Security Center：接入Azure資產

步驟一：在Azure建立應用憑證

此步驟在Azure門戶中建立一個應用及其服務主體，並產生用於API認證的用戶端密碼。擷取接入憑證：應用程式（用戶端）ID、目錄（租戶）ID 和用戶端密碼的值。

1. 建立應用

   1. 登入Azure控制台。

   2. 在左側導覽列中，選擇所有服務。在標識服務地區，單擊應用註冊或在頂部搜尋欄搜尋並進入應用註冊。

      

   3. 在應用註冊頁面，單擊新註冊。

   4. 在註冊應用頁面，完成以下配置，然後單擊註冊。

      • 名稱：輸入一個易於識別的名稱，例如 aliyun-sasc-connector，以便後續搜尋和管理。

        重要

        此名稱將在後續“角色指派”步驟中作為成員名稱顯示。

      • 受支援的賬戶類型：根據實際的許可權要求，配置可訪問此應用的帳號範圍。

   5. 應用建立成功後，頁面會顯示應用的概覽資訊。複製並妥善儲存應用程式（用戶端）ID 和 目錄（租戶）ID，後續步驟將會使用。

   

2. 下載認證和密碼

   1. 在步驟1建立的應用詳情頁，單擊左側導覽列管理下的AK洩露檢測。

   2. 在用戶端密碼頁簽，單擊+新用戶端密碼並參考如下說明完成配置。

      • 說明：描述此密碼的用途等。

      • 截止期限：即用戶端密碼的有效期間，推薦設定為180天。

        重要

        請制定憑證輪換計劃，在到期前更新，避免因憑證失效導致服務中斷。

   3. 單擊添加後，用戶端密碼的值會顯示。

      警告

      用戶端密碼的值僅在建立時可見一次，離開此頁面後將無法再次查看。請立即複製並妥善保管，再進行後續操作。

      

步驟二：為應用憑證授予訂閱存取權限

為確保Security Center能夠讀取資產資訊，需要為上一步建立的應用程式指派對Azure訂閱的唯讀許可權。

1. 進入角色指派頁

   1. 登入Azure控制台。

   2. 在左側導覽列中，選擇所有服務。在系統設定服務地區，單擊訂閱。在頂部搜尋欄搜尋並進入訂閱。

   3. 單擊目標訂閱名稱，進入訂閱詳情頁。在詳情頁，單擊存取控制。

      說明

      若尚未開通，請先建立訂閱，根據業務情況選擇產品服務。

   4. 在存取控制頁，單擊左上方的添加下的添加角色指派。

2. 分配角色：在角色指派頁面，選擇相應的角色後，單擊下一步。

   功能	角色	備忘
   主機資產	讀者	無
   雲安全態勢管理（CSPM）	讀者	無
   威脅分析與響應	讀者 自訂角色：需包含Microsoft.Network許可權，建立步驟請參見Azure進階配置（Agentic SOC）。	為實現自動化威脅響應（如通過響應編排聯動 Azure Cloud Firewall），需額外授予 Microsoft.Network 許可權。更多說明，請參見雲外組件（OpenAPI）。 重要 需按不同角色分別完成分配，Azure每次只能分配一個角色。
   無代理檢測	讀者 磁碟快照參與者	無

   

3. 新增成員：進入成員管理介面，單擊新增存取金鑰，並選擇步驟一中建立的應用。

   說明

   可按應用程式名稱快速搜尋定位至目標應用。

   

4. 確定成員後，單擊左下角的審閱和分配，即可完成授權。

   說明

   授權可能需要一點時間，請耐心等待。

步驟三：在Security Center完成接入配置

1. 進入授權頁面

   1. 推薦路徑：

      1. 登入Security Center控制台。

      2. 在左側導覽列，選擇系統設定 > 功能設定。在控制台左上方，選擇需防護資產所在的地區：中國內地或非中國內地。

      3. 在多云配置管理 > 多云资产頁簽，單擊新增授权，然後選擇Azure。

   2. 其他入口：

      在以下頁面的多雲產品接入或多雲資產接入地區，找到並單擊表徵圖下方的接入或授權按鈕：

      • 資產 > 主機資產

      • 風險治理 > 雲安全態勢管理 > 雲產品配置風險

      • 防護配置 > 主機防護 > 無代理檢測

2. 配置接入憑證

   1. 在接入云外资产面板，勾選需要接入的功能後，單擊下一步，

      • 主機資產：允許Security Center自動探索並同步Azure主機資產。

      • 雲安全態勢管理：使用雲安全態勢管理功能掃描Azure雲產品的配置，發現並管理配置風險。

      • 威脅分析與響應：配合響應編排的劇本編排功能，實現自動化處理安全事件威脅。更多說明，請參見雲外組件（OpenAPI）。

      • 主機防護無代理檢測：通過快照掃描技術檢測Azure虛擬機器的安全風險，包括漏洞、基準、惡意檔案等，無需安裝用戶端。

   2. 在提交AK頁面，準確填寫在建立的憑證資訊

      • 請輸入appId：對應Azure應用註冊獲得的應用程式(用戶端) ID。

      • 請輸入password：對應Azure應用註冊獲得的用戶端密碼。

      • tenant：對應Azure應用註冊獲得的目錄（租戶）ID。

      • Domain （中國區選中國版，其他選國際版）：世紀互聯使用者請選擇中國版。

3. 配置同步策略

   在策略配置頁面，根據管理需求進行設定：

   • 選擇地區：選擇需要接入的 Auzre 資產所屬的地區。

     說明

     資產資料會自動歸屬在Security Center控制台左上方選擇的地區對應的資料中心。

     • 中國內地：中國內地資料中心。

     • 非中國內地：新加坡資料中心。

   • 新增地區接入管理：建議勾選。勾選後，該AWS帳號下未來新增地區內的資產將自動同步，無需手動添加。

   • 主機資產同步頻率：設定自動同步Auzre主機資產的周期。如不需同步，可設為“關閉”。

     說明

     僅接入的功能包含主機資產時，需要配置該參數。

   • 雲產品同步頻率：設定自動同步 Auzre 雲產品配置的周期。如不需同步，可設為“關閉”。

     說明

     僅接入的功能包含時雲安全態勢管理，需要配置該參數。

   • AK服務狀態檢查：設定Security Center自動檢查 Auzre 帳號憑證有效性的時間間隔。可選“關閉”，表示不進行檢測。

4. 完成配置後，單擊同步最新资产，系統將自動將Azure帳號下的資料同步到Security Center。

主機資產

前往資產 > 主機資產頁面，在多雲資產接入地區單擊表徵圖，可查看接入的Azure主機。可參考如下步驟，對已接入的主機，進行深度防護和管理。

1. 安裝用戶端：為Azure 主機安裝Security Center用戶端，在執行安裝命令時，服務商需選擇 Azure。詳細步驟，請參考安裝用戶端。

2. 升級版本擷取防護：預設的免費版僅提供基礎安全檢測。為獲得完整的安全防護能力（如防病毒、漏洞修複、入侵防禦等），請為 Azure 主機綁定付費版本（防病毒版及以上），具體操作，請參考管理主機及容器安全授權數。

雲安全態勢管理（CSPM）

前往資產 > 雲產品頁面，左側全部雲產品導航中，單擊Azure，可查看接入的Azure資產。已接入的 Azure 資產可使用CSPM如下功能：

1. 執行配置風險檢查：檢查Azure產品中是否存在配置風險，具體操作，請參考設定並執行雲平台配置風險檢查策略，

2. 處理風險項：根據檢查結果，查看並修複未通過的風險檢查項，提升雲上資產的合規性與安全性。具體操作，請參考查看並處理未通過的雲平台配置風險檢查項。

威脅分析與響應

前往威脅分析與響應 > 響應編排中，建立自訂劇本時，可選擇雲外組件（OpenAPI）中的Azure組件，對檢測出的Azure資產安全事件，實現自動化處理。

主機防護無代理檢測

前往防護配置 > 主機防護 > 無代理檢測，在主機安全檢測、主機安全檢測、自訂鏡像安全檢測頁簽的多雲資產接入地區單擊表徵圖，可查看接入掃描出的風險項。操作說明如下：

1. 執行檢測任務：對Azure伺服器中是否存在漏洞、惡意軟體、設定基準、敏感檔案等多維度安全檢測，發現潛在的安全風險。

2. 分析與處理風險：

   1. 漏洞風險：支援加白名單。

      警告

      無代理檢測不支援修複漏洞。

   2. 基準檢查項風險：支援加白名單。

   3. 惡意樣本風險和敏感檔案風險：支援加白名單、手動處理、標記誤判、忽略。