John de Jager

De aanbevelingen (recommendations) vormen één van de belangrijkste onderdelen van Azure Security Center. Deze aanbevelingen zijn verdeeld in een vijftal categorieën:

  • Abonnementsaanbevelingen
  • Applicatieaanbevelingen
  • Netwerkaanbevelingen
  • SQL Service aanbevelingen
  • Virtuele Machine aanbevelingen

In deel 2 van deze blogserie over Azure Security Center zal ik dieper ingaan op de eerste categorie: de subscription aanbevelingen.

Gegevensverzameling inschakelen voor abonnement

Om informatie te krijgen omtrent de faciliteiten en bronnen binnen de verschillende abonnementen dien je de gegevensverzameling voor het betreffende abonnement in te schakelen. Dit kun je doen door een aangepaste log analytics werkruimte aan te maken of door Azure Security Center een werkruimte voor je te laten creëren, met naamgeving in het volgende format:

  • Werkruimte: DefaultWorkspace-[abonnements-ID]-[geo]
  • Resource group: DefaultResouceGroup-[geo]

Standaard log analytics werkruimte

  1. Gegevensverzameling inschakelen: Ga naar het tabblad beveiligingsbeleid > Gegevensverzameling > “Gebruik werkruimte(s) aangemaakt door Security Center (default)”
  2. Schakel de automatische gegevensvoorziening van agents in

Aangepaste log analysis werkruimte (aanbevolen)

  1. Creëer een nieuwe resource group met een benaming die bedrijfsmatig conventioneel is voor jouw regio
  2. Creëer in de bij 1. aangemaakte resourcegroup een nieuwe log analytics werkruimte, met dezelfde locatie en hetzelfde prijsniveau (pricing tier) per knooppunt (node)
  3. Schakel de gegevensverzameling in: Ga naar het tabbladbeveiligingsbeleid > Gegevensverzameling > Gebruik een andere werkruimte > selecteer de werkruimte die je bij 2. hebt aangemaakt en schakel de automatische gegevensvoorziening van agenten in
  4. Antwoord met ‘ja’ op de vraag over herconfiguratie van de VM’s.

Gegevens van veiligheidscontact voor abonnement invoeren

Om aan deze aanbeveling te voldoen:

  1. Ga naar het tabblad ‘beveiligingsbeleid’ en klik op het abonnement
  2. Ga naar e-mailberichten
  3. Geef het e-mailadres telefoonnummer van de contactpersoon voor beveiliging in
  4. Optioneel kun je onderaan de ‘stuur mij een email’-knoppen aan- of uitzetten

Als er een e-mail met een waarschuwing binnenkomt, zal deze er zo uitzien:

Geavanceerde beveiliging voor het abonnement inschakelen

Omdat je een aangepaste log-analytics werkruimte hebt gemaakt, kun je de instelling voor de prijslaag op twee plaatsen aanpassen:

  1. Ga naar het tabblad voor beveiligingsbeleid en klik op het abonnement; op het tabblad van de prijslaag kun je vervolgens de Standaard Laag selecteren in plaats van de gratis basislaag
  2. Ga naar het tabblad voor beveiligingsbeleid en klik op de log analytics werkruimte; op het tabblad van de prijslaag kun je vervolgens de Standaard Laag selecteren in plaats van de gratis basislaag

Op de vraag waar ik de Standaard Laag kan activeren, kreeg ik van Microsoft het volgende antwoord: Dat hangt af van waaruit je je VM’s beheert:

  • Wanneer de VM’s verbonden zijn met een door een gebruiker aangemaakte log analytics werkruimte, MOET je de Standaard Laag op die specifieke werkruimte inschakelen
  • Indien de VM’s verbonden zijn met een door ASC gecreëerde werkruimte (standaard configuratie), hoef je enkel op abonnementsniveau te upgraden

De tweede optie (upgraden op abonnementsniveau) wordt sterk aanbevolen omdat dit extra mogelijkheden toevoegt die niet alleen in de specifieke werkruimte voorhanden zijn (zoals netwerkdreigingsdetectie, verschillende PaaS-diensten, enz.).

Volgens mij kan het dus zeker geen kwaad om op beide plaatsen de Standaard Laag in te schakelen.

Als de aanpassing voor de prijslaag in de werkruimte mislukt zonder dat een duidelijke foutmelding gegeven wordt, controleer dan de activity log van die werkruimte. Meestal is er wel degelijk een foutmelding. In mijn abonnement betrof het de volgende fout:

Error code MissingSubscriptionRegistrationMessage: The subscription is not registered to use namespace ‘Microsoft.OperationsManagement’. See https://aka.ms/rps-not-found for how to register subscriptions

Dit kan worden opgelost door in het Azure portaal naar ‘abonnementen’ te gaan. Selecteer daar het betreffende abonnement, ga naar resource providers en zoek naar de Microsoft.OperationsManagement resource provider. Deze zal als “Niet geregistreerd” verschijnen. Je kunt deze bronleverancier registreren door op de registreerlink te klikken. Na registratie van de resource provider kan de upgrade van de werkruimte worden doorgevoerd.

Als de upgrade naar de Standaard Laag voor het abonnement geslaagd is, zie je twee oplossingen in de log analytics werkruimte.

Dit was deel 2 in de blogreeks over Azure Security Center. Binnenkort meer in deel 3. Dan ga ik nog dieper in op de aanbevelingen.

SHARE
Altijd up to date?
Blijf op de hoogte van de laatste innovaties. Ontvang als eerste uitnodigingen voor webinars en events. Schrijf je nu in!