Azure Arc + Sentinel + Log Analytics

Introduction

Dans cet article, nous allons voir comment protéger nos serveurs connectés à Azure Arc avec Azure Sentinel. Il est nécessaire que votre serveur soit connecté à Azure Arc (pour connecter un server à Azure Arc voir Article 1)
Article 1 : Metsys – Qu’est-ce qu’Azure Arc ? –
Article 2 : Metsys – Azure Arc & Kubernetes –
Article 3 : Metsys – Azure Arc & Serveur SQL –+

Pour cela, nous allons devoir créer un espace Log Analytics, déployé l’agent depuis Azure Arc sur notre serveur local et par la suite nous allons pouvoir connecter Azure Sentinel à notre Espace Log Analytics.

Qu’est-ce que Log Analytics ?

L’agent Azure Log Analytics collecte la télémétrie de machines virtuelles Windows et Linux ainsi que les machines locales, puis envoi les données collectées à l’espace de travail Log Analytics.

Déployer Log Analytics sur Azure Arc

Création d’un espace Log Analytics.

Rendez-vous dans le portail Azure et choisissez espaces de travail Log Analytics :

Nous allons créer un nouvel espace de travail :

Veuillez renseigner les différents champs de valeur puis cliquez sur vérifier + créer :

Une fois votre espace de travail créé nous allons le rattacher à Azure Arc, veuillez-vous rendre dans Azure Arc | Serveur :

Rendez-vous sur votre serveur et sélectionnez extensions :

Nous allons ajouter l’extension Log Analytics :

Sélectionnez agent Log Analytics – Azure Arc :

Cliquez sur créer :

Renseignez votre Workspace ID ainsi que le Workspace KEY qui se trouve dans votre espace Log Analytics puis vérifier + créer :

Pour information : si vous ne trouvez pas ces deux valeurs, pas de panique, vous pouvez les retrouver dans l’espace Log Analytics, puis gestion des agents comme ci-dessous :

Pour en revenir à Azure Arc, une fois cette étape terminée, veuillez patienter le temps de l’installation de l’agent :


Attendez quelques minutes, le temps que la modification apportée remonte sur Azure.

Vous devez voir dans Microsoft Defender for Cloud votre machine avec l’agent installé :

Connection avec Azure Sentinel

Notre serveur local possède l’agent Log Analytics. Ce dernier communique directement avec Azure, nous allons pouvoir maintenant connecter Azure Sentinel à notre espace Log Analytics  

Se rendre dans Azure Sentinel :

Cliquez sur créer :

Sélectionnez votre espace Log Analytics. Si vous ne pouvez pas le sélectionner c’est que la configuration n’est pas totalement remontée dans Azure (vous devez encore un peu patienter)

Une fois l’ajout terminé, vous avez accès à la vue d’ensemble sur Azure Sentinel

Conclusion

Félicitation vous savez maintenant comment protéger vos serveurs locaux avec Azure Sentinel par Azure Arc.  

Dans le prochain article nous parlerons de la sécurisation de nos clusters Kubernetes.

A propos de l'auteur

Consultant Infrastructuce Services chez Metsys

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.