Esercitazione: Usare il Centro sicurezza di Azure per monitorare le macchine virtuali
Il Centro sicurezza di Azure consente di ottenere visibilità sulle procedure di sicurezza delle risorse di Azure. Il Centro sicurezza offre un monitoraggio della sicurezza integrato. Può rilevare minacce che altrimenti potrebbero non essere rilevate. In questa esercitazione vengono fornite informazioni sul Centro sicurezza di Azure e su come:
- Configurare la raccolta dei dati
- Configurare i criteri di sicurezza
- Visualizzare e correggere i problemi di integrità della configurazione
- Esaminare le minacce rilevate
Panoramica del Centro sicurezza
Il Centro sicurezza identifica potenziali problemi di configurazione della macchina virtuale e minacce alla sicurezza mirate. Queste potrebbero includere macchine virtuali che mancano gruppi di sicurezza di rete, dischi non crittografati e attacchi RDP (Remote Desktop Protocol) di forza bruta. Le informazioni vengono visualizzate nel dashboard del Centro sicurezza in grafici di facile lettura.
Per accedere al dashboard del Centro sicurezza, nel portale di Azure, nel menu, selezionare Centro sicurezza. Nel dashboard è possibile visualizzare l'integrità della sicurezza dell'ambiente Azure, trovare un conteggio delle raccomandazioni correnti e visualizzare lo stato corrente degli avvisi sulle minacce. È possibile espandere ogni grafico di alto livello per visualizzare altri dettagli.
Il Centro sicurezza va oltre l'individuazione dei dati per fornire raccomandazioni per i problemi rilevati. Ad esempio, se una macchina virtuale è stata distribuita senza un gruppo di sicurezza di rete collegato, il Centro sicurezza visualizza una raccomandazione, con la procedura di correzione che è possibile eseguire. Si ottiene una correzione automatica senza uscire dal contesto del Centro sicurezza.
Configurare la raccolta dei dati
Prima di ottenere visibilità sulle configurazioni di sicurezza delle macchine virtuali, è necessario configurare la raccolta dati del Centro sicurezza. Ciò comporta l'attivazione della raccolta dati che installa automaticamente Microsoft Monitoring Agent in tutte le macchine virtuali nella sottoscrizione.
- Nel dashboard del Centro sicurezza fare clic su Criteri di sicurezzae quindi selezionare la sottoscrizione.
- Per Raccolta dati, in Auto Provisioning selezionare Attivo.
- Per configurazione predefinita dell'area di lavoro lasciarla Usare le aree di lavoro create dal Centro sicurezza (impostazione predefinita).
- In Eventi di sicurezza mantenere l'opzione predefinita di Common.
- Fare clic su Salva nella parte superiore della pagina.
L'agente di raccolta dati del Centro sicurezza viene quindi installato in tutte le macchine virtuali e inizia la raccolta dati.
Impostare una politica di sicurezza
I criteri di sicurezza vengono usati per definire gli elementi per cui il Centro sicurezza raccoglie i dati e fornisce raccomandazioni. È possibile applicare criteri di sicurezza diversi a diversi set di risorse di Azure. Anche se per impostazione predefinita le risorse di Azure vengono valutate rispetto a tutti gli elementi dei criteri, è possibile disattivare singoli elementi dei criteri per tutte le risorse di Azure o per un gruppo di risorse. Per informazioni approfondite sui criteri di sicurezza del Centro sicurezza, vedere Impostare i criteri di sicurezza nel Centro sicurezza di Azure.
Per configurare un criterio di sicurezza per un'intera sottoscrizione:
- Sul pannello di controllo del Centro sicurezza, seleziona criteri di sicurezza e quindi seleziona la sottoscrizione.
- Nel pannello criteri di sicurezza, selezionare Criteri di sicurezza.
- Nel pannello Politica di sicurezza - Politica di sicurezza, attivare o disattivare gli elementi della politica da applicare alla sottoscrizione.
- Al termine della selezione delle impostazioni, selezionare Salva nella parte superiore del pannello.
Visualizzare l'integrità della configurazione della macchina virtuale
Dopo aver attivato la raccolta dati e impostato un criterio di sicurezza, il Centro sicurezza inizia a fornire avvisi e raccomandazioni. Durante la distribuzione delle macchine virtuali, viene installato l'agente di raccolta dati. Il Centro sicurezza viene quindi popolato con i dati per le nuove macchine virtuali. Per informazioni approfondite sull'integrità della configurazione delle macchine virtuali, vedere Proteggere le macchine virtuali nel Centro sicurezza.
Durante la raccolta dei dati, l'integrità delle risorse per ogni macchina virtuale e la risorsa di Azure correlata vengono aggregate. Le informazioni vengono visualizzate in un grafico di facile lettura.
Per visualizzare l'integrità delle risorse:
- Nel pannello di controllo del Centro sicurezza, in Prevenzione, selezionare Calcolo.
- Nel pannello calcolo selezionare macchine virtuali e computer. Questa vista fornisce un riepilogo dello stato di configurazione per tutte le macchine virtuali.
Per visualizzare tutte le raccomandazioni per una macchina virtuale, selezionare la macchina virtuale.
Correggere i problemi di configurazione
Dopo che il Centro sicurezza inizia a popolare con i dati di configurazione, le raccomandazioni vengono effettuate in base ai criteri di sicurezza configurati. Ad esempio, se una macchina virtuale è stata configurata senza un gruppo di sicurezza di rete associato, viene consigliata la creazione di una macchina virtuale.
Per visualizzare un elenco di tutte le raccomandazioni:
- Nel dashboard del Centro Sicurezza selezionare Raccomandazioni.
- Selezionare una raccomandazione specifica. Viene visualizzato un elenco di tutte le risorse per le quali viene applicata la raccomandazione.
- Per applicare una raccomandazione, selezionare la risorsa.
- Seguire le istruzioni per la procedura di correzione.
In molti casi, il Centro sicurezza fornisce passaggi interattivi che è possibile eseguire per risolvere una raccomandazione senza uscire dal Centro sicurezza. Nell'esempio seguente il Centro sicurezza rileva un gruppo di sicurezza di rete con una regola in ingresso senza restrizioni. Nella pagina delle raccomandazioni, è possibile selezionare il pulsante Modifica regole in ingresso. Viene visualizzata l'interfaccia utente necessaria per modificare la regola.
Poiché le raccomandazioni vengono corrette, vengono contrassegnate come risolte.
Visualizzare le minacce rilevate
Oltre alle raccomandazioni di configurazione delle risorse, il Centro sicurezza visualizza gli avvisi di rilevamento delle minacce. La funzionalità avvisi di sicurezza aggrega i dati raccolti da ogni macchina virtuale, dai log di rete di Azure e dalle soluzioni partner connesse per rilevare le minacce alla sicurezza dalle risorse di Azure. Per informazioni approfondite sulle funzionalità di rilevamento delle minacce del Centro sicurezza, vedere In che modo il Centro sicurezza rileva le minacce?.
La funzionalità avvisi di sicurezza richiede che il piano tariffario del Centro sicurezza sia aumentato da gratuito a Standard. Una versione di valutazione gratuita è disponibile quando si passa a questo piano di prezzo più alto.
Per modificare il piano tariffario:
- Nel dashboard del Centro sicurezza fare clic su Criteri di sicurezzae quindi selezionare la sottoscrizione.
- Selezionare Piano tariffario.
- Selezionare Standard e quindi fare clic su Salva nella parte superiore del pannello.
Dopo aver modificato il piano tariffario, il grafico degli avvisi di sicurezza inizia a riempirsi man mano che vengono rilevate minacce alla sicurezza.
Selezionare un avviso per visualizzare le informazioni. Ad esempio, è possibile visualizzare una descrizione della minaccia, il tempo di rilevamento, tutti i tentativi di minaccia e la correzione consigliata. Nell'esempio seguente è stato rilevato un attacco di forza bruta RDP con 294 tentativi RDP non riusciti. Viene fornita una risoluzione consigliata.
Passaggi successivi
In questa esercitazione si configura il Centro sicurezza di Azure e quindi si esaminano le macchine virtuali nel Centro sicurezza. Ecco cosa hai imparato a fare:
- Configurare la raccolta dei dati
- Configurare i criteri di sicurezza
- Visualizzare e correggere i problemi di integrità della configurazione
- Esaminare le minacce rilevate
Passare all'esercitazione successiva per altre informazioni sulla creazione di una pipeline CI/CD con Jenkins, GitHub e Docker.