14、保障 Azure Arc 服务器安全：从规则配置到 SQL 集成的全面指南

保障 Azure Arc 服务器安全：从规则配置到 SQL 集成的全面指南

1. 适用于 Azure Arc 服务器的 Microsoft Sentinel 分析规则

Microsoft Sentinel 拥有超过 120 个服务和云应用程序的内置连接器。选择启用哪些连接器取决于组织内安全数据的来源。与 Azure Arc 服务器特别相关的 Microsoft Sentinel 数据连接器包括：
- Microsoft Defender for Cloud
- DNS
- 安全事件
- Windows 防火墙

这些连接器同样适用于运行 Windows 和 Linux 并执行 IaaS 角色的 Azure VM。当监控 Azure VM 或 Azure Arc 服务器，或同时监控两者时，建议启用这些连接器。

1.1 启用安全事件数据连接器的提示

启用安全事件数据连接器时，建议从“常见事件”设置开始。“所有事件”设置可能成本较高，而“最少事件”设置无法提供完整的审计跟踪。

1.2 分析活动规则

以下是特别适用于 Azure Arc 服务器的 Microsoft Sentinel 分析警报规则：
- 所有 GALLIUM、IRIDIUM、ZINC、PHOSPHORUS、THALLIUM、CERIUM、STRONTIUM、BARIUM 和 NOBELIUM 规则
- 根据 Azure Defender 警报创建事件
- 检测到潜在的 DGA
- 观察到具有高反向 DNS 查找计数的罕见客户端
- Solorigate 网络信标
- TI 将电子邮件实体映射到安全警报
- TI 将 URL 实体映射到安全警报数据
- TI 将域名实体映射到安全警报

1.3 异常规则

异常规则必须先激活才能生成异常。激活异常规则后，检测到的异常将存储在 Microsoft Sentinel 工作区日志部分的“异常”表中。
- 每个异常规则都有一个训练期，在训练期结束后，异常才会出现在表中。可以在每个异常规则的描述中找到训练期（通常为 7 天或 14 天）。
- 一旦异常规则开始产生异常检测结果，你可以选择创建适合自己环境的警报规则。

特别适用于 Azure Arc 服务器的 Microsoft Sentinel 异常规则如下：
| 异常规则 | 描述 |
| — | — |
| 尝试对用户账户和计算机进行暴力破解 | 检测对用户账户和计算机的暴力破解尝试 |
| 用户账户和计算机的可疑登录量 | 识别用户账户和计算机的异常登录量 |
| 具有提升令牌的用户账户的可疑登录量 | 监测具有提升权限的用户账户的异常登录量 |
| 按登录类型划分的用户账户的可疑登录量 | 根据登录类型检测用户账户的异常登录情况 |
| 按登录类型划分的尝试对用户账户进行暴力破解 | 针对不同登录类型检测暴力破解尝试 |
| 具有提升令牌的计算机的可疑登录量 | 检测具有提升权限的计算机的异常登录量 |
| 检测机器生成的网络信标行为 | 识别机器产生的异常网络信标活动 |
| 异常网络流量异常 | 发现网络流量的异常情况 |
| 过度数据传输异常 | 检测数据传输量过大的异常现象 |
| 异常 Web 请求活动 | 识别 Web 请求的异常行为 |
| 按失败原因划分的尝试对用户账户进行暴力破解 | 根据失败原因检测暴力破解尝试 |

更多关于使用异常规则的信息，请参考： https://docs.microsoft.com/en-­us/azure/sentinel/work-­with-­anomaly-­rules

2. 准备和部署逻辑应用

作为 Microsoft Sentinel 的用户，你需要部署一个或多个作为 Azure 逻辑应用的剧本，以与 Microsoft Sentinel 事件进行交互。Azure 逻辑应用是 Microsoft Sentinel 中用于高级通知、自动化和事件工作流的唯一可用机制。

2.1 查找和部署剧本

随着时间的推移，每个生产 Microsoft Sentinel 环境都会收集和采用剧本，以提高安全团队的效率和效果。大多数环境从一个执行基本通知操作的单个剧本开始。随着事件处理需求和自动化机会的出现，会引入更多、更复杂的剧本。

幸运的是，在创建自定义逻辑应用集合时，可以利用丰富的社区资源。在这个 GitHub URL 上有数百个可供导入的剧本： https://github.com/Azure/Azure-­Sentinel/tree/master/Playbooks

2.2 示例剧本应用

以 Get - GeoFromIpAndTagIncident 剧本为例，该剧本可让向 Microsoft Sentinel 报告的 Azure Arc 服务器从中受益。这个剧本将从事件中提取 IP 地址实体，并查询 Geo - IP API 以定位该 IP 地址。它会将城市和国家信息写入事件的标签中。在调查事件时，这个剧本可以节省你对可能威胁的源 IP 进行地理查找的时间。

2.2.1 导入和编辑剧本

1. 将剧本导入到你的 Microsoft Sentinel 实例后，需要编辑剧本并为剧本任务提供必要的安全凭据，以便剧本有权限向 Microsoft Sentinel 事件添加标签。
2. 编辑“For each”任务（最低级任务）的设置如下：
   • 右键单击省略号“…”控件并点击“设置”。
   • 将“并发控制”设置为“开启”，并将“并行度”设置为 1。
   • 点击“完成”。
3. 保存剧本，即可针对现有事件运行。

2.2.2 使用 Get - GeoFromIpAndTagIncident 标记现有事件

1. 选择事件并点击“查看完整详细信息”按钮。
2. 点击“警报”选项卡，一直向左滚动以显示“查看剧本”链接，然后点击该链接。
3. 找到 Get - GeoFromIpAndTagIncident 剧本并点击“运行”按钮。

2.2.3 使用 Get - GeoFromIpAndTagIncident - Auto 自动标记未来事件

1. 在 Microsoft Sentinel ➤ 配置 ➤ 自动化 ➤ 剧本中，找到 Get - GeoFromIpAndTagIncident 剧本并点击打开逻辑应用。
2. 点击“克隆”按钮，将克隆的剧本命名为 Get - GeoFromIpAndTagIncident - Auto，然后点击“创建”。
3. 打开克隆的剧本 GeoFromIpAndTagIncident - Auto 并点击“编辑”按钮。
4. 删除顶级任务“当对 Azure Sentinel 警报的响应被触发时”（右键单击省略号“…”控件并选择“删除”）。
5. 在其位置添加触发器“当 Azure Sentinel 事件创建规则被触发时”作为顶级任务。
6. 将二级任务替换为新任务“获取事件”，并使用“事件 ARM ID：事件 ARM ID”。
7. 将三级任务替换为新任务“实体 - 获取 IP 地址”，并使用“实体列表：实体”。
8. 将最低级任务（For each）替换为新的 For each 2：
   • 选择上一步的输出：@body(‘Entities__Get_IPs’)?[‘IPs’]
   • 使用 URI http://ip-api.com/json/@{items('For_each_2')?['Address']} 将 HTTP GET 复制到 HTTP2 GET 步骤。
   • 使用内容 @{body('HTTP_2')} 将“解析 JSON”复制到“解析 JSON 2”步骤。同时将“解析 JSON”的架构复制并粘贴到“解析 JSON 2”。
   • 创建一个新的最低级步骤“更新事件”。
   • 事件 ARM ID：事件 ARM ID
   • 要添加的标签 - 1：@body(‘Parse_JSON_2’)?[‘city’]
   • 要添加的标签 - 2：@body(‘Parse_JSON_2’)?[‘country’]
9. 从逻辑应用画布中删除原始逻辑应用中剩余的任何步骤，然后点击“保存”。
10. 在 Microsoft Sentinel ➤ 配置 ➤ 自动化中，选择“创建” ➤ “添加新规则”。
11. 将自动化规则命名为“对包含 IP 地址的所有事件进行地理标记”。
12. 在“操作”中，选择“运行剧本”，选择剧本 Get - GeoFromIpAndTagIncident - Auto（只有具有“当 Azure Sentinel 事件创建规则被触发时”触发器的剧本才可供选择）。
13. 输入一个不是最高编号的订单号（此规则不应是最后运行的自动化规则），然后点击“应用”。

2.3 避免错误提示

Get - GeoFromIpAndTagIncident 剧本按配置运行，但当一个或多个 IP 地址位于私有 IP 范围（如 10.x 或 192.168.x）时会抛出错误。为避免错误消息，在“解析 JSON”（或“解析 JSON 2”）之后添加一个新的“条件”步骤。条件步骤如下： And @body('Parse_JSON')?['status'] or @body('Parse_JSON_2')?['status'] does not contain fail 。将最低任务（“向事件添加标签”或“更新事件”）移至“真”结果任务中，将“假”结果任务留空。

3. 工作簿和仪表板

与 Azure Monitor 一样，Microsoft Sentinel 利用 Azure 工作簿进行交互式可视化。对于 Azure Arc 服务器，有一些特定的工作簿模板值得保存到你的订阅中，并用于日常安全管理工作。
1. 在 Microsoft Sentinel 控制台的“威胁管理” ➤ “工作簿” ➤ “模板”中找到工作簿模板。
2. 选择你要开始使用的每个工作簿，然后点击“保存”按钮。
3. 保存的工作簿可在“威胁管理” ➤ “工作簿” ➤ “我的工作簿”中找到。
4. 点击“查看保存的工作簿”按钮使用保存的工作簿。

3.1 推荐的工作簿

数据连接器	推荐的工作簿
Microsoft Defender for Cloud	- 网络安全成熟度模型认证 (CMMC) - 零信任 (TIC 3.0)
DNS	- DNS - SolarWinds 后妥协狩猎
安全事件	- 身份与访问 - 不安全协议
Windows 防火墙	- Windows 防火墙

3.2 Windows 防火墙日志收集提示

即使组织的 Windows 服务器不使用 Windows 防火墙组件，也可以利用防火墙日志收集来获取高价值的安全指示。启用 Microsoft Sentinel 中的 Windows 防火墙数据连接器时，建议使用以下组策略对象 (GPO) 设置来启用防火墙日志记录：
- 大小限制 (KB)：1,024
- 记录丢弃和成功的连接：是

较小的大小限制（1 KB）很重要，因为日志只有在达到所选大小时才会上传到 Microsoft Sentinel。较小的日志大小可以更快速地将日志摄入到 Microsoft Sentinel 中。

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px

    A([开始]):::startend --> B(准备 Azure 订阅):::process
    B --> C(注册 Microsoft.AzureArcData 资源提供程序):::process
    C --> D{选择注册方式}:::decision
    D -->|Azure 门户| E(导航到资源提供程序并注册):::process
    D -->|Azure PowerShell| F(执行 PowerShell 命令注册):::process
    D -->|Azure CLI| G(使用 CLI 命令注册):::process
    E --> H(导航到 Azure Arc SQL 服务器并创建):::process
    F --> H
    G --> H
    H --> I(选择资源组、区域和 OS):::process
    I --> J(复制并保存脚本):::process
    J --> K(准备 SQL 服务器):::process
    K --> L(下载并安装 .NET Framework):::process
    L --> M(重启系统):::process
    M --> N(运行 PowerShell 命令):::process
    N --> O(运行脚本):::process
    O --> P(完成注册):::process
    P --> Q([结束]):::startend

以上流程图展示了将 SQL 服务器连接到 Azure Arc 的主要步骤，涵盖了从准备订阅、注册资源提供程序，到最终完成 SQL 服务器注册的整个过程。

4. Azure Arc SQL Server 概述

4.1 与 Azure SQL 虚拟机的对比

Microsoft 的 Azure Arc 愿景在添加多种 Azure Arc 资源类型到 Azure 订阅时得以体现。Azure Arc 服务器在功能上等同于 Azure VM，而本地 SQL Server 就像运行 SQL Server 的 Azure IaaS VM。Azure Arc SQL Server 朝着实现 Azure SQL 虚拟机和本地 SQL Server 管理一致性迈出了一步。

Azure SQL 虚拟机是基于 Windows Server 和 SQL Server IaaS 供应的高级 Microsoft Azure 服务，其主要特点是拥有资源类型 Microsoft.SqlVirtualMachine/sqlVirtualMachines ，可通过 Azure 门户或其他支持的 Azure 管理工具管理 SQL Server 应用程序。Azure 通过安装在所有 Azure VM 上的 Windows Azure Guest Agent 中的 Microsoft.SqlServer.Management.SqlIaaSAgent VM 扩展与 SQL 应用程序通信。

4.2 Azure Arc SQL Server 特点

Azure Arc 启用的 SQL Server 允许从 Azure 门户或其他支持的 Azure 管理工具管理 SQL Server 应用程序，即使 IaaS VM 或物理 SQL Server 运行在本地数据中心。其资源类型为 Microsoft.AzureArcData/sqlServerInstances ，首个版本使用 CustomScriptExtension VM 扩展在 SQL Server 的操作系统中运行脚本。每个 Azure Arc 服务器上运行的 Guest Configuration Extension 服务，在安装、修改和删除 VM 扩展方面与 Windows Azure Guest Agent 功能相同。

4.3 SQL Server 评估重点

Azure VM 和 Azure Arc 服务器都需要统一的操作系统管理和安全，Azure 和非 Azure SQL Server 也需要相同的应用程序和数据库配置评估。Microsoft 选择 SQL Server 管理的按需评估方面作为 Azure Arc SQL Server 计划的开端。如果按照相关建议部署了 Microsoft Defender for Cloud 服务器工作负载保护，将 Azure Arc SQL Server 的工作负载保护添加到安全计划中是自然的演进。对所有类型和位置的 SQL 资源进行统一评估，将显著提高组织的数据库就绪性和安全性。

4.4 Azure Arc SQL Server 与 Azure Arc 服务器的关系

非 Azure 服务器加入 Azure Arc 服务器后，如果也运行 SQL Server，可选择加入 Azure Arc SQL Server，这样会创建两个 Azure Arc 资源：一个代表服务器本身，另一个代表 SQL Server 应用程序，这与 Azure SQL VM 的处理方式相同。

5. 连接 SQL 服务器到 Azure Arc

5.1 准备 Azure 订阅

注册 Microsoft.AzureArcData 资源提供程序，可通过以下三种方法：
- Azure 门户 ：
1. 在 Azure 门户中导航到“主页” ➤ “订阅” ➤ “设置” ➤ “资源提供程序”。
2. 搜索 Microsoft.AzureArcData 并选择“注册”。
- Azure PowerShell ：

Login-AzAccount
Set-AzContext -SubscriptionId <SubscriptionId>
Register-AzResourceProvider -ProviderNamespace Microsoft.AzureArcData

• Azure CLI ：

az account set --subscription "{Your Subscription Name}"
az provider register --namespace Microsoft.AzureArcData

5.2 创建 Azure Arc SQL 服务器

1. 在 Azure 门户中导航到“主页” ➤ “Azure Arc” ➤ “SQL 服务器”并点击“创建”。首次创建 Azure Arc SQL 服务器的加入脚本时，在生成脚本的第四页顶部有一个确认提示，需点击“接受”激活 Azure Arc SQL Server。
2. 选择要加入的 Azure Arc SQL 服务器的资源组、区域和操作系统，点击“下一步”并运行脚本。
3. 将脚本复制到剪贴板，并将内容保存为 OnboardAzureArcSqlServerScript.ps1 到要加入的 SQL 服务器上。

5.3 准备 SQL 服务器

1. SQL Server 需要 .NET Framework 4.7.2 或更高版本才能运行 Az PowerShell cmdlets：
   • 从链接 https://go.microsoft.com/fwlink/?linkid=2088631 下载 .NET Framework 4.8。
   • 重启系统。
2. 在提升权限的会话中运行以下 PowerShell 命令，然后重启 PowerShell 会话：

Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force
Install-Module -Name Az -AllowClobber -Force
Import-Module -Name Az.Accounts

5.4 运行脚本

在提升权限的 PowerShell 会话中运行 OnboardAzureArcSqlServerScript.ps1 脚本：
1. 脚本会检查环境与 Azure 及指定机器的连接性。
2. 如果主机机器尚未加入，会部署 Azure Connected Machine 代理将其加入为 Azure Arc 服务器。
3. 启动 SQL Server 实例发现。
4. 将目标机器上的 SQL Server 实例添加到 Azure。

脚本成功完成后，会显示消息： SQL Server - Azure Arc resource: <servername> created 。注册 SQL Server 实例到 Azure Arc 启用的 SQL Server 后，可在 Azure 门户中查看新创建的 Azure Arc 资源，包括新的机器（每个连接的机器对应一个 Azure Arc 资源）和新的 SQL 服务器（每个注册的 SQL Server 实例对应一个 Azure Arc 资源）。此时，可修改 Azure Arc 服务器和/或 Azure Arc SQL Server 对象的标签，以符合组织现有的标签管理方案。

5.5 流程总结

以下是连接 SQL 服务器到 Azure Arc 的步骤总结：
| 步骤 | 操作 |
| — | — |
| 1 | 准备 Azure 订阅，注册 Microsoft.AzureArcData 资源提供程序 |
| 2 | 在 Azure 门户创建 Azure Arc SQL 服务器，选择相关设置并运行脚本 |
| 3 | 保存脚本到 SQL 服务器 |
| 4 | 准备 SQL 服务器，安装 .NET Framework 并运行 PowerShell 命令 |
| 5 | 运行脚本完成注册 |

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px

    A([开始]):::startend --> B(注册资源提供程序):::process
    B --> C(创建 Azure Arc SQL 服务器):::process
    C --> D(保存脚本):::process
    D --> E(准备 SQL 服务器):::process
    E --> F(运行脚本):::process
    F --> G(完成注册):::process
    G --> H([结束]):::startend

这个流程图简洁地展示了连接 SQL 服务器到 Azure Arc 的主要步骤，从注册资源提供程序开始，到最终完成注册结束。通过上述步骤和工具，用户可以有效地管理 Azure Arc 服务器和 SQL Server，提升安全防护和管理效率。