通过

教程:使用 Azure 安全中心监视虚拟机

Azure 安全中心可帮助你了解 Azure 资源安全做法。 安全中心提供集成的安全监视。 它可以检测其他可能被忽视的威胁。 在本教程中,你将了解 Azure 安全中心以及如何:

  • 设置数据收集
  • 设置安全策略
  • 查看和修复配置运行状况问题
  • 查看检测到的威胁

安全中心概述

安全中心确定潜在的虚拟机(VM)配置问题和目标安全威胁。 这可能包括没有网络安全组、磁盘未加密的虚拟机(VM),以及遭受暴力破解远程桌面协议(RDP)攻击的虚拟机。 信息显示在安全中心仪表板上的易于阅读的图形中。

若要访问安全中心仪表板,请在 Azure 门户中的菜单中选择 “安全中心”。 在仪表板上,可以看到 Azure 环境的安全运行状况、查找当前建议的计数,以及查看威胁警报的当前状态。 可以展开每个高级图表以查看更多详细信息。

安全中心仪表板

安全中心超越数据发现,为它检测到的问题提供建议。 例如,如果部署了没有附加网络安全组的 VM,则安全中心会显示建议,其中包含可以采取的修正步骤。 您无需离开安全中心界面即可自动进行修正。

屏幕截图显示了“建议”页,其中包括建议的说明、资源、状态和严重性。

设置数据收集

在了解 VM 安全配置之前,需要设置安全中心数据收集。 这涉及到启用数据收集,启用后会自动在订阅中的所有 VM 上安装 Microsoft 监视代理。

  1. 在安全中心仪表板上,单击 “安全策略”,然后选择你的订阅。
  2. 对于 数据收集,在 自动预配 中选择 打开
  3. 对于默认工作区配置,请将其保留为安全中心创建的“使用工作区”(默认)。
  4. “安全事件 ”下,保留默认选项“ 通用”。
  5. 单击页面顶部的“ 保存 ”。

然后,在所有 VM 上安装安全中心数据收集代理,并开始数据收集。

设置安全策略

安全策略用于定义安全中心收集数据并提出建议的项目。 可以将不同的安全策略应用于不同的 Azure 资源集。 尽管默认情况下会根据所有策略项评估 Azure 资源,但可以为所有 Azure 资源或资源组关闭单个策略项。 有关安全中心安全策略的详细信息,请参阅 在 Azure 安全中心设置安全策略

若要为整个订阅设置安全策略,请按以下步骤执行:

  1. 在安全中心仪表板上,选择 “安全策略 ”,然后选择你的订阅。
  2. “安全策略 ”边栏选项卡上,选择 “安全策略”。
  3. “安全策略 - 安全策略 ”边栏选项卡上,打开或关闭要应用于订阅的策略项。
  4. 选择完设置后,选择页面顶部的保存按钮。

唯一策略

查看 VM 配置运行状况

启用数据收集并设置安全策略后,安全中心将开始提供警报和建议。 部署 VM 时,将安装数据收集代理。 然后,安全中心会填充新 VM 的数据。 有关 VM 配置运行状况的详细信息,请参阅 “保护安全中心中的 VM”。

收集数据时,将聚合每个 VM 和相关 Azure 资源的资源运行状况。 信息显示在易于阅读的图表中。

查看资源运行状况:

  1. 在安全中心仪表板的 “防护”下,选择“ 计算”。
  2. “计算 ”边栏选项卡上,选择 VM 和计算机。 此视图提供所有 VM 的配置状态摘要。

计算运行状况

若要查看虚拟机的所有推荐,请选择该虚拟机。

修正配置问题

安全中心开始填充配置数据后,将根据设置的安全策略提出建议。 例如,如果在没有关联网络安全组的情况下设置了 VM,建议创建一个新的网络安全组。

若要查看所有建议的列表:

  1. 在安全中心仪表板上,选择 “建议”。
  2. 选择特定建议。 显示建议应用的所有资源的列表。
  3. 若要应用建议,请选择资源。
  4. 按照修正步骤的说明进行操作。

在许多情况下,安全中心提供可作的步骤,无需离开安全中心即可解决建议问题。 在以下示例中,安全中心检测具有不受限制的入站规则的网络安全组。 在建议页上,可以选择 “编辑入站规则 ”按钮。 将显示修改规则所需的 UI。

建议

修正建议后,它们将被标记为已解决。

查看检测到的威胁

除了资源配置建议之外,安全中心还显示威胁检测警报。 安全警报功能聚合从每个 VM、Azure 网络日志和连接的合作伙伴解决方案收集的数据,以检测针对 Azure 资源的安全威胁。 有关安全中心威胁检测功能的深入信息,请参阅安全中心如何检测威胁?

安全警报功能要求安全中心定价层从 免费 层增加到 标准层。 迁移到此更高定价层时,可以使用 免费试用版

若要更改定价层,请执行以下步骤:

  1. 在安全中心仪表板上,单击 “安全策略”,然后选择你的订阅。
  2. 选择“定价层”。
  3. 选择标准,然后在视图顶部单击保存

更改定价层后,安全警报图开始填充,因为检测到安全威胁。

安全警报

选择一个警报以查看详细信息。 例如,可以查看威胁的说明、检测时间、所有威胁尝试和建议的修正。 在以下示例中,检测到 RDP 暴力攻击,294 次 RDP 尝试失败。 提供了建议的解决方法。

RDP 攻击

后续步骤

在本教程中,你将设置 Azure 安全中心,然后在安全中心查看 VM。 你已了解如何执行以下操作:

  • 设置数据收集
  • 设置安全策略
  • 查看和修复配置运行状况问题
  • 查看检测到的威胁

请转到下一教程,详细了解如何使用 Jenkins、GitHub 和 Docker 创建 CI/CD 管道。

使用 Jenkins、GitHub 和 Docker 创建 CI/CD 基础结构