Повышение безопасности Azure с помощью языка запросов Kusto: аналитика журналов

Опубликовано: 28 Февраля, 2023
Повышение безопасности Azure с помощью языка запросов Kusto: аналитика журналов

Разработка системы безопасности вашего нового облачного приложения/службы, которую вы предоставляете своим внутренним или внешним пользователям, и применение безопасности с самого начала проектирования — отличная идея. Однако одна вещь, которая может быть не менее важной, — это возможность регистрировать действия этих ресурсов и выполнять их последующий поиск. Возможность следить за действиями ваших ресурсов поможет вам повысить уровень безопасности, понять, что происходит за кулисами во время обычных операций, и многое другое. В этой первой статье из нашей серии, посвященной повышению безопасности Azure с помощью языка запросов Kusto (KQL), будут описаны шаги, необходимые для создания и защиты аналитики журналов.

Создание аналитики журнала

В этом разделе мы сосредоточимся на создании рабочей области аналитики журналов с помощью портала Azure. Однако мы рассмотрим создание всей дополнительной инфраструктуры с использованием шаблонов PowerShell и Azure ARM.

Вы можете задаться вопросом о навязчивых вопросах дизайна о планировании того, сколько аналитики журналов требуется и где их следует разместить, верно? Мы обсудим некоторые возможные сценарии, перечислив преимущества и недостатки каждого сценария. Следите за обновлениями!

Создание аналитики журнала — одна из самых простых задач, которую можно выполнить с помощью портала Azure, PowerShell, Azure CLI и шаблонов ARM. Найдите рабочую область аналитики журналов в строке поиска и в новой колонке щелкните Создать.

В нашей серии статей мы будем использовать LogAnalytics-Sandbox-DevSecOps. На странице Создать рабочую область аналитики журнала. Определите подписку, группу ресурсов, регион и имя, которое мы назначим. Нажмите Review + Create и дождитесь завершения процесса подготовки. Это так просто!

Нам потребуются дополнительные ресурсы, и мы начнем с создания учетной записи хранения для хранения сохраненных запросов. В области поиска найдите учетную запись хранения и создайте новую в той же группе ресурсов, которую мы недавно подготовили для рабочей области аналитики журналов.

Подготовка рабочей области аналитики журналов Azure к работе в прайм-тайм

Теперь, когда у нас созданы оба ресурса, наша первая конфигурация — связать учетную запись хранения для хранения всех сохраненных запросов. В рабочей области Log Analytics щелкните Связанная учетная запись хранения (элемент 1), затем щелкните Сохраненные запросы (элемент 2) и в новой колонке свяжите учетную запись хранения, созданную на предыдущем шаге (элемент 3, stg00devsecops00queries).

Мы можем проверять все действия в рабочей области аналитики журналов, и, поскольку это будет специфично для нашей команды DevSecOps, мы должны убедиться, что у нас настроен аудит, прежде чем мы начнем отправлять журналы.

В рабочей области аналитики журналов нажмите « Параметры диагностики », нажмите « Добавить параметр диагностики», выберите «Аудит» и выберите ту же рабочую область аналитики журналов. В этой серии статей мы используем az-diag-devsecops в качестве имени диагностического параметра во всех ресурсах для обеспечения согласованности.

Один из насущных вопросов при разработке и использовании аналитики журналов заключается в том, как долго мы будем хранить данные. При использовании оплаты по мере использования (которая включена по умолчанию) первый 31 день хранения включен в текущую цену, и вы можете увеличить ее в зависимости от ваших требований к безопасности.

Хотите увеличить время удержания? Это просто. Находясь в рабочей области аналитики журналов, нажмите «Использование и предполагаемые затраты» (элемент 1), нажмите «Хранение данных» (элемент 2), а затем укажите, как долго вы хотите хранить данные (элемент 3). Нажмите OK для подтверждения.

Вы можете воспользоваться ценами уровня обязательств, предлагаемыми Microsoft Azure. Можно получить скидку 30% в зависимости от плана и ежедневного сбора данных.

На той же главной странице у нас есть две полезные диаграммы, которые помогают понять текущее потребление рабочей области аналитики журналов. Первая диаграмма справа показывает ежедневное использование на диаграммах использования и разбивает объем на решение, предоставляющее данные. Вторая диаграмма — это сумма данных за последние 90 дней.

И последнее, но не менее важное: мы можем настроить дневной лимит, определив максимальный объем потребляемых ГБ в день. Хотя это хорошая функция для контроля затрат, она может оказаться бесполезной в производственной среде. Вы можете сохранить в других областях, чем в журналах.

Управление доступом

Аналитика журналов — это мощный инструмент, и теоретически в нем будут все диагностические настройки любой подписки. Разрешение на доступ к этим данным имеет решающее значение для вашей системы безопасности, и у нас есть два варианта: ресурс или рабочая область.

Режим рабочей области требует, чтобы у вас был доступ ко всем журналам ресурса рабочей области. В ресурсном режиме вы сможете просматривать журналы только тех таблиц, к которым у вас есть доступ, и мы будем использовать настраиваемые роли RBAC для охвата определенных таблиц пользователями или группами.

Чтобы настроить разрешения в нашей аналитике журнала, мы можем сначала проверить текущее настраиваемое разрешение, просмотрев режим управления доступом на странице «Обзор», как показано на изображении ниже.

Если мы хотим изменить его, мы можем перейти в «Свойства» и переключить аутентификацию, щелкнув «Режим управления доступом » e (для переключения достаточно щелкнуть эту ссылку).

Имейте в виду, что использование Table Azure RBAC требует создания настраиваемых ролей RBAC, чтобы быть эффективным.

При назначении встроенных ролей RBAC рабочей области аналитики журналов у нас есть две роли: участник аналитики журналов и читатель аналитики журналов. Они могут быть доступны при назначении разрешений, как показано на изображении ниже.

Ждите части 2 и 3

В этой начальной статье нашей серии были рассмотрены основные шаги по созданию рабочей области аналитики журналов с использованием портала Azure и дополнительных служб для поддержки инфраструктуры. Мы также рассмотрели некоторые важные функции, связанные с облачной безопасностью в рабочей области аналитики журналов Azure, включая аудит, краткий обзор того, как переключать разрешения для регистрируемых данных, дополнительные учетные записи хранения и разрешения RBAC.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023