Azure Security Center (ASC) is een centrale spil in Azure. Security Center geeft namelijk een duidelijk overzicht van alle workloads die in Azure, on-premises en/of in andere cloudnetwerken draaien. Daarnaast geeft ASC je de algehele controle over hybride cloud workloads. Met een serie blogs, schetst John een compleet beeld van Azure Security Center en geeft hij tevens een overzicht van alle mogelijkheden die ASC biedt.
5 hoofdthema’s
1. Algemeen
1.1 Overzicht (Overview)
Het tabblad ‘Overzicht’ is een dashboard met blokken (tiles) en geeft informatie over de andere tabbladen in Azure Security Center (Preventie, Detectie, Geavanceerde Cloud Defensie). In het overzicht kun je op een van de blokken klikken voor meer details over dat onderdeel van ASC, om vervolgens naar het betreffende tabblad te gaan. Bovenaan het overzichtsblad vind je een knop om heen en weer te schakelen tussen de verschillende abonnementen. Een tweede knop schakelt Microsoft Azure Log Integration in en maakt de integratie van Azure logs in Security Information & Event Management (SIEM)-systemen mogelijk. Deze logs bestaan uit Azure Active Directory Audits, VM-logboeken, Azure Activity Logs, Azure Security Center Alerts en de vele logs van Azure Resource Provider.
1.2 Veiligheidsbeleid (Security Policy)
Het tabblad ‘Veiligheidsbeleid’ geeft je de mogelijkheid om beleidscomponenten per abonnement in te stellen. Wanneer je op een van je abonnement klikt, verschijnen de opties voor de verschillende componenten.
Datacollectie
Op het sub-tabblad ‘Datacollectie’ kun je de automatische verzameling van data uitschakelen. De automatische datacollectie en -voorziening, ook wel ‘data provisioning’ genoemd, staat standaard ingeschakeld en belevert de Microsoft Monitoring Agent, zowel op alle reeds ondersteunde Azure VM’s als ook op alle nieuwe VM’s die zijn aangemaakt. Automatische datacollectie wordt sterk aanbevolen en is ook vereist voor de abonnementen die zich in de Standaard Laag van Security Center bevinden. Als je de automatische datacollectie uitschakelt ná installatie van de Microsoft Monitoring Agent, wordt deze niet verwijderd.
Het uitschakelen van de automatische dataverzameling kan zinvol zijn als het volgende van toepassing is:
- De automatische agent-installatie door Security Center geldt voor je gehele abonnement. Je kunt dan geen automatische installatie toepassen op een deelverzameling van de VM’s. Als er kritische VM’s zijn die níét van de Microsoft Monitoring Agent mogen worden voorzien, moet je de automatische datavoorziening uitschakelen.
- Installatie van de Microsoft Monitoring Agent zorgt voor een automatische update van de aanwezige agent-versie. Dit geldt zowel voor een directe agent als ook voor een SCOM-agent. Als de geïnstalleerde SCOM-agent een versie 2012 is die nu ge-upgrade wordt, kunnen bepaalde beheeropties verloren gaan indien de SCOM-server zelf óók versie 2012 is. Ook in dit geval is uitschakeling van automatische datavoorziening noodzakelijk.
- Als je een aangepaste (gecentraliseerde) werkruimte buiten het abonnement hebt, zul je er eveneens voor moeten kiezen om de automatische datacollectie uit te zetten. Je kunt dan de extensie van de Microsoft Monitoring Agent handmatig installeren en met je werkruimte verbinden, zonder dat Security Center de verbinding overschrijft.
- Als je de automatische creatie van meerdere werkruimtes per abonnement wilt vermijden en zelf een aangepaste werkruimte binnen het abonnement hebt, zijn er twee opties:
- Je kunt je afmelden voor automatische datacollectie. Stel na de migratie de standaardinstellingen voor de werkruimte (default workspace) in zoals beschreven in dit artikel, of:
- Je kunt instemmen met de voltooiing van de migratie, de installatie van Microsoft Monitoring Agent op de VM’s en de aansluiting van de VM’s op de gecreëerde werkruimte. Selecteer vervolgens je eigen aangepaste werkruimte door de standaard werkruimte in te stellen mét de uitdrukkelijke, bevestigende toestemming (opt-in) om reeds geïnstalleerde agenten opnieuw te configureren.
Wat gebeurt er als een SCOM of OMS direct agent al geïnstalleerd is op mijn VM?
Security Center kan niet van tevoren vaststellen of een agent reeds geïnstalleerd is en zal daarom proberen om de extensie van Microsoft Monitoring Agent te installeren. En dat mislukt, vanwege de reeds bestaande, geïnstalleerde agent. Door de mislukte installatie wordt verhinderd dat de verbindingsinstellingen van de agent met de werkruimte worden overschreven; dit om ‘multi-homing’ te voorkomen.
Standaard configuratie van de werkruimte
Zoals al eerder vermeld, gebruikt Azure Security Center een Log Analytics werkruimte, waar alle verzamelde data worden opgeslagen. In de standaard configuratie van deze werkruimte zijn er twee opties:
- Gebruik van de werkruimte(s) die per default wordt (worden) aangemaakt door ASC (standaardinstelling).
Als er nog geen werkruimte voorhanden is, creëert ASC een nieuwe brongroep (resource group) en een standaard werkruimte in de betreffende geolocatie. Vervolgens verbindt ASC de agent met die werkruimte. De conventionele naamgeving voor werkruimte en brongroep is:
- DefaultWorkspace-[abonnements-ID]-[geo] (voor de werkruimte)
- DefaultResouceGroup-[geo] (voor de brongroep
- Gebruik van een andere werkruimte
In dit geval kies je zelf de Log Analytics werkruimte die door Security Center gebruikt moet worden. Als je een andere, niet standaard werkruimte kiest, worden alle andere oplossingen die binnen de geselecteerde werkruimte zijn ingeschakeld, toegepast op de Azure VM’s die erop zijn aangesloten. Voor betaalde oplossingen brengt dit mogelijk extra kosten met zich mee.
Als je zelf de naamgeving van werkruimtes en brongroepen wilt beheren, moet je de optie ‘andere werkruimte gebruiken’ (‘Use another workspace’) kiezen en handmatig de Log Analytics Workspace aanmaken.
Veiligheidsbeleid
Met het sub-tabblad ‘Veiligheidsbeleid’ (Security Policy) kun je verschillende aanbevelingen in- of uitschakelen. Voor de optie Just-In-Time (JIT) Network Access is een upgrade naar de Standaard Laag noodzakelijk.
E-mailnotificaties
In het sub-tabblad ‘E-mailnotificaties’ kun je de contactgegevens (mailadres, telefoonnummer) voor veiligheidscontacten invoeren. Meervoudige e-mailadressen worden door een komma gescheiden, bij telefoonnummers is de landencode noodzakelijk. Er zijn tevens twee opties voor e-mails met betrekking tot veiligheidswaarschuwingen worden verzonden. (Beide opties in preview).
Kosten
Voor toevoeging van lokale (on-premises) of cloud-computers in ASC is in ieder geval de Standaard Laag noodzakelijk. Indien je de datacollectie voor een bepaald abonnement inschakelt, wordt de gratis basislaag automatisch geactiveerd. Een van de aanbevelingen die Security Center je echter zal geven, is dat je moet upgraden naar de Standaard Laag. In deze aanbeveling krijg je een duidelijk beeld van de kosten voor die upgrade.
Op dit moment zijn die kosten $15 per maand per knooppunt (node). Daarbij zijn de eerste 60 dagen gratis. Microsoft ziet een knooppunt als iedere andere Azure-bron die door de service wordt gemonitord. Momenteel telt elke virtuele machine en ook elke SQL Database server (dat is een logische server die meerdere SQL-databases en/of SQL Data Warehouse-databases kan bevatten) als één knooppunt.
Wat is nu het verschil tussen de gratis basislaag en de Standaard Laag? De gratis laag bevat de volgende functies:
- Beveiligingsbeoordeling (Security Assessment)
- Veiligheidsaanbevelingen
- Basis veiligheidsbeleid
- Aangesloten partneroplossingen
De Standaard Laag biedt alle functies van de gratis laag, en daarnaast de volgende extra functies:
- Just-in-time VM-toegang
- Detectie van netwerkbedreigingen
- VM-detectie van bedreigingen
1.3 Quikstart
Dit is de landingspagina van waaruit je naar de verschillende Microsoft documentaties kunt gaan.
1.4 Events
Het tabblad ‘Events’ geeft je een overzicht van de meest recente gebeurtenissen in het beveiligingssysteem. Ook hiervoor is de Standaard Laag is noodzakelijk. Met de filterknop kan het tijdsbestek aangepast worden (maximaal 7 dagen). Met de knop “Opmerkelijke events toevoegen” (Add notable events) kun je een gebeurtenis aanmaken behulp van een zoekopdracht in Log Analytics.
De volgende gebeurtenissen worden standaard weergegeven:
- Opmerkelijke gebeurtenissen (bijvoorbeeld: mislukte inlogpogingen van accounts, computers waarop kritische updates ontbreken, etc.)
- Alle gebeurtenissen gesorteerd op type
1.5 Upgraden naar geavanceerde beveiliging
Op dit tabblad kun je de abonnementen en Log Analytics werkruimtes upgraden naar de Standaard Laag.
1.6 Zoeken
Via het blad ‘Zoeken’ kun je een Log Analytics werkruimte selecteren voor een specifieke Log-zoekopdracht.
2. Preventie
2.1 Aanbevelingen (Recommendations)
Door de aanbevelingen van ASC omtrent de werkomgeving krijgen cloud admins een duidelijk beeld van de veiligheidsstatus van hun databronnen. Een van de aangename opties van Security Center is dat beveiligingsstatusinformatie gegeven kan worden over meerdere abonnementen. Security Center heeft daarvoor een Log Analytics werkruimte per abonnement nodig. De bronnen binnen dat abonnement moeten dan aangesloten zijn op die werkruimte om de status in Security Center weer te kunnen geven.
In het navolgende, tweede deel van deze blog zal ik alle aanbevelingen en verbeteringsvoorstellen behandelen en vervolgens beschrijven hoe ze opgelost kunnen worden.
2.2 Veiligheidsoplossingen (Security Solutions)
Het tabblad ‘Veiligheidsoplossingen’ geeft je de mogelijkheid om verschillende beveiligingsoplossingen direct te integreren in ASC. Security Center maakt de implementatie van die geïntegreerde beveiligingsoplossingen in Azure namelijk erg eenvoudig. Met de integratie van anti-malware kun je bijvoorbeeld de benodigde agent op de VM’s inzetten. Ook bieden de oplossingen je het voordeel van integrale detectie in combinatie met uniforme monitoring. Het beheer van je systeemgezondheid wordt in één oplossing, ASC, verenigd.
Op dit moment omvatten voornoemde geïntegreerde beveiligingsoplossingen onder meer:
- Eindpuntprotectie (Trend Micro, Symantec, Windows Defender en System Center Endpoint Protection (SCEP))
- Web applicatie firewall (Barracuda, F5, Imperva, Fortinet en Azure Application Gateway)
- Next-generation firewall (Check Point, Barracuda, Fortinet en Cisco)
- Kwetsbaarheidsbeoordeling (Qualys)
2.3 Compute
Het tabblad ‘Compute’ geeft een overzicht van alle aanbevelingen voor de VM’s, netwerkcomputers en cloud-diensten. Via dit blad kun je ook niet-Azure machines aansluiten, mits de Standaard Laag ingeschakeld is. Wanneer je op de knop “Computers toevoegen” klikt, vraagt het beveiligingscentrum om een werkruimte voor Log Analytics.
Overzicht
Dit sub-tabblad toont de navolgende Compute-tabbladen (VM’s en computers, cloud-diensten). Hier vind je onder andere de aanbevelingen voor monitoring. Als je op een van de aanbevelingen klikt, brengt Security Center je naar dat betreffende tabblad.
VMs en computers
Het sub-tabblad ‘VM’s en Computers’ geeft logischerwijs de status weer van de VM’s en computers die aangesloten zijn op een Log Analytics werkruimte.
Platforms die door Azure Security Center worden ondersteund, zijn:
Windows-platformen
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
Linux VM-platformen
- Ubuntu versies 12.04, 14.04, 16.04, 16.10
- Debian versies 7, 8
- CentOS versies 6.*, 7.*
- Red Hat Enterprise Linux (RHEL) versies 6.*, 7.*
- SUSE Linux Enterprise Server (SLES) versies 11 SP4+, 12.*
- Oracle Linux versies 6.*, 7.*
Cloud-diensten
Ook VM’s die binnen een cloud-dienst actief zijn, worden in Security Center ondersteund. Echter: alleen de cloud-diensten ‘web’ en ‘uitvoerende rollen op productieplekken’ worden gemonitord.
2.4 Netwerken
Het blad ‘Netwerken’ voorziet je van aanbevelingen en verbeteringsvoorstellen voor de netwerken binnen je abonnementen. Bovenaan staat een overzicht van de netwerkaanbevelingen, zoals bijvoorbeeld:
- ‘Next Gen FireWall (NGFW) niet geïnstalleerd’
- ‘Netwerkbeveiligingsgroepen (NSG’ s) op subnets niet vrijgegeven’
- ‘Netwerkbeveiligingsgroepen (NSG’ s) op VM’s niet actief’
- ‘Beperk de toegang via direct met het internet verbonden eindpunten’
In het middelste gedeelte van het blad zie je een lijst van eindpunten die direct met het internet verbonden zijn, alsmede de aan die eindpunten verbonden databronnen.
Onderaan staat als laatste de netwerktopologie. Daar kun je zien welke VM op welk subnet aangesloten is, en welk subnet met welk VNET verbonden is.
2.5 Opslag & data
Op dit blad staan de SQL-aanbevelingen, samen met de opslag-accounts, en natuurlijk ook de verbeteringsvoorstellen die specifiek op deze accounts van toepassing zijn.
2.6 Applicaties
Het tabblad ‘Applicaties’ toont de eindpunten met inkomende webpoorten (80, 443) en tevens de aanbevelingen voor die inkomende webpoorten, zoals bijvoorbeeld:
‘Web Application Firewall (WAF) niet geïnstalleerd’.
Momenteel worden de volgende WAF’s ondersteund:
- Barracuda Networks, Inc.;
- F5 Networks;
- Fortinet;
- Imperva Inc.;
- Microsoft Application Gateway.
2.7 Identiteit & Toegang
Het tabblad ‘identiteit en Toegang’ toont, nadat je een Log Analytics werkruimte hebt gekozen, een overzicht van verschillende onderwerpen met betrekking tot alle identiteits- en toegangsactiviteiten, namelijk:
- Identiteitsgedrag
- Log-ins
- Ingelogde accounts
- Foutief aangemelde en dus niet ingelogde accounts
- Geblokkeerde accounts
- Accounts met een gewijzigd of gereset wachtwoord
- Actieve kritische, opmerkelijke issues
- Actieve waarschuwingen m.b.t. opmerkelijke issues
- Mislukte log-ins
- Redenen voor mislukte inlog
- Overzicht van de accounts
- Log-ins gedurende bepaalde tijd
- Overzicht van tijdstippen van mislukte login-pogingen
- Met login-poging benaderde computers
Dit is alleen beschikbaar in de Standaard Laag.
3. Detectie
De detectie van netwerkbedreigingen functioneert op basis van het automatisch verzamelen van beveiligingsinformatie vanuit alle Azure-bronnen, het netwerk en de oplossingen van verbonden partners. De detectie analyseert deze informatie, waarbij vaak gegevens uit meerdere bronnen worden gecorreleerd om bedreigingen betrouwbaar te kunnen identificeren. Beveiligingswaarschuwingen krijgen prioriteit in het Security Center, samen met aanbevelingen om de dreiging te verhelpen.
3.1 Veiligheidswaarschuwingen
Het eerste tabblad van de Azure Security Detectie geeft een overzicht van alle aanvallen die er zijn geweest, de beschrijving van de aanval, wanneer de aanval plaatsvond, op welke omgeving (Azure/on-premises), de ernst en de huidige toestand. Als je op een van de aanvallen klikt, krijg je meer informatie met betrekking tot de aangevallen bronnen, maar ook over de locatie van waaruit de aanval heeft plaatsgevonden.
3.2 Aangepaste waarschuwingsregels (Preview)
Met aangepaste waarschuwingsregels kun je nieuwe veiligheidswaarschuwingen (security alerts) definiëren, op basis van de gegevens die al vanuit de omgeving zijn verzameld. Je kunt elk zoekresultaat omzetten in een waarschuwingsregel om zo aangepast of opmerkelijk gedrag te kunnen detecteren. Middels zoekopdrachten check je beveiligingsgebeurtenissen van computers, security logbestanden van partners en bijvoorbeeld gegevens die via API’s binnenkomen.
3.3 Threat Intelligence
Met het tabblad ‘Threat Intelligence’ (dreigingsintelligentie) identificeer je de bedreigingen in je netwerkomgeving. Zo kun je bijvoorbeeld snel zien of een bepaalde computer deel uitmaakt van een botnet. Computers kunnen knooppunten worden in een botnet wanneer aanvallers malware weten te installeren die de computer heimelijk verbindt met het commando en de systeembesturing. Threat Intelligence kan ook potentiële bedreigingen identificeren die afkomstig zijn van ondergrondse communicatiekanalen, zoals het Dark Web. Ook deze functie is alleen beschikbaar in de Standaard Laag.
4. Geavanceerde cloud defensie
4.1 Adaptief applicatiebeheer (Preview)
Met het adaptieve applicatiebeheer controleer en beheer je welke applicaties op je VM’s in Azure draaien. Dit helpt je om VM’s tegen malware te beschermen. Security Center maakt gebruik van machinaal leren, om zo de processen in de VM beter te analyseren. Deze intelligentie zorgt er ook voor dat je standaard regels voor ‘whitelisting’ toe kunt passen.
Deze optie vereenvoudigt het proces van het configureren en onderhouden van applicatie-whitelists aanzienlijk. Daardoor wordt bijvoorbeeld het volgende mogelijk:
- Blokkering van of waarschuwing voor pogingen om kwaadaardige applicaties uit te voeren, inclusief die toepassingen, die anders door anti-malware-oplossingen zouden kunnen worden gemist;
- Het te allen tijde voldoen aan het organisatorische beveiligingsbeleid, dat het uitsluitende gebruik van gelicentieerde software voorschrijft;
- Vermijding van het gebruik van ongewenste software in je omgeving;
- Vermijding van het uitvoeren van oude en niet ondersteunde apps;
- Preventie van de inzet van specifieke softwaretools die niet zijn toegestaan in je organisatie;
- Het in staat stellen van je IT om de toegang tot gevoelige gegevens via apps te controleren.
4.2 Just-in-time VM-toegang (preview)
Met just-in-time toegang tot virtuele machines kun je inkomend verkeer naar je Azure VM’s blokkeren, waardoor je minder last hebt van aanvallen én tegelijkertijd gemakkelijk toegang krijgt tot VM’s, indien nodig. Deze functie is alleen beschikbaar in de Standaard Laag
5. Automatisering & Orkestratie
5.1 Draaiboeken (Preview)
Het Security Draaiboek (ook wel ‘Playbook’ genoemd) is een verzameling procedures, die direct vanuit ASC kunnen worden uitgevoerd zodra een bepaald draaiboek door een waarschuwing wordt geactiveerd. Draaiboeken ondersteunen je bij het automatiseren en orkestreren van de reactie op een specifieke veiligheidswaarschuwing vanuit Security Center.
Security Draaiboeken zijn gebaseerd op Azure Logic Apps. Dat betekent dat je de templates kunt inzetten die in de beveiligingscategorie van ‘Logic Apps Templates’ voorhanden zijn. Deze templates kun je aan je behoeften aanpassen. Ook kun je met behulp van de Azure Logic Apps workflow nieuwe draaiboeken aanmaken. Security Center zorgt vervolgens voor de activatie van je draaiboeken.
Benieuwd naar de aanbevelingen van het gebruik van Azure Security Center? Binnenkort verschijnt blog part 2.