编辑

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Microsoft Defender for Cloud 和 Microsoft Sentinel 监视混合安全

Azure Log Analytics
Azure Monitor
Microsoft Defender for Cloud
Microsoft Sentinel
Azure Stack

此参考体系结构演示了如何使用 Microsoft Defender for Cloud 和 Microsoft Sentinel 来监视本地、Azure 和 Azure Stack 工作负载的安全配置和遥测数据。

体系结构

Diagram that shows monitoring agent on on-premises as well as on Azure transferring data to Microsoft Defender for Cloud and Microsoft Sentinel.

下载此体系结构的 Visio 文件

工作流

  • Microsoft Defender for Cloud。 这是 Microsoft 向所有 Azure 订阅者提供的高级统一安全管理平台。 Defender for Cloud 分为云安全态势管理 (CSPM) 和云工作负载保护平台 (CWPP)。 CWPP 由以工作负载为中心的安全保护解决方案定义,这些解决方案通常基于代理。 Microsoft Defender for Cloud 为本地和其他云中的 Azure 工作负载提供威胁防护,其中包括 Windows 和 Linux 虚拟机 (VM)、容器、数据库和物联网 (IoT)。 激活后,Log Analytics 代理会自动部署到 Azure 虚拟机。 对于本地 Windows 和 Linux 服务器和 VM,可手动部署代理、使用组织的部署工具(例如 Microsoft Endpoint Protection Manager),或者使用脚本化部署方法。 Defender for Cloud 开始评估你的所有 VM、网络、应用程序和数据的安全状态。
  • Microsoft Sentinel。 是一种云原生安全信息和事件管理 (SIEM) 与安全业务流程自动响应 (SOAR) 解决方案,它使用高级 AI 和安全分析来帮助检测、搜寻、防止和响应整个企业中的威胁。
  • Azure Stack。 其中涉及的是一系列产品,可将 Azure 服务和功能扩展到所选环境,包括数据中心、边缘位置和远程办公室。 Azure Stack 实现通常使用由 4 到 16 台服务器组成的机架,由受信任的硬件合作伙伴构建并交付至数据中心。
  • Azure Monitor。 从各种本地和 Azure 源收集监视遥测数据。 管理工具(例如 Microsoft Defender for Cloud 和 Azure 自动化中的工具)也将日志数据推送到 Azure Monitor。
  • Log Analytics 工作区。 Azure Monitor 将日志数据存储在 Log Analytics 工作区中,该工作区是一个包含数据和配置信息的容器。
  • Log Analytics 代理。 Log Analytics 代理从 Azure、其他云提供商和本地的来宾操作系统和 VM 工作负载收集监视数据。 Log Analytics 代理支持代理配置,通常在此方案中,Microsoft Operations Management Suite (OMS) 网关充当代理。
  • 本地网络。 这是配置为支持来自已定义系统的 HTTPS 出口的防火墙。
  • 本地 Windows 和 Linux 系统。 安装了 Log Analytics 代理的系统。
  • Azure Windows 和 Linux VM。 安装了 Microsoft Defender for Cloud 监视代理的系统。

组件

方案详细信息

可能的用例

此体系结构的典型用途包括:

  • 将本地安全性和遥测监视与基于 Azure 的工作负载进行集成的最佳做法
  • 将 Microsoft Defender For Cloud 与 Azure Stack 集成
  • 将 Microsoft Defender For Cloud 与 Microsoft Sentinel 集成

建议

以下建议适用于大多数方案。 除非有优先于这些建议的特定要求,否则请遵循这些建议。

Microsoft Defender for Cloud 升级

此参考体系结构使用 Microsoft Defender for Cloud 来监视本地系统、Azure VM、Azure Monitor 资源,甚至是由其他云提供商托管的 VM。 有关 Microsoft Defender for Cloud 定价的详细信息,可查看此处

自定义的 Log Analytics 工作区

Microsoft Sentinel 需要有权访问 Log Analytics 工作区。 在此方案中,不能将默认 Defender for Cloud Log Analytics 工作区与 Microsoft Sentinel 一起使用。 改为创建自定义工作区。 自定义工作区的数据保留基于工作区定价层,你可在此处找到监视器日志的定价模型。

注意

Microsoft Sentinel 可在 Log Analytics 的任何正式发布 (GA) 区域的工作区中运行,中国和德国(主权)区域除外。 Microsoft Sentinel 生成的数据(如事件、书签和警报规则,其中可能包含源自这些工作区的某些客户数据)将保存在欧洲(适用于欧洲工作区)、澳大利亚(适用于澳大利亚工作区)或美国东部(适用于位于任何其他区域的工作区)。

注意事项

这些注意事项实施 Azure 架构良好的框架的支柱原则,即一套可用于改善工作负载质量的指导原则。 有关详细信息,请参阅 Microsoft Azure 架构良好的框架

安全性

安全性针对蓄意攻击及滥用宝贵数据和系统提供保障措施。 有关详细信息,请参阅安全性支柱概述

安全策略定义了一组控制措施,这些控制措施是针对指定订阅中的资源建议的。 在 Microsoft Defender for Cloud 中,需要根据公司的安全要求和应用程序类型或每个订阅中的数据敏感性,为 Azure 订阅定义策略。

Microsoft Defender for Cloud 中启用的安全策略有助于生成安全建议和进行监视。 若要了解有关安全策略的详细信息,请参阅使用 Microsoft Defender for Cloud 加强安全策略。只能在管理或订阅组级别分配 Microsoft Defender for Cloud 中的安全策略。

注意

参考体系结构的第 1 部分详细介绍了如何使 Microsoft Defender for Cloud 能够监视 Azure 资源、本地系统和 Azure Stack 系统。

成本优化

成本优化是关于寻找减少不必要的费用和提高运营效率的方法。 有关详细信息,请参阅成本优化支柱概述

如前所述,Azure 订阅之外的成本可能包括:

  1. Microsoft Defender for Cloud 成本。 有关详细信息,请参阅 Defender for Cloud 定价
  2. Azure Monitor 工作区提供计费粒度。 有关详细信息,请参阅通过 Azure Monitor 日志管理使用情况和成本
  3. Microsoft Sentinel 是付费服务。 有关详细信息,请参阅 Microsoft Sentinel 定价

卓越运营

卓越运营涵盖了部署应用程序并使其在生产环境中保持运行的运营流程。 有关详细信息,请参阅卓越运营支柱概述

Microsoft Defender for Cloud 角色

Defender for Cloud 会评估资源的配置来识别安全问题和漏洞,并在你为资源所属的订阅或资源组分配所有者、参与者或读取者角色时显示与资源相关的信息。

除了这些角色之外,还有两个特定的 Defender for Cloud 角色:

  • 安全读取者。 属于此角色的用户对 Defender for Cloud 具有只读权限。 该用户可查看建议、警报、安全策略和安全状态,但不能进行更改。

  • 安全管理员。属于此角色的用户拥有与安全读取者相同的权限,此外还可更新安全策略、关闭警报和建议。 通常,他们是管理工作负载的用户。

  • 安全角色(安全读取者和安全管理员)只能访问 Defender for Cloud。 安全角色无权访问存储、Web、移动或物联网等其他 Azure 服务领域。

Microsoft Sentinel 订阅

  • 若要启用 Microsoft Sentinel,需要获取 Microsoft Sentinel 工作区所在订阅的参与者权限。
  • 要使用 Microsoft Sentinel,你需要对工作区所属的资源组具有参与者或读取者权限。
  • Microsoft Sentinel 是付费服务。 有关详细信息,请参阅 Microsoft Sentinel 定价

性能效率

性能效率是指工作负载能够以高效的方式进行缩放以满足用户对它的需求。 有关详细信息,请参阅性能效率要素概述

适用于 Windows 和 Linux 的 Log Analytics 代理旨在将对 VM 或物理系统性能的影响降至最低。

Microsoft Defender for Cloud 的操作过程不会影响正常的操作步骤。 相反,它会被动监视你的部署并根据你启用的安全策略提供建议。

部署此方案

在 Azure 门户中创建 Log Analytics 工作区

  1. 以具有安全管理员权限的用户身份登录到 Azure 门户。
  2. 在 Azure 门户中,选择“所有服务”。 在资源列表中,输入 Log Analytics。 开始输入时,会根据输入的内容筛选列表。 选择“Log Analytics 工作区”。
  3. 在 Log Analytics 页上选择“添加”。
  4. 为新的 Log Analytics 工作区提供一个名称(例如 Defender for Cloud-SentinelWorkspace)。 此名称在所有 Azure Monitor 订阅中必须是全局唯一的。
  5. 如果默认选择不适合,请从下拉列表中选择一个订阅。
  6. 对于“资源组”,请选择使用现有资源组,或者创建一个新的资源组。
  7. 对于“位置”,请选择一个可用的地理位置。
  8. 选择“确定”以完成配置。 New Workspace created for the architecture

启用 Defender for Cloud

如果仍然以具有安全管理员权限的用户身份登录到 Azure 门户,请在面板中选择“Defender for Cloud”。 这会打开“Defender for Cloud - 概述”:

Defender for Cloud Overview dashboard blade opens

对于你或其他订阅用户之前没有加入的所有 Azure 订阅,Defender for Cloud 会自动启用免费层。

升级 Microsoft Defender for Cloud

  1. 在 Defender for Cloud 主菜单中,选择“开始使用”。
  2. 选择“立即升级”按钮。 Defender for Cloud 列出了有资格使用的订阅和工作区。
  3. 可以选择符合试用条件的工作区和订阅来开始试用。 从下拉菜单中选择先前创建的工作区 ASC-SentinelWorkspace。
  4. 在 Defender for Cloud 主菜单中,选择“开始试用”。
  5. 这会显示“安装代理”对话框。
  6. 选择“安装代理”按钮。 “Defender for Cloud - 覆盖范围”边栏选项卡随即显示,你会看到已选定的订阅。 Security Coverage blade showing your subscriptions should be open

你现在已启用自动预配,Defender for Cloud 将在所有受支持的 Azure VM 上和你创建的任何新的虚拟机上安装适用于 Windows 的 Log Analytics 代理 (HealthService.exe) 和适用于 Linux 的 omsagent。 你可关闭此策略并手动管理它,尽管我们强烈建议自动预配。

若要详细了解 Windows 和 Linux 上可用的特定 Defender for Cloud 功能,请参阅计算机的功能覆盖范围

启用本地 Windows 计算机的 Microsoft Defender for Cloud 监视

  1. 在 Azure 门户中的“Defender for Cloud - 概述”边栏选项卡的,选择“开始使用”选项卡。
  2. 在“添加新的非 Azure 计算机”下选择“配置”。 Log Analytics 工作区列表随即显示,其中应包含 Defender for Cloud-SentinelWorkspace。
  3. 选择此工作区。 这会打开“直接代理”边栏选项卡,其中有一个用于下载 Windows 代理的链接,还有在配置该代理时要使用的工作区标识 (ID) 的密钥。
  4. 选择适用于计算机处理器类型的“下载 Windows 代理”链接,以下载安装程序文件。
  5. 在“工作区 ID”右侧选择“复制”,然后将该 ID 粘贴到记事本中。
  6. 在“主密钥”右侧选择“复制”,然后将该密钥粘贴到记事本中。

安装 Windows 代理

若要在目标计算机上安装该代理,请执行以下步骤。

  1. 将文件复制到目标计算机,然后运行安装程序。
  2. 在“欢迎”页上,选择“下一步”。
  3. 在“许可条款”页面上阅读许可协议,然后选择“我接受” 。
  4. 在“目标文件夹”页面上更改或保留默认安装文件夹,然后选择“下一步” 。
  5. 在“代理安装选项”页上,选择将代理连接到 Azure Log Analytics,然后选择“下一步”。
  6. Azure Log Analytics 页上,粘贴在前面步骤中复制到记事本的“工作区 ID” 和“工作区密钥(主密钥)” 。
  7. 如果计算机应向 Azure 政府云中的 Log Analytics 工作区报告,请从“Azure 云”下拉列表中选择“Azure 美国政府版”。 如果计算机需要通过代理服务器来与 Log Analytics 服务通信,请选择“高级”,然后提供代理服务器的 URL 和端口号。
  8. 提供必要的配置设置后,选择“下一步”。 Log Analytics Agent setup page for connecting agent to an Azure Log Analytics workspace
  9. 在“准备安装”页上检查所做的选择,并选择“安装” 。
  10. 在“配置已成功完成”页上,选择“完成”。

完成后,Log Analytics 代理会显示在 Windows 控制面板中,你可查看配置并验证代理是否已连接。

若要详细了解如何安装和配置代理,请参阅在 Windows 计算机上安装 Log Analytics 代理

Log Analytics 代理服务会收集事件和性能数据,并执行任务和在管理包中定义的其他工作流。 Defender for Cloud 通过与 Microsoft Defender for Servers 集成来扩展其云工作负载保护平台。 两者共同提供全面的终结点检测和响应 (EDR) 功能。

有关 Microsoft Defender for Servers 的详细信息,请参阅将服务器加入 Microsoft Defender for Servers 服务

启用本地 Linux 计算机的 Microsoft Defender for Cloud 监视

  1. 如前所述,返回到“开始使用”选项卡。
  2. 在“添加新的非 Azure 计算机”下选择“配置”。 此时将显示 Log Analytics 工作区列表。 该列表应包含你创建的 Defender for Cloud-SentinelWorkspace。
  3. 在“直接代理”边栏选项卡中的“下载和加入 Linux 代理”下,选择“复制”来复制 wget 命令。
  4. 打开记事本,然后粘贴此命令。 将此文件保存到可从你的 Linux 计算机访问的位置。

注意

在 Unix 和 Linux 操作系统上,wget 是用于从 Web 下载非交互式文件的工具。 它支持 HTTPS、FTP 和代理。

Linux 代理使用 Linux 审核守护程序框架。 Defender for Cloud 将此框架中的功能集成到 Log Analytics 代理中,这使得可使用适用于 Linux 的 Log Analytics 代理来收集、扩充审核记录并将其聚合到事件中。 Defender for Cloud 会持续添加新分析功能,这些功能可以使用 Linux 信号来检测云和本地 Linux 计算机上的恶意行为。

如需 Linux 警报列表,请参阅警报参考表

安装 Linux 代理

若要在目标 Linux 计算机上安装该代理,请执行以下步骤:

  1. 在 Linux 计算机上,打开前面保存的文件。 选择并复制整个内容,打开一个终端控制台,然后粘贴该命令。
  2. 安装完成后,可运行 pgrep 命令来验证 omsagent 是否已安装。 此命令将返回 omsagent 进程标识符 (PID)。 可在以下位置找到该代理的日志:/var/opt/microsoft/omsagent/"workspace id"/log/

新的 Linux 计算机最多需要 30 分钟就会显示在 Defender for Cloud 中。

启用 Azure Stack VM 的 Microsoft Defender for Cloud 监视

加入 Azure 订阅后,可从 Azure Stack 市场添加“Azure 监视、更新和配置管理”VM 扩展,启用 Defender for Cloud 来保护 Azure Stack 上运行的 VM。 若要实现此目的,请执行以下操作:

  1. 如前所述,返回到“开始使用”选项卡。
  2. 在“添加新的非 Azure 计算机”下选择“配置”。 Log Analytics 工作区列表随即显示,其中应包含你创建的 Defender for Cloud-SentinelWorkspace。
  3. 在“直接代理”边栏选项卡上,有一个用于下载代理的链接,还有在配置该代理时要使用的工作区 ID 的密钥。 不需要手动下载该代理。 它将在以下步骤中安装为一个 VM 扩展。
  4. 在“工作区 ID”右侧选择“复制”,然后将该 ID 粘贴到记事本中。
  5. 在“主密钥”右侧选择“复制”,然后将该密钥粘贴到记事本中。

启用 Azure Stack VM 的 Defender for Cloud 监视

Microsoft Defender for Cloud 使用与 Azure Stack 捆绑的“Azure 监视、更新和配置管理”VM 扩展。 要启用“Azure 监视、更新和配置管理”扩展,请执行以下步骤:

  1. 在新的浏览器标签页中,登录到 Azure Stack 门户。
  2. 查看“虚拟机”页面,然后选择你想要使用 Defender for Cloud 保护的虚拟机。
  3. 选择“扩展”。 此 VM 上安装的 VM 扩展列表随即显示。
  4. 选择“添加”选项卡。此时会打开“新建资源”菜单边栏选项卡,其中显示了可用 VM 扩展的列表。
  5. 选择“Azure 监视、更新和配置管理”扩展,然后选择“创建”。 此时会打开“安装扩展”配置边栏选项卡。
  6. 在“安装扩展”配置边栏选项卡上,粘贴在前面步骤中复制到记事本的“工作区 ID” 和“工作区密钥(主密钥)”。
  7. 提供所需的配置设置后,选择“确定”。
  8. 扩展安装完成后,其状态将显示为“预配成功”。 VM 最多需要 1 小时就会显示在 Defender for Cloud 门户中。

若要详细了解如何安装和配置适用于 Windows 的代理,请参阅使用安装向导安装代理

若要排查 Linux 代理的问题,请参阅如何排查适用于 Linux 的 Log Analytics 代理的问题

现在,可以从单个位置监视 Azure VM 和非 Azure 计算机了。 在“Azure 计算”中,可简要了解所有 VM 和计算机以及相关建议。 每一列表示一组建议,颜色表示 VM/计算机和该建议的当前安全状态。 Defender for Cloud 还会在安全警报中提供针对这些计算机的任何检测。 Defender for Cloud list of systems monitored on the Compute blade

有两种类型的图标表示在“计算”边栏选项卡上:

Purple computer icon that represents a non-azure monitored computer 非 Azure 计算机

Blue terminal icon that represents an Azure monitored computer Azure 计算机

注意

参考体系结构的第 2 部分将连接来自 Microsoft Defender for Cloud 的警报,并将其流式传输到 Microsoft Sentinel。

Microsoft Sentinel 的作用是引入来自不同数据源的数据,并跨这些数据源执行数据关联。 Microsoft Sentinel 利用机器学习和 AI 来使威胁搜寻、警报检测和威胁响应更加智能。

若要载入 Microsoft Sentinel,需要先启用它,然后连接数据源。 Microsoft Sentinel 附带了许多适用于 Microsoft 解决方案的连接器,它们开箱即用并提供实时集成,包括 Microsoft Defender for Cloud、Microsoft 威胁防护解决方案、Microsoft 365 源(包括 Office 365)、Microsoft Entra ID、Microsoft Defender for Servers、Microsoft Defender for Cloud Apps 等。 另外,还有适用于非 Microsoft 解决方案的更广阔的安全生态系统的内置连接器。 你也可使用通用事件格式 syslog 或表述性状态转移 API 将数据源与 Microsoft Sentinel 相连接。

将 Microsoft Sentinel 与 Microsoft Defender for Cloud 进行集成的要求

  1. 一个 Microsoft Azure 订阅
  2. 一个 Log Analytics 工作区,该工作区不是启用 Microsoft Defender for Cloud 时创建的默认工作区。
  3. Microsoft Defender for Cloud。

如果你已完成上一部分,那么应该已经满足这三个要求。

全局先决条件

  • 若要启用 Microsoft Sentinel,需要获取 Microsoft Sentinel 工作区所在订阅的参与者权限。
  • 要使用 Microsoft Sentinel,你需要对工作区所属的资源组具有参与者或读取者权限。
  • 要连接特定数据源,则可能需要其他权限。 而若要连接到 Defender for Cloud,则不需要其他权限。
  • Microsoft Sentinel 是付费服务。 有关详细信息,请参阅 Microsoft Sentinel 定价

启用 Microsoft Sentinel

  1. 以具有 Defender for Cloud-Sentinelworkspace 参与者权限的用户身份登录到 Azure 门户。
  2. 搜索“Microsoft Sentinel”并将其选中。 In the Azure portal search for the term
  3. 选择添加
  4. 在“Microsoft Sentinel”边栏选项卡上,选择“Defender for Cloud-Sentinelworkspace”。
  5. 在 Microsoft Sentinel 导航菜单中,选择“数据连接器”。
  6. 从数据连接器库中,选择“Microsoft Defender for Cloud”,并选择“打开连接器页面”。 In Microsoft Sentinel showing the open Collectors page
  7. 在“配置”下,选择要将其警报流式传输到 Microsoft Sentinel 的订阅旁边的“连接”。 只有在你拥有所需的权限和 Defender for Cloud 订阅时,“连接”按钮才可用。
  8. 现在,应会看到“连接状态”显示为“正在连接”。 连接后,它将切换到“已连接”。
  9. 确认连接后,可关闭 Defender for Cloud 的“数据连接器”设置,并刷新页面来查看 Microsoft Sentinel 中的警报。 可能需要一段时间才能让日志开始与 Microsoft Sentinel 同步。 连接后,将在“收到的数据”图中看到数据摘要,并看到数据类型的连接状态。
  10. 可以选择是否希望 Microsoft Defender for Cloud 中的警报在 Microsoft Sentinel 中自动生成事件。 在“创建事件”下,选择“启用”以启用根据警报自动创建事件的默认分析规则。 然后,可以在“分析”下的“活动规则”选项卡中编辑此规则。
  11. 若要使用 Log Analytics 中的相关架构来获得 Microsoft Defender for Cloud 警报,请搜索“SecurityAlert”。

使用 Microsoft Sentinel 作为 SIEM 的一个优点是,它跨多个源提供数据关联,让你能够获得对组织安全相关事件的端到端可见性。

若要详细了解 Microsoft Sentinel,请参阅以下文章:

后续步骤

Azure Monitor

Microsoft Defender for Cloud

Microsoft Sentinel

Azure Stack