Azure 安全中心可以幫助你深入瞭解 Azure 資源安全做法。 安全中心提供了集成的安全監視功能。 它可以檢測到在其他方式下可能不會注意到的風險。 本教程介紹 Azure 安全中心,以及如何執行以下操作:
設置數據收集
設置安全策略
查看和修復配置運行狀況問題
查看檢測到的威脅
安全中心概述
安全中心可幫助識別潛在的虛擬機 (VM) 配置問題和目標安全威脅。 這可能包括缺少網絡安全組的 VM、未加密的磁盤以及暴力遠程桌面協議 (RDP) ×××。 安全中心儀表板上易於閱讀的圖中顯示了此信息。
若要訪問安全中心儀表板,請在 Azure 門戶中的菜單上選擇安全中心。 在儀表板上,可以查看 Azure 環境的安全狀況、查找當前建議的計數以及查看威脅警報的當前狀態。 可以展開每個高級別圖表來查看更多詳細信息。
安全中心不僅提供數據發現功能,而且還針對它檢測到到問題提供建議。 例如,如果所部署的 VM 沒有附加的網絡安全組,則安全中心會顯示一個建議,其中提供了可以採取的修正步驟。 無需退出安全中心的上下文即可自動完成修正。
設置數據收集
若要深入瞭解 VM 安全配置,首先需要設置安全中心數據收集。 這涉及啓用數據收集和創建用於保存所收集數據的 Azure 存儲帳戶。
在安全中心儀表板上單擊“安全策略”,並選擇你的訂閱。
選擇“數據收集”對應的“打開”。
若要創建存儲帳戶,請選擇“選擇存儲帳戶”。 選擇“確定”。
在“安全策略”邊欄選項卡上,選擇“保存”。
然後,會在所有 VM 上安裝安全中心數據收集代理並開始收集數據。
設置安全策略
安全策略用於定義安全中心要爲哪些項收集數據並提供建議。 可將不同的安全策略應用到不同的 Azure 資源集。 儘管默認情況下會對照所有策略項評估 Azure 資源,但可以針對所有 Azure 資源或某個資源組關閉單個策略項。 有關安全中心安全策略的詳細信息,請參閱在 Azure 安全中心設置安全策略。
爲所有 Azure 資源設置安全策略:
在安全中心儀表板上選擇“安全策略”,並選擇訂閱。
選擇“保護策略”。
打開或關閉要應用到所有 Azure 資源的策略項。
完成設置選擇後,選擇“確定”。
在“安全策略”邊欄選項卡上,選擇“保存”。
爲特定的資源組設置策略:
在安全中心儀表板上選擇“安全策略”,並選擇資源組。
選擇“保護策略”。
打開或關閉要應用到該資源組的策略項。
在“繼承”下面,選擇“唯一”。
完成設置選擇後,選擇“確定”。
在“安全策略”邊欄選項卡上,選擇“保存”。
也可以在此頁上針對特定的資源組關閉數據收集。
在以下示例中,爲名爲 myResoureGroup 的資源組創建了唯一策略。 在此策略中,磁盤加密和 Web 應用程序防火牆建議已關閉。
查看 VM 配置運行狀況
打開數據收集並設置安全策略後,安全中心將開始提供警報和建議。 部署 VM 時,將安裝數據收集代理。 然後,安全中心內將填充新 VM 的數據。 有關 VM 配置運行狀況的詳細信息,請參閱在安全中心保護 VM。
收集數據時,每個 VM 和相關 Azure 資源的資源運行狀況會聚合。 這些信息會顯示在易於閱讀的圖表中。
查看資源運行狀況:
在安全中心儀表板上的“資源安全運行狀況”下面,選擇“計算”。
在“計算”邊欄選項卡上選擇“虛擬機”。 此視圖提供所有 VM 的配置狀態摘要。
若要查看針對某個 VM 的所有建議,請選擇該 VM。 本教程的下一部分更詳細地介紹了建議和修正措施。
修正配置問題
在安全中心內開始填充配置數據後,系統會根據設置的安全策略生成建議。 例如,如果設置 VM 時未關聯網絡安全組,系統將生成有關創建網絡安全組的建議。
查看所有建議列表:
在安全中心儀表板上選擇“建議”。
選擇特定的建議。 將顯示該建議適用於的所有資源的列表。
若要應用某個建議,請選擇特定的資源。
按照修正步驟的說明進行操作。
在許多情況下,安全中心會提供可行的步驟來遵照建議解決問題,並且無需退出安全中心。 在以下示例中,安全中心檢測到一個具有不受限入站規則的網絡安全組。 在建議頁上,可以選擇“編輯入站規則”按鈕。 此時會顯示用於修改規則的 UI。
建議修正後將標記爲已解決。
查看檢測到的威脅
除了資源配置建議外,安全中心還顯示威脅檢測警報。 安全警報功能聚合從每個 VM、Azure 網絡日誌和連接的合作伙伴解決方案中收集的數據,以便檢測針對 Azure 資源的安全威脅。 有關安全中心威脅檢測功能的詳細信息,請參閱 Azure 安全中心檢測功能。
安全警報功能要求將安全中心定價層從“免費”提升到“標準”。 過渡到這個更高的定價層後,可以免費試用 30 天。
更改定價層:
在安全中心儀表板上單擊“安全策略”,並選擇你的訂閱。
選擇“定價層”。
選擇新層,並選擇“選擇”。
在“安全策略”邊欄選項卡上,選擇“保存”。
更改定價層後,安全警報圖表會在檢測到安全威脅時開始填充。
選擇一個警報可查看信息。 例如,可以看到威脅說明、檢測時間、所有威脅企圖和建議的修正措施。 在下面的示例中,檢測到一個 RDP 暴力×××以及 294 次失敗的 RDP 嘗試。 提供了建議的解決方案。
更多azure雲計算論壇資源可以訪問:https://bbs.iazure.cn
後續步驟
在本教程中,用戶設置了安全中心,並查看了安全中心內的 VM。 你已瞭解如何:
設置數據收集
設置安全策略
查看和修復配置運行狀況問題
查看檢測到的威脅