微软Azure.
Microsoft Azure是一个完整的云平台,具有基础设施、软件和应用程序,可以作为服务提供。Azure可以作为内部基础设施的补充,作为组织技术资产的扩展。在您的环境中使用Azure时,无论您选择云还是本地选项,安全性和监控仍然是您日常操作的重要组成部分。
为了在安全操作中提供灵活性和客户选择,微软提供了Azure Event Hubs作为一个集中的服务,用于从其他Azure服务中收集数据和日志。您可以将InsightIDR与Azure Event Hubs集成,以访问和获取所有适用的Azure数据和日志。这将微软的数据输入服务与InsightIDR强大的事件检测和响应系统相结合。
当你配置Azure事件中心并通过Microsoft Azure事件源消费数据和日志时,InsightIDR将:
- 收集Azure Active Directory事件,以提供入口身份验证和单点登录(SSO)检测。
- 收集Azure Monitor事件,将Azure安全中心警报作为第三方警报提供。阅读Azure安全中心的更多信息:https://azure.microsoft.com/en-us/services/security-center/
Azure检测会在InsightIDR中触发行为警报
随着时间的推移,InsightIDR将继续提供额外的Azure检测,并在跨事件源和部署在您的环境中的Insight Agents监控用户行为时跟踪它们。必威体育app登录
行为警报将使用Azure检测和处理天蓝色的云服务,如环境的扩展。
要使用Microsoft Azure事件中心与InsightIDR:
- 创建一个新的事件集线器
- 为事件集线器创建共享访问策略
- 将Azure Monitor配置到事件中心
- 将Azure活动目录配置到事件中心
- 从事件中心复制共享访问策略密钥
- 在InsightIDR中添加Microsoft Azure事件源
在你开始之前
确保您的系统满足以下要求:
- 要完成本文描述的过程,您必须拥有Azure Active Directory的Premium P1或P2许可证。
- 如果你想从Azure安全中心向InsightIDR发送第三方警报,你必须选择Azure安全中心的标准层。
在InsightIdr收集器上通过TCP端口9093打开出站连接
Microsoft Azure事件源只能通过TCP端口9093上的出站连接连接到Azure。如果不打开此端口,则事件源配置将失败。
任务1:创建新的事件中心
为了准确地为InsightIDR提供正确的信息,您必须创建一个新的Azure事件中心。
要创建新的事件中心,请执行以下操作:
- 导航到http://portal.azure.com并签署。
- 从左侧菜单中,选择所有的服务>一切并搜索“活动中心”。
- 可选地,单击别针按钮以将事件集线器资源添加到仪表板以方便访问。
- 在“事件集线器”页上,单击“+添加按钮。
- 在Create Namespace屏幕上,从Subscription下拉菜单中,选择一个以后可以与Azure Monitor一起使用的订阅。在以后的步骤中,请确保使用相同的订阅。
- 从“资源组”下拉列表中,选择所需的任何值。Azure需要此字段,但InsightIdr在任何配置中都不会引用此字段。
- 在“命名空间名称”下为事件中心输入名称。
- 从“位置”下拉列表中,选择所处的Azure环境资源的位置。
- 从定价层下拉列表中,选择标准选择。
- 将吞吐量单元滑块留在1.
- 点击下一篇:特点>.
- 离开使可用性区域和启用自动膨胀箱子不。
- 单击标签:>按钮。您不需要做任何更改。
- 单击回顾+创建>按钮。等待“验证成功”出现在屏幕顶部。
- 点击创建您将看到“进程中的部署”消息。
- 返回“事件中心”页并单击刷新按钮以查看新的事件中心。它将显示状态“激活”最初。等它显示为"激活"
- 选择新创建的事件中心以查看详细信息页。
- 在详细信息页面,检查事件中心实例“insights-operation -logs”是否出现在页面底部。
- 如果事件中心实例没有自动出现,请选择+活动中心在这一页的顶部。
- 在“名称”字段中,输入Insights-Operational-logs。
任务2:为事件中心创建共享访问策略
共享访问策略用于允许InsightIDR访问读取Azure将发布到事件中心的消息。
要创建共享访问策略:
- 在新的“事件中心”详细信息页中,选择共享访问策略页从左边的菜单。
- 单击+添加按钮。出现“Add SAS Policy”面板。
- 将您的策略命名为便于以后在InsightIDR中使用的可识别的名称,例如“R7InsightIDR”。
- 检查听盒子。
- 单击创建按钮。
您现在创建了您的共享访问策略。策略名称和键将始终处于此位置。您将在以下步骤中使用rootmanagesharedaccesskey策略和新策略。
任务3:配置Azure监视器
接下来,配置Azure监视器以将其日志发送到事件集线器。
- 要打开Azure Monitor,输入监视器,并从搜索结果中选择它。您还可以导航到主屏幕并选择Azure Services下的Monitor。
- 从左侧菜单中单击活动日志.
- 在“订阅”字段中,选择在其中配置的订阅任务1.
- 点击诊断设置.
- 在下面的页面上,单击寻找遗留体验?紫色的旗帜。
- 确认您的订阅.
- 在“区域”下拉列表中,我们建议您选择所有区域。
- 可选:选中框导出到存储帐户并选择要导出到的存储帐户。
- 可选:选择保留(天).
- 勾选导出到活动中心.
- 选择服务总线名称空间并在右侧的弹出部分中选择订阅、事件集线器名称空间和事件集线器策略名称,即RootManageSharedAccessKey.
- 点击好的关闭面板。
- 点击节省确认设置。
如果在单击“保存”后看到错误消息“创建或更新活动日志ProfilesSfailure”,请参阅创建或更新活动日志配置文件失败错误.
任务4:将Azure活动目录添加到事件中心(可选)
要配置Azure Active Directory以将其审计日志发送到事件中心,您必须拥有Azure Active Directory的Premium P1或P2许可证。有关更多信息,请参见:https://docs.microsoft.com/en-us/azure/devops/project/navigation/set-favorites?view=azure-devops
将审计日志发送到事件中心:
- 从左侧菜单中,选择所有的服务都是最好的并搜索“Azure Active Directory”。
- 或者,您可以单击PIN按钮将此页面添加到仪表板以方便访问。
- 从Azure Active Directory页面中,选择审计日志“监视”部分下的页面。
- 点击诊断设置.
- 在“诊断设置”页面上,单击+添加诊断设置按钮。
- 在“诊断设置”页面上,命名诊断设置。
- 单击复选框启用AuditLogs和signinlogs..
- 检查流到事件中心框.
- 选择订阅您根据前面的步骤命名。
- 选择活动中心名称空间您从前面的步骤创建的。
- 在“Event Hub name”中,输入您在其中创建的“insights-operation -logs”任务1.
- 选择RootManageSharedAccessKey政策的名字。
- 单击节省按钮在页面顶部保存配置并开始流数据。
任务5:复制共享访问策略密钥
您需要从事件中心复制特定的策略键,以便在InsightIDR中进行配置。
复制密钥:
- 返回“事件中心”页并选择事件中心以查看详细信息。
- 选择共享访问政策关联。
- 单击在这些指示中创建的策略。一个面板将出现。
- 您将看到四个可以复制的不同键。复制连接字符串主键供以后在InsightIDR中使用。
任务6:在InsightIDR中添加Microsoft Azure事件源
一旦完成Azure的设置,就可以将其连接到InsightIDR。
在InsightIdr收集器上通过TCP端口9093打开出站连接
Microsoft Azure事件源只能通过TCP端口9093上的出站连接连接到Azure。如果不打开此端口,则事件源配置将失败。
- 从您的仪表板,选择数据收集在左边的菜单上。
- 出现“数据收集”页面时,单击“设置事件源下拉选择添加事件源.
- 从安全部分,单击云服务图标。将出现“添加事件源”面板。
- 选择您的收集器并选择Microsoft Azure作为事件源。为事件源指定与选择的事件中心相同的名称。
- 检查未解析日志框,以使其他Azure事件在日志搜索中可搜索。
- 在Server字段中,输入您在前面步骤中记录的Azure Service总线名称空间的主机名。例如,
rapt7idr.servicebus.windows.net.
. - 在主题字段中,输入
insights-operational-logs
作为主题名。 - 选择或创建一个新的凭证用于匹配您在前面步骤中创建的共享访问密钥名的Azure帐户。
- 输入您之前复制的共享访问密钥“连接字符串主键”。
- 配置您的默认域.
- 单击节省按钮。
验证配置
- 从左侧菜单中,单击日志搜索要查看原始日志以确保事件正在将其交给收集器。选择适用的日志集和它们中的日志名称。如果您没有命名事件源,则日志名称将是事件源名称或Microsoft Azure。Microsoft Azure日志流入这些日志集:
- 进入认证
- SSO身份验证
- 第三方通知
- 无功率数据
- 接下来,执行日志搜索确保微软Azure活动顺利进行。
下面是微软Azure日志搜索数据的一个例子:
生成样本事件
有几种方法可以在Azure中生成审计事件样本并发送到事件中心。
- 启动/停止VM。如果您有测试或备用VM,则只需启动和停止这些计算机即可生成示例审核事件。
- 列出共享访问策略。打开活动中心的名称空间,在“设置”下选择共享访问策略对于rootmanagesharedaccesskey。通过完成这些步骤中的任何一个,您将生成审核日志。在InsightIdr中有可能需要几分钟的活动。
解决常见问题
介绍常见故障处理场景。
已建立连接,但没有数据流向IDR
如果已建立连接,但没有数据流向InsightIDR,请确认已登录到正确的事件中心主题。
连接中存在错误
如果连接错误,请检查以下内容:
- 验证您是否具有正确的订阅级别和许可。
- 验证您是否已登录到正确的事件集线器实例。
- 检查您的防火墙和代理权限,以确认您已经在InsightIDR Collector上配置了一个通过TCP端口9093的出站连接。
- 检查你的凭证。验证您正在使用连接字符串主键和正确的连接字符串。有关更多信息,请参见任务5:复制共享访问策略密钥
无效的SASL机制响应错误
如果你看到一个错误说无效的SASL机制响应,服务器可能期望使用不同的协议
,在InsightIDR中更新您的共享访问密钥。要做到这一点,就要完成任务5:复制共享访问策略密钥第9步任务6:在InsightIDR中添加Microsoft Azure事件源一次。
创建或更新活动日志配置文件失败错误
在任务3,你可能试图保存你的更改,但看到一个错误在UI的右上角说“创建或更新活动日志profilesFailure”。
修复此错误:
- 在所有服务中搜索“订阅”。
- 选择您的订阅并点击资源提供者在左边的面板上。
- 搜索“microsoft.insights”。
- 通过单击任意一个,确保它已注册注册或者重新注册.等待过程完成。
- 点击刷新.
- 重复以下步骤任务3确保活动日志保存无误。