Ulepszone monitorowanie zabezpieczeń
W tym artykule opisano funkcję rozszerzonego monitorowania zabezpieczeń oraz sposób konfigurowania jej w obszarze roboczym lub koncie usługi Azure Databricks.
Jeśli włączysz tę funkcję, opłata zostanie naliczona za dodatek Rozszerzone zabezpieczenia i zgodność zgodnie z opisem na stronie cennika.
Omówienie rozszerzonego monitorowania zabezpieczeń
Ulepszone monitorowanie zabezpieczeń usługi Azure Databricks zapewnia ulepszony obraz dysku ze wzmocnionymi zabezpieczeniami i dodatkowe agenty monitorowania zabezpieczeń, które generują wiersze dziennika, które można przeglądać przy użyciu dzienników diagnostycznych.
Ulepszenia zabezpieczeń dotyczą tylko zasobów obliczeniowych w klasycznej płaszczyźnie obliczeniowej, takich jak klastry i magazyny SQL bezserwerowe.
Bezserwerowe zasoby płaszczyzny obliczeniowej, takie jak bezserwerowe magazyny SQL, nie mają dodatkowego monitorowania po włączeniu rozszerzonego monitorowania zabezpieczeń.
Uwaga
Większość typów wystąpień platformy Azure jest obsługiwana, ale maszyny wirtualne oparte na generacji 2 (Gen2) i Arm64 nie są obsługiwane. Usługa Azure Databricks nie zezwala na uruchamianie obliczeń z tymi typami wystąpień po włączeniu rozszerzonego monitorowania zabezpieczeń.
Rozszerzone monitorowanie zabezpieczeń obejmuje:
Ulepszony obraz systemu operacyjnego ze wzmocnionymi zabezpieczeniami oparty na systemie Ubuntu Advantage.
Ubuntu Advantage to pakiet zabezpieczeń przedsiębiorstwa i obsługa infrastruktury typu open source oraz aplikacji, które zawierają obraz ze wzmocnionymi zabezpieczeniami na poziomie CIS 1 .
Agent monitorowania oprogramowania antywirusowego, który generuje dzienniki, które można przejrzeć.
Agent monitorowania integralności plików, który generuje dzienniki, które można przejrzeć.
Monitorowanie agentów w obrazach płaszczyzn obliczeniowych usługi Azure Databricks
Chociaż włączono ulepszone monitorowanie zabezpieczeń, istnieją dodatkowi agenci monitorowania zabezpieczeń, w tym dwa agenci, którzy są wstępnie zainstalowani w ulepszonym obrazie płaszczyzny obliczeniowej. Nie można wyłączyć agentów monitorowania, którzy znajdują się na ulepszonym obrazie dysku płaszczyzny obliczeniowej.
Agent monitorowania | Lokalizacja | opis | Jak uzyskać dane wyjściowe |
---|---|---|---|
Monitorowanie integralności plików | Ulepszony obraz płaszczyzny obliczeniowej | Monitoruje naruszenia integralności plików i granic zabezpieczeń. Ten agent monitora działa na maszynie wirtualnej procesu roboczego w klastrze. | Włącz tabelę systemu dzienników inspekcji i przejrzyj dzienniki dla nowych wierszy. |
Wykrywanie oprogramowania antywirusowego i złośliwego oprogramowania | Ulepszony obraz płaszczyzny obliczeniowej | Codziennie skanuje system plików pod kątem wirusów. Ten agent monitora działa na maszynach wirtualnych w zasobach obliczeniowych, takich jak klastry i klasyczne magazyny SQL. Agent wykrywania złośliwego oprogramowania antywirusowego skanuje cały system plików systemu operacyjnego hosta i system plików kontenera środowiska Databricks Runtime. Wszystkie elementy poza maszynami wirtualnymi klastra wykraczają poza zakres skanowania. | Włącz tabelę systemu dzienników inspekcji i przejrzyj dzienniki dla nowych wierszy. |
Skanowanie pod kątem luk w zabezpieczeniach | Skanowanie odbywa się w reprezentatywnych obrazach w środowiskach usługi Azure Databricks. | Skanuje hosta kontenera (VM) pod kątem niektórych znanych luk w zabezpieczeniach i typowych luk w zabezpieczeniach i ekspozycji (CVE). | Adres e-mail do administratorów obszaru roboczego usługi Azure Databricks. |
Aby uzyskać najnowsze wersje agentów monitorowania, możesz ponownie uruchomić klastry. Jeśli obszar roboczy używa automatycznej aktualizacji klastra, domyślnie klastry są uruchamiane ponownie w razie potrzeby w zaplanowanych oknach obsługi. Jeśli profil zabezpieczeń zgodności jest włączony w obszarze roboczym, automatyczna aktualizacja klastra jest trwale włączona w tym obszarze roboczym.
Monitorowanie integralności plików
Ulepszony obraz płaszczyzny obliczeniowej zawiera usługę monitorowania integralności plików, która zapewnia widoczność środowiska uruchomieniowego i wykrywanie zagrożeń dla zasobów obliczeniowych (procesów roboczych klastra) w klasycznej płaszczyźnie obliczeniowej w obszarze roboczym.
Dane wyjściowe monitora integralności plików są generowane w dziennikach inspekcji, do których można uzyskać dostęp za pomocą tabel systemowych. Zobacz Monitorowanie aktywności konta przy użyciu tabel systemowych. Aby zapoznać się ze schematem JSON dla nowych zdarzeń podlegających inspekcji, które są specyficzne dla monitorowania integralności plików, zobacz Zdarzenia monitorowania integralności plików.
Ważne
Twoim zadaniem jest przejrzenie tych dzienników. Usługa Databricks może według własnego uznania przejrzeć te dzienniki, ale nie zobowiązuje się do tego. Jeśli agent wykryje złośliwe działanie, twoim obowiązkiem jest klasyfikacja tych zdarzeń i otwarcie biletu pomocy technicznej w usłudze Databricks, jeśli rozwiązanie lub korygowanie wymaga wykonania akcji przez usługę Databricks. Usługa Databricks może podejmować działania na podstawie tych dzienników, w tym wstrzymywanie lub kończenie zasobów, ale nie zobowiązuje się do tego.
Wykrywanie oprogramowania antywirusowego i złośliwego oprogramowania
Ulepszony obraz płaszczyzny obliczeniowej zawiera aparat antywirusowy do wykrywania trojanów, wirusów, złośliwego oprogramowania i innych złośliwych zagrożeń. Program antywirusowy skanuje cały system plików systemu operacyjnego hosta i system plików kontenera środowiska Databricks Runtime. Wszystkie elementy poza maszynami wirtualnymi klastra wykraczają poza zakres skanowania.
Dane wyjściowe monitora antywirusowego są generowane w dziennikach inspekcji, do których można uzyskać dostęp za pomocą tabel systemowych. Aby zapoznać się ze schematem JSON dla nowych zdarzeń podlegających inspekcji specyficznych dla monitorowania antywirusowego, zobacz Zdarzenia monitorowania oprogramowania antywirusowego.
Po utworzeniu nowego obrazu maszyny wirtualnej zaktualizowane pliki podpisów są w nim uwzględniane.
Ważne
Twoim zadaniem jest przejrzenie tych dzienników. Usługa Databricks może według własnego uznania przejrzeć te dzienniki, ale nie zobowiązuje się do tego. Jeśli agent wykryje złośliwe działanie, twoim obowiązkiem jest klasyfikacja tych zdarzeń i otwarcie biletu pomocy technicznej w usłudze Databricks, jeśli rozwiązanie lub korygowanie wymaga wykonania akcji przez usługę Databricks. Usługa Databricks może podejmować działania na podstawie tych dzienników, w tym wstrzymywanie lub kończenie zasobów, ale nie zobowiązuje się do tego.
Po utworzeniu nowego obrazu AMI zaktualizowane pliki podpisów są uwzględniane w nowym obrazie AMI.
Skanowanie pod kątem luk w zabezpieczeniach
Agent monitora luk w zabezpieczeniach przeprowadza skanowanie w zabezpieczeniach hosta kontenera (VM) pod kątem niektórych znanych cvEs. Skanowanie odbywa się w reprezentatywnych obrazach w środowiskach usługi Azure Databricks. Raporty skanowania luk w zabezpieczeniach są wiadomości e-mail do wszystkich administratorów obszaru roboczego, gdy usługa Azure Databricks zwalnia nowe obrazy dysków AMI.
W przypadku znalezienia luk w zabezpieczeniach z tym agentem usługa Databricks śledzi je względem umowy SLA dotyczącej zarządzania lukami w zabezpieczeniach i zwalnia zaktualizowany obraz, gdy jest dostępny.
Zarządzanie i uaktualnianie agentów monitorowania
Dodatkowi agenci monitorowania, którzy znajdują się na obrazach dysków używanych dla zasobów obliczeniowych w klasycznej płaszczyźnie obliczeniowej, są częścią standardowego procesu usługi Azure Databricks na potrzeby uaktualniania systemów:
- Klasyczny obraz dysku podstawowego płaszczyzny obliczeniowej (AMI) jest własnością, jest zarządzany i poprawiany przez usługę Databricks.
- Usługa Databricks dostarcza i stosuje poprawki zabezpieczeń, publikując nowe obrazy dysków AMI. Harmonogram dostarczania zależy od nowych funkcji i umowy SLA dotyczącej wykrytych luk w zabezpieczeniach. Typowe dostarczanie odbywa się co dwa do czterech tygodni.
- Podstawowy system operacyjny płaszczyzny obliczeniowej to Ubuntu Advantage.
- Klastry usługi Azure Databricks i klasyczne magazyny SQL są domyślnie efemeryczne. Po uruchomieniu klastry i klasyczne magazyny SQL używają najnowszego dostępnego obrazu podstawowego. Starsze wersje, które mogą mieć luki w zabezpieczeniach, są niedostępne dla nowych klastrów.
Monitorowanie kończenia działania agenta
Jeśli agent monitorowania na maszynie wirtualnej procesu roboczego nie jest uruchomiony z powodu awarii lub innego zakończenia, system podejmie próbę ponownego uruchomienia agenta.
Zasady przechowywania danych dla danych agenta monitorowania
Dzienniki monitorowania są wysyłane do tabeli systemu dzienników inspekcji własnego magazynu w subskrypcji platformy Azure, jeśli skonfigurowano dzienniki diagnostyczne. Odpowiedzialność za przechowywanie, pozyskiwanie i analizowanie tych dzienników jest Twoim zadaniem.
Raporty i dzienniki skanowania luk w zabezpieczeniach są przechowywane przez co najmniej jeden rok przez usługę Databricks.
Włączanie rozszerzonego monitorowania zabezpieczeń usługi Azure Databricks
- Obszar roboczy usługi Azure Databricks musi znajdować się w planie Premium.
Aby włączyć rozszerzone monitorowanie zabezpieczeń w obszarze roboczym, zobacz Włączanie rozszerzonych funkcji zabezpieczeń i zgodności przy użyciu witryny Azure Portal.
Propagacja aktualizacji do wszystkich środowisk i systemów podrzędnych, takich jak rozliczenia, może potrwać do sześciu godzin. Obciążenia, które aktywnie działają, kontynuują ustawienia, które były aktywne w momencie uruchamiania klastra lub innego zasobu obliczeniowego, a nowe ustawienia zaczną stosować przy następnym uruchomieniu tych obciążeń.