Повышение безопасности Azure с помощью языка запросов Kusto: аналитика журналов

Разработка системы безопасности вашего нового облачного приложения/службы, которую вы предоставляете своим внутренним или внешним пользователям, и применение безопасности с самого начала проектирования — отличная идея. Однако одна вещь, которая может быть не менее важной, — это возможность регистрировать действия этих ресурсов и выполнять их последующий поиск. Возможность следить за действиями ваших ресурсов поможет вам повысить уровень безопасности, понять, что происходит за кулисами во время обычных операций, и многое другое. В этой первой статье из нашей серии, посвященной повышению безопасности Azure с помощью языка запросов Kusto (KQL), будут описаны шаги, необходимые для создания и защиты аналитики журналов.
Создание аналитики журнала
В этом разделе мы сосредоточимся на создании рабочей области аналитики журналов с помощью портала Azure. Однако мы рассмотрим создание всей дополнительной инфраструктуры с использованием шаблонов PowerShell и Azure ARM.
Вы можете задаться вопросом о навязчивых вопросах дизайна о планировании того, сколько аналитики журналов требуется и где их следует разместить, верно? Мы обсудим некоторые возможные сценарии, перечислив преимущества и недостатки каждого сценария. Следите за обновлениями!
Создание аналитики журнала — одна из самых простых задач, которую можно выполнить с помощью портала Azure, PowerShell, Azure CLI и шаблонов ARM. Найдите рабочую область аналитики журналов в строке поиска и в новой колонке щелкните Создать.
В нашей серии статей мы будем использовать LogAnalytics-Sandbox-DevSecOps. На странице Создать рабочую область аналитики журнала. Определите подписку, группу ресурсов, регион и имя, которое мы назначим. Нажмите Review + Create и дождитесь завершения процесса подготовки. Это так просто!
Нам потребуются дополнительные ресурсы, и мы начнем с создания учетной записи хранения для хранения сохраненных запросов. В области поиска найдите учетную запись хранения и создайте новую в той же группе ресурсов, которую мы недавно подготовили для рабочей области аналитики журналов.
Подготовка рабочей области аналитики журналов Azure к работе в прайм-тайм
Теперь, когда у нас созданы оба ресурса, наша первая конфигурация — связать учетную запись хранения для хранения всех сохраненных запросов. В рабочей области Log Analytics щелкните Связанная учетная запись хранения (элемент 1), затем щелкните Сохраненные запросы (элемент 2) и в новой колонке свяжите учетную запись хранения, созданную на предыдущем шаге (элемент 3, stg00devsecops00queries).
Мы можем проверять все действия в рабочей области аналитики журналов, и, поскольку это будет специфично для нашей команды DevSecOps, мы должны убедиться, что у нас настроен аудит, прежде чем мы начнем отправлять журналы.
В рабочей области аналитики журналов нажмите « Параметры диагностики », нажмите « Добавить параметр диагностики», выберите «Аудит» и выберите ту же рабочую область аналитики журналов. В этой серии статей мы используем az-diag-devsecops в качестве имени диагностического параметра во всех ресурсах для обеспечения согласованности.
Один из насущных вопросов при разработке и использовании аналитики журналов заключается в том, как долго мы будем хранить данные. При использовании оплаты по мере использования (которая включена по умолчанию) первый 31 день хранения включен в текущую цену, и вы можете увеличить ее в зависимости от ваших требований к безопасности.
Хотите увеличить время удержания? Это просто. Находясь в рабочей области аналитики журналов, нажмите «Использование и предполагаемые затраты» (элемент 1), нажмите «Хранение данных» (элемент 2), а затем укажите, как долго вы хотите хранить данные (элемент 3). Нажмите OK для подтверждения.
Вы можете воспользоваться ценами уровня обязательств, предлагаемыми Microsoft Azure. Можно получить скидку 30% в зависимости от плана и ежедневного сбора данных.
На той же главной странице у нас есть две полезные диаграммы, которые помогают понять текущее потребление рабочей области аналитики журналов. Первая диаграмма справа показывает ежедневное использование на диаграммах использования и разбивает объем на решение, предоставляющее данные. Вторая диаграмма — это сумма данных за последние 90 дней.
И последнее, но не менее важное: мы можем настроить дневной лимит, определив максимальный объем потребляемых ГБ в день. Хотя это хорошая функция для контроля затрат, она может оказаться бесполезной в производственной среде. Вы можете сохранить в других областях, чем в журналах.
Управление доступом
Аналитика журналов — это мощный инструмент, и теоретически в нем будут все диагностические настройки любой подписки. Разрешение на доступ к этим данным имеет решающее значение для вашей системы безопасности, и у нас есть два варианта: ресурс или рабочая область.
Режим рабочей области требует, чтобы у вас был доступ ко всем журналам ресурса рабочей области. В ресурсном режиме вы сможете просматривать журналы только тех таблиц, к которым у вас есть доступ, и мы будем использовать настраиваемые роли RBAC для охвата определенных таблиц пользователями или группами.
Чтобы настроить разрешения в нашей аналитике журнала, мы можем сначала проверить текущее настраиваемое разрешение, просмотрев режим управления доступом на странице «Обзор», как показано на изображении ниже.
Если мы хотим изменить его, мы можем перейти в «Свойства» и переключить аутентификацию, щелкнув «Режим управления доступом » e (для переключения достаточно щелкнуть эту ссылку).
Имейте в виду, что использование Table Azure RBAC требует создания настраиваемых ролей RBAC, чтобы быть эффективным.
При назначении встроенных ролей RBAC рабочей области аналитики журналов у нас есть две роли: участник аналитики журналов и читатель аналитики журналов. Они могут быть доступны при назначении разрешений, как показано на изображении ниже.
Ждите части 2 и 3
В этой начальной статье нашей серии были рассмотрены основные шаги по созданию рабочей области аналитики журналов с использованием портала Azure и дополнительных служб для поддержки инфраструктуры. Мы также рассмотрели некоторые важные функции, связанные с облачной безопасностью в рабочей области аналитики журналов Azure, включая аудит, краткий обзор того, как переключать разрешения для регистрируемых данных, дополнительные учетные записи хранения и разрешения RBAC.