Sdílet prostřednictvím


Vylepšené monitorování zabezpečení

Tento článek popisuje funkci rozšířeného monitorování zabezpečení a postup konfigurace v pracovním prostoru nebo účtu Azure Databricks.

Pokud tuto funkci povolíte, budou se vám účtovat doplňky Rozšířené zabezpečení a dodržování předpisů, jak je popsáno na stránce s cenami.

Přehled rozšířeného monitorování zabezpečení

Monitorování rozšířeného zabezpečení Azure Databricks poskytuje vylepšenou bitovou kopii disku a další agenty pro monitorování zabezpečení, kteří generují řádky protokolu, které můžete zkontrolovat pomocí diagnostických protokolů.

Vylepšení zabezpečení se vztahují pouze na výpočetní prostředky v klasické výpočetní rovině, jako jsou clustery a bezserverové sklady SQL.

Prostředky bezserverové roviny výpočetní roviny, jako jsou bezserverové služby SQL Warehouse, nemají při povolení rozšířeného monitorování zabezpečení další monitorování.

Poznámka:

Většina typů instancí Azure se podporuje, ale virtuální počítače založené na Arm64 (Generace 2) a Arm64 se nepodporují. Azure Databricks neumožňuje spouštění výpočetních prostředků s těmito typy instancí, pokud je povolené rozšířené monitorování zabezpečení.

Rozšířené monitorování zabezpečení zahrnuje:

  • Vylepšená posílená image operačního systému založená na výhodách Ubuntu.

    Ubuntu Advantage je balíček podnikového zabezpečení a podpory opensourcové infrastruktury a aplikací, které zahrnují posílenou image CIS Level 1 .

  • Agent antivirového monitorování, který generuje protokoly, které můžete zkontrolovat.

  • Agent monitorování integrity souborů, který generuje protokoly, které můžete zkontrolovat.

Agenti monitorování v imagích výpočetní roviny Azure Databricks

Rozšířené monitorování zabezpečení je sice povolené, ale existují další agenti monitorování zabezpečení, včetně dvou předinstalovaných agentů v imagi rozšířené výpočetní roviny. Agenty monitorování, kteří jsou v imagi disku s rozšířenou rovinou výpočetních prostředků, nemůžete zakázat.

Agent monitorování Umístění Popis Jak získat výstup
Monitorování integrity souborů Obrázek vylepšené výpočetní roviny Monitoruje porušení integrity souborů a hranic zabezpečení. Tento agent monitorování běží na pracovním virtuálním počítači ve vašem clusteru. Povolte systémovou tabulku protokolu auditu a zkontrolujte protokoly pro nové řádky.
Antivirová ochrana a detekce malwaru Obrázek vylepšené výpočetní roviny Každý den prohledá systém souborů viry. Tento agent monitorování běží na virtuálních počítačích ve vašich výpočetních prostředcích, jako jsou clustery a pro nebo klasické SQL Warehouse. Agent pro detekci antivirového softwaru a malwaru prohledá celý systém souborů operačního systému hostitele a systém souborů kontejneru Databricks Runtime. Cokoli mimo virtuální počítače clusteru je mimo rozsah kontroly. Povolte systémovou tabulku protokolu auditu a zkontrolujte protokoly pro nové řádky.
Kontrola ohrožení zabezpečení Prohledávání probíhá v reprezentativních obrázcích v prostředích Azure Databricks. Zkontroluje hostitele kontejneru (VM) z určitých známých ohrožení zabezpečení a běžných ohrožení zabezpečení a ohrožení zabezpečení (CVE). Odešle se e-mailem správcům pracovního prostoru Azure Databricks.

Pokud chcete získat nejnovější verze agentů monitorování, můžete clustery restartovat. Pokud váš pracovní prostor používá automatickou aktualizaci clusteru, clustery se ve výchozím nastavení restartují v případě potřeby během časových období plánované údržby. Pokud je v pracovním prostoru povolený profil zabezpečení dodržování předpisů, je v daném pracovním prostoru trvale povolená automatická aktualizace clusteru.

Monitorování integrity souborů

Image rozšířené výpočetní roviny zahrnuje službu monitorování integrity souborů, která poskytuje viditelnost modulu runtime a detekci hrozeb pro výpočetní prostředky (pracovní procesy clusteru) v klasické výpočetní rovině ve vašem pracovním prostoru.

Výstup monitorování integrity souborů se vygeneruje v protokolech auditu, ke kterým máte přístup pomocí systémových tabulek. Viz Monitorování aktivity účtu pomocí systémových tabulek. Schéma JSON pro nové auditovatelné události specifické pro monitorování integrity souborů najdete v tématu Události monitorování integrity souborů.

Důležité

Je vaší zodpovědností zkontrolovat tyto protokoly. Databricks může podle vlastního uvážení tyto protokoly zkontrolovat, ale nezaváže se k tomu. Pokud agent zjistí škodlivou aktivitu, je vaší zodpovědností určit prioritu těchto událostí a otevřít lístek podpory s Databricks, pokud řešení nebo náprava vyžaduje akci databricks. Databricks může na základě těchto protokolů podniknout opatření, včetně pozastavení nebo ukončení prostředků, ale neudělá k tomu žádný závazek.

Antivirová ochrana a detekce malwaru

Image rozšířené výpočetní roviny obsahuje antivirový modul pro detekci trojských koní, virů, malwaru a dalších škodlivých hrozeb. Antivirový monitor prohledá celý hostitelský systém souborů operačního systému a systém souborů kontejneru Databricks Runtime. Cokoli mimo virtuální počítače clusteru je mimo rozsah kontroly.

Výstup antivirového monitorování se generuje v protokolech auditu, ke kterým máte přístup pomocí systémových tabulek. Schéma JSON pro nové auditovatelné události specifické pro monitorování antivirového softwaru najdete v tématu Události monitorování antivirové ochrany.

Při vytvoření nové image virtuálního počítače se do ní zahrnou aktualizované soubory podpisu.

Důležité

Je vaší zodpovědností zkontrolovat tyto protokoly. Databricks může podle vlastního uvážení tyto protokoly zkontrolovat, ale nezaváže se k tomu. Pokud agent zjistí škodlivou aktivitu, je vaší zodpovědností určit prioritu těchto událostí a otevřít lístek podpory s Databricks, pokud řešení nebo náprava vyžaduje akci databricks. Databricks může na základě těchto protokolů podniknout opatření, včetně pozastavení nebo ukončení prostředků, ale neudělá k tomu žádný závazek.

Při vytvoření nové image AMI se aktualizované soubory podpisů zahrnou do nové image AMI.

Kontrola ohrožení zabezpečení

Agent monitorování ohrožení zabezpečení provádí kontroly ohrožení zabezpečení hostitele kontejneru (VM) pro určité známé cve. Prohledávání probíhá v reprezentativních obrázcích v prostředích Azure Databricks. Sestavy kontroly ohrožení zabezpečení se posílají všem správcům pracovního prostoru, když Azure Databricks vydává nové image disků AMI.

Když se u tohoto agenta najdou ohrožení zabezpečení, Databricks je sleduje v souladu se smlouvou SLA pro správu ohrožení zabezpečení a vydá aktualizovanou image, pokud je k dispozici.

Správa a upgrade agentů monitorování

Další agenti monitorování, kteří jsou na imagích disků používaných pro výpočetní prostředky v klasické výpočetní rovině, jsou součástí standardního procesu Azure Databricks pro upgrade systémů:

  • Image základního disku klasické výpočetní roviny (AMI) vlastní, spravuje a opravuje Databricks.
  • Databricks poskytuje a používá opravy zabezpečení uvolněním nových imagí disků AMI. Plán doručení závisí na nových funkcích a sla pro zjištěná ohrožení zabezpečení. Typické doručení je každé dva až čtyři týdny.
  • Základní operační systém pro výpočetní rovinu je Ubuntu Advantage.
  • Clustery Azure Databricks a pro nebo klasické sql warehouse jsou ve výchozím nastavení dočasné. Při spuštění používají clustery a profesionální nebo klasické sql warehouse nejnovější dostupné základní image. Starší verze, které můžou mít ohrožení zabezpečení, nejsou pro nové clustery k dispozici.
    • Zodpovídáte za pravidelné restartování clusterů (pomocí uživatelského rozhraní nebo rozhraní API), abyste zajistili, že používají nejnovější opravené image hostitelských virtuálních počítačů.

Monitorování ukončení agenta

Pokud se zjistí, že agent monitorování na pracovním virtuálním počítači není spuštěný kvůli chybovému ukončení nebo jinému ukončení, pokusí se systém agenta restartovat.

Zásady uchovávání dat pro data agenta monitorování

Pokud jste nakonfigurovali diagnostické protokoly, odesílají se do systémové tabulky protokolů auditu do vlastního úložiště ve vašem předplatném Azure. Odpovědností je uchovávání, příjem dat a analýza těchto protokolů.

Databricks uchovává sestavy a protokoly kontroly ohrožení zabezpečení nejméně jeden rok.

Povolení rozšířeného monitorování zabezpečení Azure Databricks

  • Váš pracovní prostor Azure Databricks musí být v plánu Premium.

Pokud chcete povolit rozšířené monitorování zabezpečení v pracovním prostoru, přečtěte si téma Povolení rozšířených funkcí zabezpečení a dodržování předpisů pomocí webu Azure Portal.

Rozšíření aktualizací do všech prostředí a podřízených systémů, jako je fakturace, může trvat až šest hodin. Úlohy, které aktivně běží, budou pokračovat v nastavení aktivních v době spuštění clusteru nebo jiného výpočetního prostředku a nová nastavení se začnou používat při příštím spuštění těchto úloh.