Attivare un Workspace Log Analytics gratuito (per 30 giorni) in Microsoft Azure

Le possibilità offerte da Azure sono decisamente molte, una di queste è il servizio che permette l’archiviazione di log eventi dalle diverse macchine monitorate sia in cloud che on-prem e permette successivamente di creare report ed analisi di eventi con strumenti di ricerca molto potenti e veloci ma soprattutto con sintassi intuitive ed un autocompletamento delle query che consente anche a chi si avvicina a questo ambiente per la prima volta, di apprezzarne la sua potenza.

Log Analytics è il prodotto che conosciamo ora, ma inizialmente era stato sviluppato e proposto con il nome di OMS (Operations Management Suite) e disponeva di un proprio portale di accesso separato da Azure Portal. Dall’inizio del 2019 il vecchio portale è stato deprecato e recentemente completamente dismesso. Tutte le funzionalità sono ora presenti nel Portale unico di Azure.

L’architettura è veramente molto semplice e si basa su agenti installati sulle singole macchine e connessi poi al Workspace presente in Azure. Naturalmente gli agenti possono essere sia Windows che Linux in modalità per così dire nativa, ma un agente Linux può integrarsi senza nessuna difficoltà con un servizio Syslog presente sul sulla stessa macchina e quindi ricevere flussi di messaggi in arrivo da altri sistemi che usano questo protocollo e veicolarli verso Log Analitycs in modo del tutto indipendente dall’agent.

Questa modalità operativa è ad esempio molto utile per ricevere ed archiviare messaggi provenienti da apparati di rete, firewall o sistemi di altro genere ed iniettare i vari eventi in Log Analytics.

Attivazione del Portale Log Analytics (Azure)

Vediamo come è possibile con pochi passi attivare un Workspace Gratuito per 30 giorni che ci permetterà di valutare ed apprezzare la potenza di questo ambiente.

In pratica dobbiamo attivare una sottoscrizione Azure di valutazione o meglio gratuita per 12 mesi.

Dal portale https://azure.microsoft.com/it-it/pricing/details/monitor/ selezioniamo “Prova Gratuitamente”

Figura 1 portale di accesso

Loggatevi con il vostro Microsoft Account per creare una nuova sottoscrizione Azure. Se non possedete un Microsoft Account potete crealo gratuitamente al link https://account.microsoft.com/

Figura 2 creazione accesso al portale

Figura 3 login con l’account Microsoft

Effettuato l’accesso dovremo fornire informazioni personali, necessarie alla conferma dell’identità

Figura 4 procedura di identificazione

Procedendo con Avanti ci verrà chiesto di confermare la nostra “identità” mediante Telefono

Figura 5 attivazione mediante SMS

E potremo indicare se ricevere un SMS od una chiamata in modo da completare la verifica

Figura 6

Scegliendo una verifica tramite SMS ci verrà inviato un codice, che dovrà essere digitato nel campo di corrispondente. Procedendo nell’attivazione dovremo fornire i dati di una carta di credito, su cui non verrà addebitato alcun costo, se non prima di aver accettato e confermato, (alla scadenza del periodo di un anno) di voler autorizzare gli addebiti.

Figura 7 caricamento dei dati della Carta di Credito

Terminata la fase di autorizzazione/verifica tramite Carta di Credito, l’ultimo passaggio è quello dell’accettazione del contratto per il quale è sufficiente selezionare solamente la sottoscrizione e non l’invio di informazioni offerte etc.

Figura 8 accettazione del contratto

Dopo l’ultima conferma possiamo accedere direttamente al portale

Figura 9 completamento della procedura di attivazione dell’account Azure

Cliccando su “Vai al portale” accediamo direttamente al Dashboard della sottoscrizione

Figura 10

A questo punto la sottoscrizione Azure è pronta ed attiva per 30 giorni e possiamo procedere ad attivare il workspace di Log Analytics e connettere gli elementi da monitorare.

Attivazione del Workspace di Log Analytics

Esistono vie diverse per creare un Workspace, la più semplice è quella di selezionare Create Resource in alto a destra nel portale

Figura 11 Creazione della Risorsa

E successivamente digitale Log Analytics nel campo di ricerca delle varie risorse disponibili

Figura 12

Proseguendo viene richiesta un’ulteriore conferma

Figura 13 Creazione della Risorsa Log Analytics

Successivamente con Create dobbiamo fornire una serie di informazioni per consentire l’avvio del Workspace

Figura 14 Informazioni necessarie per la creazione del Workspace

Nell’ordine è richiesto un nome per il Workspace, la definizione di un Resource Group ( è preferibile crearne uno ad hoc ) e la posizione geografica delle risorse, mentre il tipo di pricing di default è creato con un prezzo per GB secondo il modello del 2018. Questa impostazione sarà modificabile successivamente.

L’opzione disponibile gratuitamente è utilizzabile con il limite di conservazione di 30 giorni e per un limite di upload di 500 GB al giorno, mentre il Workspace creato non avrò scadenza e sarà utilizzabile per sempre.

Al termine della creazione, quando viene notificato il completamento dell’attività, possiamo accedere al Workspace e proseguire con le attività di deploy degli agenti.

Per poter avere un accesso più rapido alla nuova risorsa, possiamo inserirla come preferita nella parte sinistra del portale, è sufficiente digitare Log Analytics Workspace nella casella di ricerca delle risorse dopo essersi posizionati su All Services e successivamente selezionare la stella in corrispondenza

Figura 15 Ricerca della Risorsa

Collegamento di una risorsa sul portale Log Analitycs

Possiamo procedere ora con l’installazione vera e propria dell’agente sui vari server che possono essere sia Windows che Linux. A questo link è possibile trovare l’elenco delle distribuzioni compatibili https://docs.microsoft.com/it-it/azure/security-center/security-center-os-coverage

I passi da seguire per installare l’agente sono i seguenti

  • Accesso al portale Azure
  • Accesso alla risorsa Log Analytics creata in precedenza
  • Selezionare Avvio Rapido
  • Scegliere il tipo di risorsa da connettere al servizio

Figura 16 individuazione della risorsa da connettere a Log Analytics

In questo esempio sceglieremo di connettere un singolo computer on-premises e più specificatamente un Domain Controller.

Nel passo successivo dobbiamo selezionare il tipo di sistema operativo su cui installare l’agente e recuperare le informazioni relative all’area di lavoro ed alle chiavi di accesso che permettono l’autenticazione del sistema

Figura 17 download agente ed informazioni di autenticazione all’Area di Lavoro

Installazione dell’Agente

Dopo aver effettuato il download dell’agente coerente con la versione del sistema operativo in uso, si procede con l’avvio dell’installazione.

Figura 18 installazione Agente

Figura 19 accettazione Licenza

Figura 20 selezione percorso di installazione

Figura 21 selezione del collettore a cui connettersi

Figura 22 impostazione delle informazioni di connessione

Figura 23 utilizzo di Microsoft Update per gli aggiornamenti dell’agent

Figura 24 avvio dell’installazione

Figura 25 conferma termine dell’installazione

Terminata l’installazione è possibile dal Pannello di Controllo verificare se l’agente è installato ed in comunicazione con il Workspace di Log Analytics

Figura 26 stato dell’agent sul server connesso

Mentre sul Portale Log Analytics troveremo le informazioni relative al numero di server connessi ed al loro stato

Esistono più modi per visualizzare lo stato dei vari agent connessi, è anche possibile iniziare a familiarizzare con la ricerca all’interno dell’archivio log con una semplice query che rileva lo stato degli Heartbeat dei vari Agenti

È sufficiente posizionarsi nella sezione LOG e digitare

Heartbeat

| where OSType == ‘Windows’

| summarize arg_max(TimeGenerated, *) by SourceComputerId

In modo da ottenere il resoconto del numero di agenti Windows connessi

Figura 27 rilevazione degli agenti connessi

A questo punto della configurazione il Workspace è pronto ed è possibile attivare tutta una serie di soluzioni di monitoraggio ed analisi della sicurezza. Le varie soluzioni sono attivabili direttamente dal Marketplace di Azure.

Ad esempio, la soluzione Antimalware Assesment consente di rilevare gli eventi tipici dall’ambiente di protezione del sistema, quale ad esempio il Defender e Treath Protection, nel caso riportato qui sotto è presente la rilevazione del Test File Eicar

Figura 28 report di stato della soluzione antimalware

Mentre l’apertura del workspace ed alcune funzioni sono gratuite, l’utilizzo di altre soluzioni presuppone un pagamento che di norma è per nodo/mese.

Riferimenti:

https://docs.microsoft.com/it-it/azure/azure-monitor/log-query/get-started-portal

https://docs.microsoft.com/it-it/azure/azure-monitor/log-query/log-query-overview