在 Azure 上开始使用 CSPM
编辑在 Azure 上开始使用 CSPM编辑
概述编辑
本页介绍如何开始使用云安全态势管理 (CSPM) 功能监控您的云资产的安全态势。
设置 Azure 的 CSPM编辑
您可以通过注册包含多个订阅的 Azure 组织(管理组)或注册单个订阅来设置 Azure 的 CSPM。无论哪种方式,首先添加 CSPM 集成,然后启用云帐户访问。
添加您的 CSPM 集成编辑
- 在 Elastic Security 入门页面中,单击添加集成。
- 搜索
CSPM,然后单击结果。 - 单击添加云安全态势管理 (CSPM)。
- 在配置集成下,选择Azure,然后根据您要监控的资源选择Azure 组织或单个订阅。
- 为您的集成命名,名称应与您要监控的 Azure 资源的用途或团队相匹配,例如
azure-CSPM-dev-1。
设置云帐户访问编辑
要为 Azure 组织或订阅设置 CSPM,您需要该组织或订阅的管理员权限。
对于大多数用户而言,最简单的选择是使用 Azure 资源管理器 (ARM) 模板自动在 Azure 中预配必要的资源和权限。如果您更喜欢更手动的方法或需要 ARM 模板不支持的特定配置,您可以使用以下描述的手动设置选项之一。
ARM 模板设置(推荐)编辑
如果您正在部署到 Azure 组织,您需要以下权限:Microsoft.Resources/deployments/*、Microsoft.Authorization/roleAssignments/write。您还需要 提升访问权限以管理所有 Azure 订阅和管理组。
- 在设置访问权限下,选择ARM 模板。
-
在添加此集成的位置下
- 选择新主机。
- 命名 Elastic Agent 策略。使用与您要监控的资源相匹配的名称。例如,
azure-dev-policy。单击保存并继续。ARM 模板部署窗口将出现。 - 在新标签页中,登录 Azure 门户,然后返回 Kibana 并单击启动 ARM 模板。这将在 Azure 中打开 ARM 模板。
- 如果您正在部署到 Azure 组织,请选择要监控的管理组,从下拉菜单中选择。接下来,输入您要部署将扫描您的资源的虚拟机的订阅 ID。
- 将 Kibana 中显示的
Fleet URL和Enrollment Token复制到 ARM 模板中的相应字段,然后单击审查 + 创建。 - (可选)更改
Resource Group Name参数。否则,资源组的名称将默认为以cloudbeat-为前缀的时间戳。
- 返回 Kibana 并等待确认从您的新集成接收到的数据。然后,您可以单击查看资产以查看您的数据。
手动设置编辑
对于手动设置,有多种身份验证方法可用
- 托管身份(推荐)
- 带有客户端密钥的服务主体
- 带有客户端证书的服务主体
选项 1:托管身份(推荐)编辑
此方法涉及创建 Azure VM(或使用现有 VM),授予它对您要使用 CSPM 监控的资源的读取访问权限,并在其上安装 Elastic Agent。
- 转到 Azure 门户以 创建新的 Azure VM。
- 按照设置过程操作,并确保在管理选项卡下启用系统分配的托管身份。
- 转到您的 Azure 订阅列表,然后选择要使用 CSPM 监控的订阅或管理组。
- 转到访问控制 (IAM),然后选择添加角色分配。
- 选择
Reader函数角色,将访问权限分配给托管身份,然后选择您的 VM。
分配完角色后
- 返回 Kibana 中的添加 CSPM页面。
- 在配置集成下,选择Azure。在设置访问权限下,选择手动。
- 在添加此集成的位置下,选择新主机。
- 单击保存并继续,然后按照说明在 Azure VM 上安装 Elastic Agent。
等待确认 Kibana 收到了来自新集成的 data. 然后,您可以单击查看资产以查看您的数据。
选项 2:带有客户端密钥的服务主体编辑
在使用此方法之前,您必须已经设置了 可以访问资源的 Microsoft Entra 应用程序和服务主体。
- 在添加云安全态势管理 (CSPM) 集成页面上,滚动到设置访问权限部分,然后选择手动。
- 在首选手动方法下,选择带有客户端密钥的服务主体。
- 转到Microsoft Entra ID的注册的应用程序部分。
- 单击新注册,命名您的应用程序,然后单击注册。
- 复制新应用程序的
Directory (tenant) ID和Application (client) ID。将它们粘贴到 Kibana 中的相应字段。 - 返回 Azure 门户。选择证书和密钥,然后转到客户端密钥选项卡。单击新的客户端密钥。
- 复制新密钥。将它粘贴到 Kibana 中的相应字段。
- 返回 Azure。转到您的 Azure 订阅列表,然后选择要使用 CSPM 监控的订阅或管理组。
- 转到访问控制 (IAM),然后选择添加角色分配。
- 选择
Reader函数角色,将访问权限分配给用户、组或服务主体,然后选择您的新应用程序。 - 返回 Kibana 中的添加 CSPM页面。
- 在添加此集成的位置下,选择新主机。
- 单击保存并继续,然后按照说明在您选择的主机上安装 Elastic Agent。
等待确认 Kibana 收到了来自新集成的 data. 然后,您可以单击查看资产以查看您的数据。
选项 3:带有客户端证书的服务主体编辑
在使用此方法之前,您必须已经设置了 可以访问资源的 Microsoft Entra 应用程序和服务主体。
- 在添加云安全态势管理 (CSPM) 集成页面上,在设置访问权限下,选择手动。
- 在首选手动方法下,选择带有客户端证书的服务主体。
- 转到Microsoft Entra ID的注册的应用程序部分。
- 单击新注册,命名您的应用程序,然后单击注册。
- 复制新应用程序的
Directory (tenant) ID和Application (client) ID。将它们粘贴到 Kibana 中的相应字段。 - 返回 Azure。转到您的 Azure 订阅列表,然后选择要使用 CSPM 监控的订阅或管理组。
- 转到访问控制 (IAM),然后选择添加角色分配。
- 选择
Reader函数角色,将访问权限分配给用户、组或服务主体,然后选择您的新应用程序。
接下来,创建证书。如果您打算使用密码保护的证书,则必须使用 pkcs12 证书。否则,您必须使用 pem 证书。
创建 pkcs12 证书,例如
# Create PEM file openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes # Create pkcs12 bundle using legacy flag (CLI will ask for export password) openssl pkcs12 -legacy -export -out bundle.p12 -inkey key.pem -in cert.pem
创建 PEM 证书,例如
# Generate certificate signing request (csr) and key openssl req -new -newkey rsa:4096 -nodes -keyout cert.key -out cert.csr # Generate PEM and self-sign with key openssl x509 -req -sha256 -days 365 -in cert.csr -signkey cert.key -out signed.pem # Create bundle cat cert.key > bundle.pem cat signed.pem >> bundle.pem
创建完证书后
- 返回 Azure。
- 导航到证书和密钥菜单。选择证书选项卡。
-
单击上传证书。
- 如果您使用的是使用上述示例命令创建的 PEM 证书,请上传
signed.pem。 - 如果您使用的是使用上述示例命令创建的 pkcs12 证书,请上传
cert.pem。
- 如果您使用的是使用上述示例命令创建的 PEM 证书,请上传
-
将证书捆绑包上传到您将在其中部署 Elastic Agent 的 VM。
- 如果您使用的是使用上述示例命令创建的 PEM 证书,请上传
bundle.pem。 - 如果您使用的是使用上述示例命令创建的 pkcs12 证书,请上传
bundle.p12。
- 如果您使用的是使用上述示例命令创建的 PEM 证书,请上传
- 返回 Kibana 中的添加 CSPM页面。
- 对于客户端证书路径,输入您上传到您将安装 Elastic Agent 的主机的证书的完整路径。
- 如果您使用的是 pkcs12 证书,请在客户端证书密码下输入其密码。
- 在添加此集成的位置下,选择新主机。
- 单击保存并继续,然后按照说明在您选择的主机上安装 Elastic Agent。
等待确认 Kibana 收到了来自新集成的 data. 然后,您可以单击查看资产以查看您的数据。