« GCP CSPM 快速入门 发现页面 »
Elastic 文档 Elastic 安全解决方案 [8.16] 云原生安全 云安全态势管理

Azure CSPM 快速入门

编辑

Azure CSPM 快速入门

编辑

概述

编辑

本页介绍如何使用云安全态势管理 (CSPM) 功能开始监控云资产的安全态势。

需求

  • 所有 Elastic Cloud 用户都可以使用 CSPM 集成。本地部署需要企业订阅
  • CSPM 仅在Default Kibana 空间中工作。在其他 Kibana 空间中安装 CSPM 集成将无法正常工作。
  • CSPM 仅支持 AWS、GCP 和 Azure 商业云平台以及 AWS GovCloud。不支持其他政府云平台。点击此处请求支持

  • 以下 Elasticsearch 索引的Read权限

    • logs-cloud_security_posture.findings_latest-*
    • logs-cloud_security_posture.scores-*

  • 以下 Kibana 权限

    • 安全:Read
    • 集成:Read
    • 已保存对象管理:Read
    • Fleet:All
  • 在 Azure 中授予 CSPM 集成权限的用户必须是 Azure 订阅管理员

设置 Azure CSPM

编辑

您可以通过注册包含多个订阅的 Azure 组织(管理组)或注册单个订阅来设置 Azure CSPM。无论哪种方式,首先添加 CSPM 集成,然后启用云帐户访问。有两种部署技术可用:无代理和基于代理。无代理部署 允许您收集云态势数据,而无需管理在您的云中部署代理。基于代理的部署 需要您在要监控的云帐户中部署和管理代理。

无代理部署

编辑

此功能处于测试阶段,可能会发生变化。其设计和代码不如正式 GA 功能成熟,按原样提供,不提供任何保证。测试版功能不受正式 GA 功能支持 SLA 的约束。

  1. 在导航菜单中查找集成,或使用全局搜索字段
  2. 搜索CSPM,然后点击结果。
  3. 点击添加云安全态势管理 (CSPM)
  4. 选择Azure,然后选择Azure 组织以加入整个组织,或选择单个订阅以加入单个订阅。
  5. 为您的集成命名,使其与您要监控的 Azure 订阅/组织的目的或团队相匹配,例如dev-azure-account
  6. 点击高级选项,然后选择无代理 (测试版)
  7. 接下来,您需要通过提供客户端 ID租户 ID客户端密钥来验证 Azure 身份。要了解如何生成它们,请参阅具有客户端密钥的服务主体
  8. 提供必要的凭据后,点击保存并继续以完成部署。您的数据应该在几分钟内开始显示。

基于代理的部署

编辑
添加您的 CSPM 集成
编辑
  1. 在导航菜单中查找集成,或使用全局搜索字段
  2. 搜索CSPM,然后点击结果。
  3. 点击添加云安全态势管理 (CSPM)
  4. 配置集成下,选择Azure,然后选择Azure 组织单个订阅,具体取决于您要监控的资源。
  5. 为您的集成命名,使其与您要监控的 Azure 资源的目的或团队相匹配,例如azure-CSPM-dev-1
设置云帐户访问
编辑

要为 Azure 组织或订阅设置 CSPM,您需要该组织或订阅的管理员权限。

对于大多数用户来说,最简单的选项是使用 Azure 资源管理器 (ARM) 模板来自动配置 Azure 中必要的资源和权限。如果您更喜欢更直接的方法,或者需要 ARM 模板不支持的特定配置,您可以使用下面描述的手动设置选项之一。

ARM 模板设置(推荐)

编辑

如果您要部署到 Azure 组织,则需要以下权限:Microsoft.Resources/deployments/*Microsoft.Authorization/roleAssignments/write。您还需要提升访问权限以管理所有 Azure 订阅和管理组

  1. 设置访问下,选择ARM 模板

  2. 添加此集成的位置

    1. 选择新的主机
    2. 命名 Elastic Agent策略。使用与您要监控的资源相匹配的名称。例如,azure-dev-policy。点击保存并继续ARM 模板部署窗口将出现。
    3. 在新标签页中,登录 Azure 门户,然后返回 Kibana 并点击启动 ARM 模板。这将在 Azure 中打开 ARM 模板。
    4. 如果您要部署到 Azure 组织,请从下拉菜单中选择要监控的管理组。接下来,输入要在其中部署将扫描您的资源的虚拟机的订阅的订阅 ID。
    5. 将 Kibana 中显示的Fleet URLEnrollment Token复制到 ARM 模板中的相应字段,然后点击查看 + 创建
    6. (可选)更改Resource Group Name参数。否则,资源组的名称默认为以cloudbeat-为前缀的时间戳。
  3. 返回 Kibana 并等待从您的新集成接收数据的确认。然后,您可以点击查看资产查看您的数据。

手动设置

编辑

对于手动设置,有多种身份验证方法可用

  • 托管身份(推荐)
  • 具有客户端密钥的服务主体
  • 具有客户端证书的服务主体
选项 1:托管身份(推荐)
编辑

此方法涉及创建 Azure VM(或使用现有 VM),向其授予对要使用 CSPM 监控的资源的读取访问权限,并在其上安装 Elastic Agent。

  1. 转到 Azure 门户以创建新的 Azure VM
  2. 按照设置过程进行操作,并确保在管理选项卡下启用系统分配的托管身份
  3. 转到您的 Azure 订阅列表,然后选择要使用 CSPM 监控的订阅或管理组。
  4. 转到访问控制 (IAM),然后选择添加角色分配
  5. 选择Reader功能角色,将访问权限分配给托管身份,然后选择您的 VM。

分配角色后

  1. 返回 Kibana 中的添加 CSPM页面。
  2. 配置集成下,选择Azure。在设置访问下,选择手动
  3. 添加此集成的位置下,选择新的主机
  4. 点击保存并继续,然后按照说明在您的 Azure VM 上安装 Elastic Agent。

等待 Kibana 收到来自新集成的数据的确认。然后,您可以点击查看资产查看您的数据。

选项 2:具有客户端密钥的服务主体
编辑

在使用此方法之前,您必须已设置可以访问资源的 Microsoft Entra 应用程序和服务主体

  1. 添加云安全态势管理 (CSPM) 集成页面上,滚动到设置访问部分,然后选择手动
  2. 首选手动方法下,选择具有客户端密钥的服务主体
  3. 转到Microsoft Entra ID已注册的应用部分。
  4. 点击新的注册,命名您的应用并点击注册
  5. 复制新应用的目录 (租户) ID应用程序 (客户端) ID。将它们粘贴到 Kibana 中的相应字段。
  6. 返回 Azure 门户。选择证书和密钥,然后转到客户端密钥选项卡。点击新的客户端密钥
  7. 复制新的密钥。将其粘贴到 Kibana 中的相应字段。
  8. 返回 Azure。转到您的 Azure 订阅列表,然后选择要使用 CSPM 监控的订阅或管理组。
  9. 转到访问控制 (IAM)并选择添加角色分配
  10. 选择Reader功能角色,将访问权限分配给用户、组或服务主体,然后选择您的新应用。
  11. 返回 Kibana 中的添加 CSPM页面。
  12. 添加此集成的位置下,选择新的主机
  13. 点击保存并继续,然后按照说明在您选择的主机上安装 Elastic Agent。

等待 Kibana 收到来自新集成的数据的确认。然后,您可以点击查看资产查看您的数据。

选项 3:具有客户端证书的服务主体
编辑

在使用此方法之前,您必须已设置可以访问资源的 Microsoft Entra 应用程序和服务主体

  1. 添加云安全态势管理 (CSPM) 集成页面上,在设置访问下,选择手动
  2. 首选手动方法下,选择具有客户端证书的服务主体
  3. 转到Microsoft Entra ID已注册的应用部分。
  4. 点击新的注册,命名您的应用并点击注册
  5. 复制新应用的目录 (租户) ID应用程序 (客户端) ID。将它们粘贴到 Kibana 中的相应字段。
  6. 返回 Azure。转到您的 Azure 订阅列表,然后选择要使用 CSPM 监控的订阅或管理组。
  7. 转到访问控制 (IAM)并选择添加角色分配
  8. 选择Reader功能角色,将访问权限分配给用户、组或服务主体,然后选择您的新应用。

接下来,创建证书。如果您打算使用受密码保护的证书,则必须使用 pkcs12 证书。否则,您必须使用 pem 证书。

例如,创建一个 pkcs12 证书

# Create PEM file
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes

# Create pkcs12 bundle using legacy flag (CLI will ask for export password)
openssl pkcs12 -legacy -export -out bundle.p12 -inkey key.pem -in cert.pem

例如,创建一个 PEM 证书

# Generate certificate signing request (csr) and key
openssl req -new -newkey rsa:4096 -nodes -keyout cert.key -out cert.csr

# Generate PEM and self-sign with key
openssl x509 -req -sha256 -days 365 -in cert.csr -signkey cert.key -out signed.pem

# Create bundle
cat cert.key > bundle.pem
cat signed.pem >> bundle.pem

创建证书后

  1. 返回 Azure。
  2. 导航到证书和密钥菜单。选择证书选项卡。

  3. 点击上传证书

    1. 如果您使用的是根据上述示例命令创建的 PEM 证书,请上传signed.pem
    2. 如果您使用的是根据上述示例命令创建的 pkcs12 证书,请上传cert.pem

  4. 将证书包上传到您将部署 Elastic Agent 的虚拟机。

    1. 如果您使用的是根据上述示例命令创建的 PEM 证书,请上传bundle.pem
    2. 如果您使用的是根据上述示例命令创建的 pkcs12 证书,请上传bundle.p12
  5. 返回 Kibana 中的添加 CSPM页面。
  6. 对于客户端证书路径,请输入您上传到将安装 Elastic Agent 的主机上的证书的完整路径。
  7. 如果您使用的是 pkcs12 证书,请在客户端证书密码下输入其密码。
  8. 添加此集成的位置下,选择新的主机
  9. 点击保存并继续,然后按照说明在您选择的主机上安装 Elastic Agent。

等待 Kibana 收到来自新集成的数据的确认。然后,您可以点击查看资产查看您的数据。

« GCP CSPM 快速入门 发现页面 »