căruia ne aflăm într-un centru de control pentru monitorizare și supraveghează orice anomalie pe care o poate prezenta sistemul și acționează astfel cu precizie evitând orice tip de atac care poate apărea.

Din acest motiv, Solvetic va explica astăzi ce este Azure Security Center și cum îl putem implementa în Azure.

Ce este Azure Security Center?Azure Security Center a fost dezvoltat și integrat în Azure ca o opțiune unificată de gestionare a securității, care oferă protecție avansată împotriva amenințărilor care vizează încărcările de lucru din cloud.

Unele dintre avantajele pe care le avem atunci când implementăm această caracteristică Azure

• Posibilitatea de a aplica directive pentru a garanta respectarea standardelor de securitate.

• Monitorizați securitatea încărcărilor de lucru atât locale, cât și în cloud.

• Abilitatea de a găsi și remedia vulnerabilitățile înainte de a fi prea târziu.

• Opțiunea de a utiliza instrumente avansate de analiză și informații de amenințare pentru a detecta atacurile din rețea.

• Posibilitatea de a utiliza accesul și controalele aplicației pentru a bloca activitatea nesigură din sistem.

Când alegem să implementăm Azure Security Center, va fi posibil să avem acces la o vizualizare unificată și centralizată a securității diferitelor încărcături de lucru la sediul și în cloud. De asemenea, va fi posibil să descoperiți și să includeți automat resurse Azure noi și să aplicați politici de securitate.

Utilizarea acestui instrument Azure integrat facilitează sarcina de a monitoriza securitatea atât a mașinilor, cât și a rețelelor și a serviciilor Azure datorită evaluărilor de securitate integrate în acesta, care afișează datele necesare pentru a realiza pe deplin informațiile solicitate.

Azure Security Center este disponibil în două tipuri de acces care sunt:

GratuitCu această versiune avem acces la:

• Politica de securitate, evaluare și recomandări.

• Soluții partenere conectate.

StandardAcest lucru ne oferă acces la:

• Politica de securitate, evaluare și recomandări.

• Soluții partenere conectate.

• Căutare și colectare de evenimente de securitate.

• Acces la CM Just-in-Time.

• Controale de aplicații adaptive.

• Detectare avansată a amenințărilor.

• Alerte integrate și personalizate.

• Informații despre amenințare.

Acum, dacă optăm pentru versiunea standard, prețurile de utilizare pe resursă vor fi:

Mașini virtuale0,017 € / server / oră, date incluse - 500 MB / zi

Servicii pentru aplicații0,017 € / instanță de serviciu aplicație / oră

SQL DB0,018 € / server / oră

MySQL (Previzualizare)0,009 € / server / oră

PostgreSQL (Previzualizare)0,009 € / server / oră

Stocare (previzualizare)0 / 10.000 € tranzacții

În rezumat, Azure Security Center ne permite să identificăm diverse probleme asociate cu configurația mașinilor virtuale și să detectăm amenințările de securitate redirecționate către acestea. Acest grup de discuții include mașini virtuale care nu au grupuri de securitate a rețelei, hard disk-uri necriptate și atacuri RDP cu forță brută.

1. Cum se accesează Azure Security Center

Pasul 1
Pentru a avea acces la Azure Security Center, mai întâi de toate, trebuie să accesați următorul link și acolo să vă înregistrați cu acreditările respective:

Odată ajuns acolo, mergem la meniul lateral și facem clic pe secțiunea Centru de securitate:

MARI

Pasul 2
Făcând clic acolo, va fi afișată următoarea fereastră. După cum putem vedea, implicit Centrul de securitate este dezactivat. Acolo găsim un scurt rezumat al acțiunilor lor și pentru ao activa facem clic pe butonul „Start”.

MARI

Pasul 3
Apoi vom fi redirecționați către fereastra următoare. În acest moment trebuie să instalăm agenții Centrului de securitate care ne permit să primim alerte de securitate despre modificări și amenințări în mașinile virtuale, faceți clic pe butonul „Instalați agenți” pentru a continua procesul.

MARI

Pasul 4
Odată ce acest lucru este făcut, vom vedea următorul mediu direct în secțiunea „Informații generale”:

Acolo găsim detalii precum:

• Numărul de directive implementate și respectarea acestora.

• Starea resurselor active în Azure.

• Nivel de scor atribuit de Azure pentru probleme de securitate.

MARI

Pasul 5
Unul dintre avantajele acestui utilitar este că Centrul de securitate nu se limitează doar la detectarea datelor pentru a genera recomandări, dar dacă orice resursă, fiind mașini virtuale una dintre cele mai utilizate, nu are niciunul dintre parametrii de securitate, precum ca subrețele sau grupuri de securitate, Security Center se ocupă automat de crearea unei recomandări cu pașii respectivi pentru corectarea acestora. Vedem acest lucru în secțiunea „Recomandări”:

În această secțiune găsim aceste aspecte

• Monitorizarea detaliată a resurselor.

• Descrierea recomandării generate.

• Impactul recomandării.

• Tipul resursei afectate.

MARI

2. Cum se configurează colectarea datelor în Azure Security Center

Pentru a accesa configurațiile de securitate din mașinile virtuale, trebuie să configurați colectarea datelor din utilitarul Security Center, pentru aceasta trebuie să activați colectarea datelor care instalează automat Microsoft Monitoring Agent în toate mașinile virtuale create în abonamentul utilizat.

Pasul 1
Pentru a activa această colectare de date, vom merge la panoul „Centrul de securitate” și acolo trebuie să facem clic pe secțiunea „Politică de securitate” și vom vedea următoarele. Abonamentele active vor fi afișate acolo, acum trebuie să selectăm abonamentul de editat.

MARI

Pasul 2
În fereastra următoare vom face clic pe butonul „Atribuiți politica de securitate”:

MARI

Pasul 3
Va fi afișată următoarea fereastră unde trebuie să atribuim parametrii pe care îi considerăm necesari. Odată ce acest lucru este finalizat, facem clic pe butonul „Salvare pentru a aplica modificările”.

MARI

Pasul 4
Acum, în fereastra principală trebuie să facem clic pe linia „Editați configurația” și vom vedea următoarele. Acolo facem clic pe butonul „Activat”.

MARI

Pasul 5
Următoarea serie de opțiuni va fi afișată în care configurăm următoarele:

• În câmpul „În setările implicite ale spațiului de lucru”, activăm caseta „Utilizați spațiile de lucru” creată de „Centrul de securitate” (valoare implicită)

• În câmpul „Evenimente de securitate” activăm opțiunea implicită „Comun”.

Salvăm modificările făcând clic pe butonul „Salvare”.

MARI

3. Cum se configurează o politică de securitate în Azure

Politicile de securitate au fost elaborate pentru a defini elementele cu care Centrul de securitate poate colecta date și pe baza acestora generează recomandări. Diferite politici de securitate pot fi aplicate mai multor seturi de resurse Azure și în mod implicit resursele Azure sunt evaluate în raport cu toate elementele politicii.

Pentru a configura aceste politici, trebuie să mergem la secțiunea „Politici de securitate” și acolo să activăm sau să dezactivăm elementele politicii la care doriți să aplicați abonamentul.

4. Cum se vizualizează starea de configurare a unei mașini virtuale cu Azure Security Center

După ce am finalizat procesul de activare a colectării datelor și a fost definită o politică de securitate, utilitarul Security Center va începe procesul de generare a alertelor și recomandărilor. În acest fel, când sunt implementate mașinile virtuale, agentul de colectare a datelor este instalat automat și după acest centru de securitate va fi completat cu datele noilor mașini virtuale.

Pe măsură ce datele sunt colectate, acestea vor fi adăugate la starea resurselor fiecărei mașini virtuale și a resurselor Azure asociate și acestea vor fi reprezentate într-un grafic util pentru sarcinile de administrare.

Diferitele recomandări disponibile în Azure sunt:

Activați colectarea datelor de abonamentAcest lucru vă permite să activați colectarea datelor în politica de securitate pentru fiecare abonament și pentru toate mașinile virtuale din abonament.

Activați criptarea pentru contul dvs. de stocare AzureAceastă recomandare ne instruiește să activăm criptarea serviciului de stocare Azure pentru date în repaus. Criptarea serviciului de stocare (SSE) funcționează prin criptarea datelor pe măsură ce sunt scrise în stocarea Azure și decriptarea înainte de recuperare. SSE este disponibil numai pentru serviciul Azure Blob și poate fi utilizat pentru blob-uri bloc, blob-uri de pagină și blob-uri de atașament.

Corectați setările de securitateAceastă recomandare vă permite să gestionați configurațiile ISO cu regulile de configurare recomandate.

Aplicați actualizări de sistemRecomandă implementarea actualizărilor de sistem critice și de securitate pe mașinile virtuale.

Aplicație de control al accesului la rețea just-in-timeAceastă recomandare indică faptul că ar trebui aplicat accesul la mașina virtuală Just-In-Time. Funcția Just-In-Time este încă în previzualizare și este disponibilă la nivelul standard al Centrului de securitate.

Reporniți după actualizarea sistemuluiIndică faptul că o mașină virtuală trebuie repornită pentru a finaliza procesul de aplicare a actualizărilor de sistem.

Instalați Endpoint ProtectionSe recomandă furnizarea de programe antimalware către mașinile virtuale (se aplică numai mașinilor virtuale Windows).

Activați Virtual Machine AgentAceastă recomandare indică faptul că Agentul VM ar trebui să fie implementat. Agentul mașinii virtuale trebuie instalat pe mașinile virtuale pentru a furniza detectarea patch-urilor, detectarea liniei de bază și programele anti-malware.

Aplicați criptarea disculuiAcest mesaj indică faptul că discurile mașinii virtuale ar trebui să fie criptate folosind Azure Disk Encryption (mașini virtuale Linux și Windows), pentru securitate, se recomandă criptarea atât a volumelor de date, cât și a celor ale sistemului de operare din mașina virtuală.

Actualizați versiunea sistemului de operareRecomandă actualizarea versiunii sistemului de operare pentru serviciul cloud la cea mai recentă versiune disponibilă pentru familia sistemului de operare utilizat.

Evaluarea vulnerabilității nu este instalatăPrin această recomandare, se solicită instalarea unei soluții de evaluare a vulnerabilităților în mașina virtuală.

Remediile vulnerabilitățiiAceastă recomandare vă permite să vizualizați vulnerabilitățile atât ale sistemului, cât și ale aplicațiilor în care a fost detectată soluția de evaluare a vulnerabilității instalată în mașina virtuală.

Utilizarea celei mai recente versiuni acceptate de Java pentru aplicații webSe recomandă utilizarea celei mai recente versiuni de Java pentru cele mai recente clase de securitate.

Pasul 1
Pentru a vedea acest tip de informații în Azure, trebuie să mergem la panoul Centru de securitate și acolo să mergem la secțiunea „Proces” și aplicații, în fereastra următoare mergem la fila „VM și computere” unde vom vedea următoarele. Acolo vom vedea un rezumat al stării de configurare a tuturor mașinilor virtuale create.

MARI

Pasul 2
Putem face clic pe oricare dintre ele pentru a accesa informații mai complete:

MARI

Pasul 3
Pe baza tipului de recomandare putem vedea un mediu diferit. Prin acest panou putem continua să executăm recomandări Azure.

MARI

Pasul 4
Făcând clic pe oricare dintre ele vom vedea, în acest caz, următoarele:

MARI

Pasul 5
În alte tipuri de recomandări vom vedea următoarele:

MARI

Pasul 6
Prin selectarea mașinii virtuale afectate vom avea ocazia să corectăm această eroare și astfel să garantăm un scor mai bun la nivel de securitate:

MARI

5. Cum să vizualizați amenințările detectate cu Azure Security Center

Security Center poate afișa alerte de detectare a amenințărilor cu care, în calitate de administratori, putem avea o resursă de gestionare suplimentară. Această caracteristică de alertă de securitate este responsabilă pentru agregarea datelor colectate de la fiecare mașină virtuală, jurnalele de rețea Azure și soluțiile partenerilor conectați pentru a detecta amenințările la adresa resurselor Azure.

Această caracteristică utilizează trei parametri de bază care sunt:

Informații integrate de amenințăriCare caută elemente rău intenționate care utilizează informații de amenințare la nivel global din produsele și serviciile Microsoft, unitatea Microsoft Digital Crime Unit (DCU), Microsoft Security Response Center (MSRC) și alte surse externe.

Analiza comportamentuluiCu care se aplică modele cunoscute pentru a detecta comportamentul rău intenționat.

Detectarea anomaliilorCeea ce folosește generarea de profiluri statistice pentru a crea o bază de referință istorică.

Unele dintre amenințările pe care Azure le poate detecta sunt

• Executarea proceselor suspecte.

• Derulare laterală și recunoaștere internă.

• Malware ascuns și încercări de exploatare.

• Malware ascuns și încercări de exploatare.

• Ieșiți din atacuri.

Pentru a activa această funcție, trebuie să mergem la Centrul de securitate și acolo să mergem la secțiunea „Politică de securitate”, apoi să mergem la „Configurare” și acolo selectăm „Plan de tarifare” unde vom vedea următoarele. Selectăm planul „Standard” și facem clic pe „Salvare” pentru a aplica modificările.

MARI

Când planul tarifar a fost modificat, graficul de alerte de securitate va începe procesul de completare a alertelor pe măsură ce sunt detectate amenințări la adresa securității.

MARI

În acest fel, Azure Security Center este o soluție completă și completă pentru toate sarcinile de gestionare și control al securității din resursele Azure, facilitând acțiunile administrative ale oricărui tip de organizație.