iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 17
2
Security

麻瓜不敗!白魔法藍天煉金術系列 第 17

[Day 17] 技能解封中間章程-城池間敢死報信者(Azure Alert)

  • 分享至 

  • xImage
  •  

前言回顧

技能解封中間章程-城池間的隱形之眼(Azure Metrics)
https://ithelp.ithome.com.tw/upload/images/20190908/20025481zr6afutGYz.jpg

已領取技能符石

https://ithelp.ithome.com.tw/upload/images/20190920/20025481dVKu3ZRB5M.png

解封技能樹(Start)

https://ithelp.ithome.com.tw/upload/images/20190920/20025481rfrZ7IFAw6.png

適合的勇者?

曾經遭逢資安事件打擊者。

資安事件觀望者。

資安探索者。

IT過路人。

資安潛水幫。

資安擺渡人。*

https://ithelp.ithome.com.tw/upload/images/20190907/20025481886Opddny2.jpg

學完可以帶走甚麼?

種下資安的芽在自己心中讓資安意識更強大。

自己的資安生涯規劃師。

帶走心中的這棵樹,把樹傳出去。

你也可以是小小資安擺渡人。

單挑資安認證更有信心。

https://ithelp.ithome.com.tw/upload/images/20190907/20025481k086P7e0kc.jpg

瑪瑟爾 vs 迪亞波羅

https://ithelp.ithome.com.tw/upload/images/20190917/20025481BRCCYyv7cu.png

監視結界的報信者

上篇回顧迪亞波羅的手下地獄火門神,捧來的一個大禮讓天使城受到了一個天然的屏障,隱形結界,但只有魔眼監視還不足以完美的抗衡迪亞波羅。所謂知己知彼才能百戰百勝,順道把魔眼監視注入的隱鬼的靈魂,只要讓魔眼發現到可能到結界攻擊的傾向舉動,就會發動隱鬼向駐守邊疆城外的天使將士們保持警覺隨時能夠回防,回到人類聽得懂的代名詞"警示通知"小弟先簡述一下此服務究竟為何?

每當你所監視的服務中有偵測到所設定的警示條件時,會觸發主動通知的動作。讓你可以在IT管理人員發現問題之前能有所幫助並解決問題。在上篇整合了 Azure Monitor 包含先前由 Log Analytics 和 Application Insights 所管理的警示服務。在之前的警示類型都稱為傳統警示。現在都是直接由"警示"來取代掉從前的傳統警示類型。

警示規則需要備觸發而有進一步您設置所採取的動作。規則可以是啟用或停用狀態。而警示只有在啟用狀態才會觸發。

以下說明警示規則的關鍵屬性
1.目標資源 - 定義可用於警示任何 Azure 範圍資源。標的如:VM、Storage、VMSS(自動擴展)、WebApps、SQL等資源。均可指定多個資源作為警示規則的目標。
2.信號 - 由目標資源做觸發,可以是以下類型如:計量、活動記錄、Application Insights。
3.準則 - 用於目標資源信號邏輯間的組合。

  • CPU >= 70%
  • MEM >= 75%
  • 主機回應時間 >= 1sec

4.嚴重性 - 符合警示規則中指定準則之後的警示嚴重性。 嚴重性的範圍可從 0 到 4。

  • Sev 0 = Critical(重大)
  • Sev 1 = Error(錯誤)
  • Sev 2 = Warning(警告)
  • Sev 3 = Informational(資訊)
  • Sev 4 = Verbose(詳細資訊)

5.動作 - 觸發警示時採取執行的動作群組。
https://ithelp.ithome.com.tw/upload/images/20190922/200254818mAttIBpJR.png

警示對象監視來源為何?
最終就是兩項記錄計量以下式列出較細的監視範疇

  • Azure、其他雲端或企業內部部署的作業系統,程式代碼
  • Azure Active Directory 稽核記錄
    https://ithelp.ithome.com.tw/upload/images/20190923/200254814kOQwh72s6.png
  • Azure 活動記錄
  • Azure 服務健康狀態
  • Azure 平台計量
    https://ithelp.ithome.com.tw/upload/images/20190923/200254817YzAFbfICN.png
  • Azure 診斷擴充
    https://ithelp.ithome.com.tw/upload/images/20190923/20025481ccTHzYbULH.png
  • 自訂的 API 來源

何謂智慧群組?
聽到智慧應該大家都很聰明直接聯想到就是AI,沒錯,是AI的起手式用ML機器學習搭配演算法自動建立問題的相關警示。每當警示建立時演算法就會根據歷史紀錄分析相似屬性結構等資訊,並自動將警示加至智慧群組中。舉例如果Azure 中有多個 VM 的 CPU 百分比同時出現突然激增導致每組個別都單獨觸發警示,而此類警示在過去分析到某一時段曾經一同發生則這些警示就會被分到一個獨立的新的智慧群中,來判斷未來的可能的"root cause"。

最後補充預覽的新功能篩選準則
我們可以在更精準的定義條件來縮小觸發的警示動作。而目前我個人認為比較常機會應用的篩選如下:

  • 嚴重性 - 要選取一或多個警示的嚴重性的選項。 嚴重性 = Sev1表示動作的規則是適用於所有的警示設定為 Sev1。
  • 監視服務 - 依據原始監視服務篩選條件。此條件也是 >=1 可被選取。如,監視服務 ="Application Insights" 表示動作規則均適用所有 Application Insights 為基礎的警示。
  • 資源類型 - 會依據特定資源類型的篩選條件。條件可以是 >= 如:資源類型="虛擬機器"表示動作規則適用於所有虛擬機器。
  • 監視條件 - 警示的執行個體使用的篩選條件引發或已解決做為監視條件。
  • 描述 - 規則運算相符項目會針對描述警示規則的字串比對符合如:有"UAT"字樣則會比對包含字串"UAT"的所有警示描述。

實作工坊

而光說不練怎麼行,實驗環境中會把持續關注的你/妳帶到小弟我的 wordpress.com Blog連結內容如下:

技能解封中間章程-城池間敢死報信者(Azure Alert)

  1. Azure Alert 成本計價。
  2. Azure Alert Q&A。
  3. 簡易實作體驗。

上屆鐵人主題

如果有興趣對您有幫助也請多多支持,歡迎給小弟建議或互相交流!

Google Cloud 勇者的試煉

玩轉 Azure 於指尖隨心所欲


上一篇
[Day 16] 技能解封中間章程-城池間的隱形之眼(Azure metrics explorer)
下一篇
[Day 18] 技能解封中間章程-城池風險維安御林軍(Azure Security Center)
系列文
麻瓜不敗!白魔法藍天煉金術30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言