Attivare un Workspace Log Analytics gratuito (per 30 giorni) in Microsoft Azure
Le possibilità offerte da Azure sono decisamente molte, una di queste è il servizio che permette l’archiviazione di log eventi dalle diverse macchine monitorate sia in cloud che on-prem e permette successivamente di creare report ed analisi di eventi con strumenti di ricerca molto potenti e veloci ma soprattutto con sintassi intuitive ed un autocompletamento delle query che consente anche a chi si avvicina a questo ambiente per la prima volta, di apprezzarne la sua potenza.
Log Analytics è il prodotto che conosciamo ora, ma inizialmente era stato sviluppato e proposto con il nome di OMS (Operations Management Suite) e disponeva di un proprio portale di accesso separato da Azure Portal. Dall’inizio del 2019 il vecchio portale è stato deprecato e recentemente completamente dismesso. Tutte le funzionalità sono ora presenti nel Portale unico di Azure.
L’architettura è veramente molto semplice e si basa su agenti installati sulle singole macchine e connessi poi al Workspace presente in Azure. Naturalmente gli agenti possono essere sia Windows che Linux in modalità per così dire nativa, ma un agente Linux può integrarsi senza nessuna difficoltà con un servizio Syslog presente sul sulla stessa macchina e quindi ricevere flussi di messaggi in arrivo da altri sistemi che usano questo protocollo e veicolarli verso Log Analitycs in modo del tutto indipendente dall’agent.
Questa modalità operativa è ad esempio molto utile per ricevere ed archiviare messaggi provenienti da apparati di rete, firewall o sistemi di altro genere ed iniettare i vari eventi in Log Analytics.
Attivazione del Portale Log Analytics (Azure)
Vediamo come è possibile con pochi passi attivare un Workspace Gratuito per 30 giorni che ci permetterà di valutare ed apprezzare la potenza di questo ambiente.
In pratica dobbiamo attivare una sottoscrizione Azure di valutazione o meglio gratuita per 12 mesi.
Dal portale https://azure.microsoft.com/it-it/pricing/details/monitor/ selezioniamo “Prova Gratuitamente”
Figura 1 portale di accesso
Loggatevi con il vostro Microsoft Account per creare una nuova sottoscrizione Azure. Se non possedete un Microsoft Account potete crealo gratuitamente al link https://account.microsoft.com/
Figura 2 creazione accesso al portale
Figura 3 login con l’account Microsoft
Effettuato l’accesso dovremo fornire informazioni personali, necessarie alla conferma dell’identità
Figura 4 procedura di identificazione
Procedendo con Avanti ci verrà chiesto di confermare la nostra “identità” mediante Telefono
Figura 5 attivazione mediante SMS
E potremo indicare se ricevere un SMS od una chiamata in modo da completare la verifica
Figura 6
Scegliendo una verifica tramite SMS ci verrà inviato un codice, che dovrà essere digitato nel campo di corrispondente. Procedendo nell’attivazione dovremo fornire i dati di una carta di credito, su cui non verrà addebitato alcun costo, se non prima di aver accettato e confermato, (alla scadenza del periodo di un anno) di voler autorizzare gli addebiti.
Figura 7 caricamento dei dati della Carta di Credito
Terminata la fase di autorizzazione/verifica tramite Carta di Credito, l’ultimo passaggio è quello dell’accettazione del contratto per il quale è sufficiente selezionare solamente la sottoscrizione e non l’invio di informazioni offerte etc.
Figura 8 accettazione del contratto
Dopo l’ultima conferma possiamo accedere direttamente al portale
Figura 9 completamento della procedura di attivazione dell’account Azure
Cliccando su “Vai al portale” accediamo direttamente al Dashboard della sottoscrizione
Figura 10
A questo punto la sottoscrizione Azure è pronta ed attiva per 30 giorni e possiamo procedere ad attivare il workspace di Log Analytics e connettere gli elementi da monitorare.
Attivazione del Workspace di Log Analytics
Esistono vie diverse per creare un Workspace, la più semplice è quella di selezionare Create Resource in alto a destra nel portale
Figura 11 Creazione della Risorsa
E successivamente digitale Log Analytics nel campo di ricerca delle varie risorse disponibili
Figura 12
Proseguendo viene richiesta un’ulteriore conferma
Figura 13 Creazione della Risorsa Log Analytics
Successivamente con Create dobbiamo fornire una serie di informazioni per consentire l’avvio del Workspace
Figura 14 Informazioni necessarie per la creazione del Workspace
Nell’ordine è richiesto un nome per il Workspace, la definizione di un Resource Group (è preferibile crearne uno ad hoc) e la posizione geografica delle risorse, mentre il tipo di pricing di default è creato con un prezzo per GB secondo il modello del 2018. Questa impostazione sarà modificabile successivamente.
L’opzione disponibile gratuitamente è utilizzabile con il limite di conservazione di 30 giorni e per un limite di upload di 500 GB al giorno, mentre il Workspace creato non avrò scadenza e sarà utilizzabile per sempre.
Al termine della creazione, quando viene notificato il completamento dell’attività, possiamo accedere al Workspace e proseguire con le attività di deploy degli agenti.
Per poter avere un accesso più rapido alla nuova risorsa, possiamo inserirla come preferita nella parte sinistra del portale, è sufficiente digitare Log Analytics Workspace nella casella di ricerca delle risorse dopo essersi posizionati su All Services e successivamente selezionare la stella in corrispondenza
Figura 15 Ricerca della Risorsa
Collegamento di una risorsa sul portale Log Analitycs
Possiamo procedere ora con l’installazione vera e propria dell’agente sui vari server che possono essere sia Windows che Linux. A questo link è possibile trovare l’elenco delle distribuzioni compatibili https://docs.microsoft.com/it-it/azure/security-center/security-center-os-coverage
I passi da seguire per installare l’agente sono i seguenti
- Accesso al portale Azure
- Accesso alla risorsa Log Analytics creata in precedenza
- Selezionare Avvio Rapido
- Scegliere il tipo di risorsa da connettere al servizio
Figura 16 individuazione della risorsa da connettere a Log Analytics
In questo esempio sceglieremo di connettere un singolo computer on-premises e più specificatamente un Domain Controller.
Nel passo successivo dobbiamo selezionare il tipo di sistema operativo su cui installare l’agente e recuperare le informazioni relative all’area di lavoro ed alle chiavi di accesso che permettono l’autenticazione del sistema
Figura 17 download agente ed informazioni di autenticazione all’Area di Lavoro
Installazione dell’Agente
Dopo aver effettuato il download dell’agente coerente con la versione del sistema operativo in uso, si procede con l’avvio dell’installazione.
Figura 18 installazione Agente
Figura 19 accettazione Licenza
Figura 20 selezione percorso di installazione
Figura 21 selezione del collettore a cui connettersi
Figura 22 impostazione delle informazioni di connessione
Figura 23 utilizzo di Microsoft Update per gli aggiornamenti dell’agent
Figura 24 avvio dell’installazione
Figura 25 conferma termine dell’installazione
Terminata l’installazione è possibile dal Pannello di Controllo verificare se l’agente è installato ed in comunicazione con il Workspace di Log Analytics
Figura 26 stato dell’agent sul server connesso
Mentre sul Portale Log Analytics troveremo le informazioni relative al numero di server connessi ed al loro stato
Esistono più modi per visualizzare lo stato dei vari agent connessi, è anche possibile iniziare a familiarizzare con la ricerca all’interno dell’archivio log con una semplice query che rileva lo stato degli Heartbeat dei vari Agenti
È sufficiente posizionarsi nella sezione LOG e digitare
1 2 3 |
Heartbeat | where OSType == 'Windows' | summarize arg_max(TimeGenerated, *) by SourceComputerId |
In modo da ottenere il resoconto del numero di agenti Windows connessi
Figura 27 rilevazione degli agenti connessi
A questo punto della configurazione il Workspace è pronto ed è possibile attivare tutta una serie di soluzioni di monitoraggio ed analisi della sicurezza. Le varie soluzioni sono attivabili direttamente dal Marketplace di Azure.
Ad esempio, la soluzione Antimalware Assesment consente di rilevare gli eventi tipici dall’ambiente di protezione del sistema, quale ad esempio il Defender e Treath Protection, nel caso riportato qui sotto è presente la rilevazione del Test File Eicar
Figura 28 report di stato della soluzione antimalware
Mentre l’apertura del workspace ed alcune funzioni sono gratuite, l’utilizzo di altre soluzioni presuppone un pagamento che di norma è per nodo/mese.
Riferimenti:
https://docs.microsoft.com/it-it/azure/azure-monitor/log-query/get-started-portal
https://docs.microsoft.com/it-it/azure/azure-monitor/log-query/log-query-overview