已启用 Azure Arc 的服务器的安全和监视功能是什么?

  • 10 分钟

无论技术资产位于何处,Azure Arc 还可简化它们在企业范围内的管理、监视和保护的集中化和标准化流程。 在本单元中,你将了解如何将此原则应用于本地服务器,包括已启用 Azure Arc 的服务器。

Microsoft Defender for Cloud 在混合场景中的安全优势是什么?

若要解决混合环境固有的安全挑战,例如高波动性和对外部服务的依赖性,你需要使用复杂的工具来帮助评估安全状况并识别和修正风险。 理想情况下,建议以最小的工作量部署这些工具。 Microsoft Defender for Cloud 有助于满足这些要求。

Defender for Cloud 是一项基于云的服务,用于管理云以及本地基础结构和工作负载的安全性。 借助 Defender for Cloud 功能,可以:

  • 提高安全性:使用 Defender for Cloud 在云服务和本地服务器上实现安全性最佳做法。 除安全性最佳做法以外,你还可以跟踪针对法规标准的合规性。
  • 保护环境:使用 Defender for Cloud 监视对云和本地服务器的安全威胁。
  • 保护数据:识别针对服务器、文件和数据库的可疑活动,包括潜在的数据泄露。

Defender for Cloud 依靠 Log Analytics 代理来收集与安全相关的事件、应用程序故障转储和操作系统配置设置。 它可以持续分析收集的数据,提供修正建议,并针对未遂的和正在进行的安全泄露和渗透生成安全警报。

注意

已启用 Azure Arc 的服务器需要 Microsoft Defender for Cloud。

Microsoft Sentinel 在混合场景中的安全优势是什么?

Microsoft Sentinel 是一种可缩放的云原生安全信息和事件管理 (SIEM) 以及安全业务流程自动响应 (SOAR) 解决方案。 Microsoft Sentinel 提供智能安全分析和威胁情报,为警报检测、威胁可见性、主动搜寻和威胁响应提供单一解决方案。

Microsoft Sentinel 是跨多云和混合基础架构的鸟瞰图,可减轻日益复杂的攻击、不断增加的警报量和较长的解决时间范围所带来的压力。 使用 Microsoft Sentinel,可以:

  • 跨所有用户、设备、应用程序和基础结构(包括本地和多个云)以云规模收集数据。
  • 使用 Microsoft 的分析和出色的威胁情报检测以前未检测到的威胁,并最大限度地减少误报。
  • 借助人工智能调查威胁,结合 Microsoft 多年以来的网络安全工作经验大规模搜寻可疑活动。
  • 通过内置的业务流程和常见任务自动化快速响应事件。

Azure Monitor 在混合场景中的可观测性优势是什么?

借助已启用 Azure Arc 的服务器,Azure 门户可用作状态监视的集中式仪表板,以及用于管理所有已启用 Azure Arc 的服务器、所有 Azure 和已启用 Azure Arc 的资源的启动板。 已启用 Azure Arc 的服务器的主页会列出所有服务器及其资源组、位置和关联的订阅。 对于每个服务器,你都可以轻松地识别其名称、OS 版本和内部版本。

通过与 Azure Monitor 集成,可以实现更深入的监视、警报、日志收集和日志分析。 Azure Monitor 是一个全面的解决方案,适用于收集、分析和响应来自云和本地环境的遥测数据。 Azure Monitor 提供三个主要功能:

  • 监视和指标可视化:指标是表示受监视系统的运行状况的数值。
  • 查询和分析日志:日志包括活动、诊断和遥测。 其分析提供了对监视的系统状态的深入见解,并有助于进行故障排除。
  • 警报和修正:警报会向你通知异常情况。 你也可以将其配置为自动启动纠正措施,以修正导致警报的问题。 通过集成 Azure Monitor 与内部 IT 服务管理平台,还可以将警报配置为引发事件或创建工作项。

可以在 Log Analytics 工作区中存储和分析准实时数据和历史数据。 这需要安装 Log Analytics 代理。 若要进一步了解环境中服务器与其他系统之间的交互,可以安装 Dependency Agent。 使用同一 Log Analytics 代理可将服务加载到其他 Azure 服务上,例如更新管理、更改跟踪和清单,以及 Microsoft Defender for Cloud。

描述 Azure 中 VM 的“见解”页上“映射”选项卡的屏幕截图。显示了 ContosoVM1,以及打开的 TCP 端口的详细信息。还显示了 VM 摘要,详细说明了 VM 的操作系统、IP 地址以及运行状况、计算机属性和 Azure VM 属性的链接。除了访问“属性”(已选定)的按钮外,另外显示了三个用于访问“日志事件”、“警报”和“连接”的按钮。

安装和配置代理后,服务器将开始向所选 Log Analytics 工作区转发遥测数据。 随后,你可以使用 Azure Monitor 仪表板显示收集的数据,并使用 Log Analytics 查询进行分析。 你还可以实施基于指标或日志的规则,这些规则将触发警报和自动修复任务。

Log Analytics 在已启用 Azure Arc 的服务器中有什么优势?

已启用 Azure Arc 的服务器在加入流程方面具有优势,因为可使用 VM 扩展或 Azure Policy 部署 Log Analytics 代理。 这可简化部署流程,允许通过 Azure 门户在任意位置进行大规模的集中式管理,并且可帮助代理维护,从而显著简化对过时代理的识别和升级。

此外,与 Azure 资源管理器集成还支持对 Log Analytics 数据的资源上下文访问。 利用资源上下文,你可根据相应的 Azure 资源的权限限制对 Log Analytics 数据的访问范围。 由于每个已启用 Azure Arc 的服务器都作为 Azure 资源存在,因此,可以依靠分配给该资源的 Azure 基于角色访问控制 (Azure RBAC) 权限来控制对其 Log Analytics 日志的访问。

为以下每个问题选择最佳答案。

知识检查

1.

识别已启用 Azure Arc 的服务器的操作系统的最简单方法是什么?

2.

与未启用 Azure Arc 的服务器相比,已启用 Azure Arc 的服务器的与 Azure Monitor 相关的主要优势是什么?