Verbindung zu Microsoft Azure für die Erfassung von Konfigurations- und Ressourcendaten herstellen

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Sie können die Security Command Center Enterprise-Stufe mit Ihrer Microsoft Azure-Umgebung verbinden, um Folgendes zu tun:

• Aktivieren Sie die Erkennung von Ergebnissen im Zusammenhang mit Fehlkonfigurationen.
• Potenzielle Angriffspfade vom öffentlichen Internet zu Ihren wertvollen Microsoft Azure-Assets identifizieren
• Sie können die Einhaltung von Microsoft Azure-Ressourcen mit verschiedenen Standards und Benchmarks abgleichen.

Durch die Verbindung von Security Command Center mit Microsoft Azure können Ihre Teams Fehlkonfigurationen sowohl in Google Cloud als auch in Azure an einem zentralen Ort verwalten und beheben.

Sie konfigurieren eine Vertrauensverbindung zwischen Security Command Center und Azure mit einem Google Cloud Dienstagenten und einer vom Nutzer zugewiesenen verwalteten Identität in Microsoft Azure mit Zugriff auf die Azure-Ressourcen, die Sie überwachen möchten. Sie verwalten und steuern die Vertrauensstellung in Ihrer Microsoft Azure-Umgebung.

Sie können eine Azure-Verbindung pro Google Cloud Organisation erstellen.

Über diese Verbindung werden in Security Command Center regelmäßig Daten zu von Ihnen definierten Microsoft Azure-Ressourcen erfasst. Diese Daten werden gemäß den Datenschutzhinweisen für Google Cloud wie Dienstdaten behandelt. Der Connector verwendet API-Aufrufe, um Azure-Asset-Daten zu erheben. Für diese API-Aufrufe können Microsoft Azure-Gebühren anfallen.

Während eines Scans hängt die Datenerhebungspipeline davon ab, dass sich der Dienstagent mit der vom Nutzer zugewiesenen verwalteten Identität bei der Microsoft Azure-Umgebung authentifiziert.

Das folgende Diagramm zeigt, wie das Vertrauen zwischen Security Command Center und Azure aufgebaut wird.

In diesem Dokument wird beschrieben, wie Sie die Verbindung mit Microsoft Azure einrichten. Die Schritte sind im Groben so:

1. Führen Sie die Schritte unter Vorbereitung aus.

2. Erstellen Sie den Azure-Connector und konfigurieren Sie, welche Abos und Standorte gescannt werden sollen. Sie benötigen die Microsoft Azure-Kundennummer für diese Schritte. Dadurch wird die Dienst-Agent-ID erstellt.

3. Konfigurieren Sie die Azure-Umgebung, um eine spezielle verwaltete Identität zu erstellen, die einem Nutzer zugewiesen ist und die folgenden Rollen hat:

   • Leser im Umfang der Microsoft Azure-Stammverwaltungsgruppe zum Lesen von Ressourcen, Abos und der Verwaltungsgruppenhierarchie.

   • Key Vault Reader im Bereich der Microsoft Azure-Stammverwaltungsgruppe zum Lesen von Metadaten zu Key Vaults und zugehörigen Zertifikaten, Schlüsseln und Geheimnissen.

   • Storage Blob Data Reader im Bereich der Microsoft Azure-Stammverwaltungsgruppe zum Lesen von Metadaten zu Ressourcen. Gewähren Sie diese Rolle, wenn Sie beim Konfigurieren des Azure-Connectors die Option Berechtigungen für die Sensitive Data Protection-Erkennung gewähren aktivieren möchten.

   • Verzeichnisleser in Microsoft Entra ID zum Lesen von Gruppen und Mitgliedschaften.

   • Sicherheitsleser in Microsoft Entra ID zum Lesen von Autorisierungsrichtlinien.

   Der Standard-Anzeigename für die Stammverwaltungsgruppe lautet Tenant root group.

   Diese Berechtigungen sind erforderlich, damit das Security Command Center Verwaltungsgruppen, Gruppen mit Mitgliedschaften und Rollendefinitionen erkennen kann, die sich in der Ressourcenhierarchie auf einer Ebene über den Abos befinden.

   Außerdem konfigurieren Sie Anmeldedaten für eine föderierte Identität für die vom Nutzer zugewiesene verwaltete Identität mithilfe von Informationen zum Dienstagenten.

   Sie können die Schritte entweder manuell ausführen oder Terraform verwenden. Sie benötigen die Dienst-Agent-ID, wenn Sie die Schritte manuell ausführen.

4. Führen Sie die Konfiguration des Azure-Connectors aus und testen Sie die Verbindung. Sie verwenden Informationen zur vom Nutzer zugewiesenen verwalteten Identität, um diese Schritte auszuführen.

Der Azure-Connector nimmt keine Azure-Logs auf, die für die von SIEM kuratierten Erkennungsfunktionen in Security Command Center Enterprise erforderlich sind. Weitere Informationen finden Sie unter Verbindung zu Microsoft Azure für die Erfassung von Protokolldaten herstellen.

Hinweise

In den folgenden Abschnitten werden die Voraussetzungen, Entscheidungen und Informationen beschrieben, die Sie benötigen, bevor Sie die Verbindung zwischen Security Command Center und Microsoft Azure konfigurieren.

Microsoft Azure-Funktionen ansehen

Machen Sie sich mit den folgenden Konzepten und Funktionen in Microsoft Azure vertraut:

• Verwalten von nutzerzugewiesenen verwalteten Identitäten

• Workload Identity-Föderation in Azure, föderierte Anmeldedaten und Konfiguration einer föderierten Identität für eine vom Nutzer zugewiesene verwaltete Identität

• Ressourcengruppen mit dem Microsoft Azure-Portal, der Azure-Befehlszeile oder Terraform erstellen und verwalten

• Integrierte Azure-Rollen und integrierte Microsoft Entra-Rollen zuweisen.

Datenerhebung planen

Beachten Sie bei der Planung der Datenerhebungsstrategie Folgendes: Sie benötigen diese Informationen, wenn Sie die Schritte in diesem Dokument ausführen.

• Erstellen oder identifizieren Sie die Ressourcengruppe, in der Sie die benutzerdefinierte verwaltete Identität erstellen möchten. Sie benötigen den Namen der Ressourcengruppe während der Konfiguration.

  Ersetzen Sie die Variable RESOURCE_GROUP_NAME durch den Namen der Ressourcengruppe, um den Wert in den nächsten Schritten dieses Dokuments einzugeben.

• Geben Sie die Ressourcen an, für die Sie Daten erfassen möchten. Wenn Sie nur Daten aus bestimmten Abos oder Regionen erheben möchten, müssen Sie diese bei der Planung identifizieren und erfassen.

  Sie können den Azure-Connector auch so konfigurieren, dass Ressourcen automatisch in allen Abos und Regionen erkannt werden.

Berechtigungen in Google Cloudeinrichten

Damit Sie in Google Cloudeine Verbindung zu den Cloud-Anbietern von Drittanbietern erstellen und verwalten können, muss Ihnen die Rolle Cloud Asset Owner (roles/cloudasset.owner) in der Organisation zugewiesen sein. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Berechtigungen in Microsoft Azure einrichten

Wenn Sie die Schritte unter Microsoft Azure manuell konfigurieren oder Microsoft Azure mit Terraform konfigurieren ausführen möchten, benötigen Sie eine Azure-Identität mit mindestens einer erstellten Ressourcengruppe sowie die folgenden Berechtigungen zum Konfigurieren von IAM-Richtlinien für Microsoft Azure und Microsoft Entra.

• Microsoft.Authorization/roleAssignments/write-Berechtigung im Bereich der übergeordneten Verwaltungsgruppe. Diese Funktion ist mit einer der folgenden vordefinierten Rollen verfügbar: Administrator der rollenbasierten Zugriffssteuerung oder Administrator des Nutzerzugriffs.

• Die folgenden Berechtigungen im Umfang einer Ressourcengruppe, in der die vom Nutzer zugewiesene verwaltete Identität erstellt wird:

  • Microsoft.ManagedIdentity/userAssignedIdentities/write
  • Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write

  Sie sind in der vordefinierten Rolle Mitwirkender an verwalteten Identitäten verfügbar.

• Die Microsoft Entra-Berechtigung microsoft.directory/roleAssignments/allProperties/allTasks. Diese ist in der vordefinierten Rolle Administrator für Berechtigungsrollen von Microsoft Entra verfügbar.

Sie benötigen erhöhte Zugriffsrechte, um Berechtigungen im Bereich der übergeordneten Verwaltungsgruppe festzulegen. Eine Anleitung zum Erhöhen des Zugriffs für einen globalen Administrator finden Sie unter Zugriff für die Verwaltung aller Azure-Abos und Verwaltungsgruppen erhöhen.

Security Command Center Azure-Connector aktivieren und konfigurieren

So erstellen und konfigurieren Sie den Azure-Connector:

1. Sie benötigen die im Abschnitt Berechtigungen in Google Cloud beschriebenen Berechtigungen.

2. Sie benötigen die 36-stellige Mandanten-ID von Microsoft Azure.

3. Öffnen Sie auf der Seite Einstellungen den Tab Connectors.

   Zu „Connectors“

4. Wählen Sie die Organisation aus, in der Sie Security Command Center Enterprise aktiviert haben.

5. Klicken Sie auf Verbinder hinzufügen > Microsoft Azure.

6. Geben Sie auf der Seite Connector konfigurieren die Azure-Mandanten-ID ein.

7. Wenn Sie Ihre Azure-Daten mit Sensitive Data Protection profilieren lassen möchten, lassen Sie die Option Berechtigungen für die Sensitive Data Protection-Erkennung gewähren aktiviert. Mit dieser Option wird die Rolle „Leser von Storage Blob-Daten“ in der Terraform-Vorlage für die benutzerdefinierte verwaltete Identität hinzugefügt.

8. Wählen Sie eine der folgenden Optionen aus:

   • Abos automatisch hinzufügen: Security Command Center erkennt Abos automatisch und nimmt sie auf. Sie können Abo-IDs optional aus der Erhebung ausschließen, indem Sie sie dem Feld Azure-Abos ausschließen hinzufügen.
   • Abos einzeln hinzufügen: Abos werden in Security Command Center nicht automatisch erkannt. Sie müssen mindestens ein Abo über das Feld Azure-Abo hinzufügen definieren.

9. Wählen Sie unter Azure-Standorte auswählen, von denen Daten erfasst werden sollen optional einen oder mehrere Microsoft Azure-Standorte aus, von denen Daten erfasst werden sollen. Lassen Sie dieses Feld leer, um Daten von allen Standorten zu erheben. Wenn Sie einen Standort aus dem Menü auswählen, werden die deaktivierten Standorte ausgeschlossen.

   Die empfohlenen Einstellungen sind Azure-Abos automatisch erkennen und alle Microsoft Azure-Standorte verwenden.

10. Klicken Sie auf Weiter. Die Seite Mit Azure verbinden wird geöffnet.

11. Lassen Sie die Seite Mit Azure verbinden geöffnet und fahren Sie mit Microsoft Azure-Umgebung konfigurieren fort.

    Nachdem Sie Microsoft Azure konfiguriert haben, kehren Sie zu dieser Seite zurück, um die Konfiguration des Azure-Connectors abzuschließen.

Microsoft Azure-Umgebung konfigurieren

Füllen Sie einen der folgenden Abschnitte aus:

• Microsoft Azure manuell konfigurieren

• Microsoft Azure mit Terraform konfigurieren

Microsoft Azure manuell konfigurieren

Im folgenden Abschnitt werden die manuellen Schritte zur Konfiguration der Azure-Umgebung beschrieben, mit denen eine Vertrauensstellung zwischen Security Command Center und Microsoft Azure hergestellt wird. Dieser Vorgang ist nicht vollständig. Jeder Abschnitt enthält Links zu Microsoft Azure-Dokumentationen, in denen erläutert wird, wie diese Aufgabe ausgeführt wird.

Vorbereitung

• Sie benötigen die im Abschnitt Berechtigungen in Microsoft Azure einrichten beschriebenen Berechtigungen.

• Sie benötigen die Dienst-Agent-ID, die beim Erstellen des Security Command Center Azure-Connectors generiert wurde.

Schritt 1: Von einem Nutzer zugewiesene verwaltete Identität in einer Ressourcengruppe erstellen

1. Folgen Sie der Anleitung unter Nutzerzugewiesene verwaltete Identitäten verwalten, um die nutzerzugewiesene verwaltete Identität zu erstellen.

   Geben Sie beim Erstellen der Identität Folgendes an:

   • Abo: Wählen Sie das Abo aus, in dem die Identität verwaltet werden soll.
   • Ressourcengruppe: Geben Sie den Namen der Ressourcengruppe an,RESOURCE_GROUP_NAME, in der die Identität verwaltet wird. Sie haben dies bei der Planung der Datenerhebung erkannt.
   • Region: Wählen Sie eine Region aus, z. B. East US.
   • Name: Geben Sie einen Namen für die vom Nutzer zugewiesene verwaltete Identität ein, z. B. gcp-managed-identity. Ersetzen Sie die Variable USER_ASSIGNED_MANAGED_IDENTITY_NAME durch den Identitätsnamen. Sie wird dann in den Schritten dieses Dokuments dort eingefügt, wo dies erforderlich ist.

2. Notieren Sie sich die folgenden Informationen. Sie benötigen sie in den nächsten Schritten.

   • Client-ID: Der 36-stellige Wert, der der Identität zugewiesen ist.
   • Objekt-ID (Principal-ID): Der 36-stellige Wert, der der Identität zugewiesen ist.
   • Identitätsname: Der Wert, den Sie für Name festgelegt haben.

Schritt 2: Verbundene Anmeldedaten für die vom Nutzer zugewiesene verwaltete Identität erstellen

Wenn Sie der nutzerzugewiesenen verwalteten Identität föderierte Anmeldedaten hinzufügen möchten, folgen Sie der Anleitung unter Verwaltete Identität für Nutzer so konfigurieren, dass sie einem externen Identitätsanbieter vertraut.

Folgen Sie der Anleitung im Abschnitt Anderes Ausstellerszenario und legen Sie Folgendes fest:

• Szenario mit föderierten Anmeldedaten: Wählen Sie Sonstiges: Eine von einem externen OpenID Connect-Anbieter verwaltete Identität für den Zugriff auf Microsoft Azure-Ressourcen als diese Anwendung konfigurieren aus.
• Aussteller-URL: Geben Sie https://accounts.google.com ein.
• Subject identifier (Subjekt-ID): Geben Sie die Dienst-Agent-ID ein, die beim Erstellen des Security Command Center Azure-Connectors generiert wurde.
• Name: Geben Sie einen Namen für die föderierten Anmeldedaten ein, z. B. gcp-managed-identity-fic.
• Zielgruppe: Geben Sie https://cloud.google.com ein.

Schritt 3: Vordefinierte Rollen in Microsoft Azure zuweisen

Folgen Sie der Anleitung unter Azure-Rollen über das Azure-Portal zuweisen, um der nutzerzugewiesenen verwalteten Identität die folgenden integrierten Microsoft Azure-Rollen zuzuweisen:

• Vault-Leser
• Reader
• Storage Blob Data Reader

Weisen Sie diese Rollen auf Ebene der übergeordneten Verwaltungsgruppe zu.

Schritt 4: Vordefinierte Rollen für Microsoft Entra ID zuweisen

Folgen Sie der Anleitung unter Nutzern Microsoft Entra-Rollen zuweisen, um der verwalteten Identität, die dem Nutzer zugewiesen wurde, die folgenden vordefinierten Rollen für Microsoft Entra ID zuzuweisen:

• Verzeichnisleser
• Sicherheitsleser

Fahren Sie anschließend mit dem Abschnitt Azure-Connector-Konfiguration abschließen fort.

Microsoft Azure mit Terraform konfigurieren

In den folgenden allgemeinen Schritten wird beschrieben, wie Sie Microsoft Azure mit Terraform konfigurieren. Dieser Vorgang ist nicht vollständig. Weitere Informationen zur Bereitstellung von Ressourcen mit Terraform finden Sie in der Terraform-Dokumentation für Azure.

1. Öffnen Sie die Seite Mit Azure verbinden, die Sie beim Erstellen des Azure-Connectors geöffnet haben.

2. Klicken Sie auf Terraform-Vorlagen herunterladen. Dadurch wird die azure_terraform.zip-Datei mit mehreren JSON-Dateien heruntergeladen.

3. Melden Sie sich in Microsoft Azure an und öffnen Sie dann Azure Cloud Shell entweder mit BASH oder Azure PowerShell.

4. Konfigurieren Sie Terraform gemäß den Richtlinien Ihrer Organisation mithilfe einer der folgenden Anleitungen:

   • Terraform in Azure Cloud Shell mit BASH konfigurieren
   • Terraform in Azure Cloud Shell mit Azure PowerShell konfigurieren

5. Kopieren Sie die Datei azure_terraform.zip in Ihre Azure Cloud Shell-Umgebung und extrahieren Sie den Inhalt. Sie sehen die folgenden Dateien: main.tf.json, outputs.tf.json, providers.tf.json und variables.tf.json.

6. Erstellen Sie Kopien dieser Dateien in einem separaten Verzeichnis.

   1. Erstellen Sie ein neues Verzeichnis, um den Beispiel-Terraform-Code zu testen, und machen Sie es zum aktuellen Verzeichnis.

   2. Erstellen Sie im neu erstellten Verzeichnis Kopien der extrahierten JSON-Dateien mit demselben Namen wie die Originaldatei:

      • Erstellen Sie eine neue Datei mit dem Namen main.tf.json und kopieren Sie den Code aus der extrahierten Datei main.tf.json.
      • Erstellen Sie eine neue Datei mit dem Namen providers.tf.json und kopieren Sie den Code aus der extrahierten Datei providers.tf.json.
      • Erstellen Sie eine neue Datei mit dem Namen outputs.tf.json und kopieren Sie den Code aus der extrahierten Datei outputs.tf.json.
      • Erstellen Sie eine neue Datei mit dem Namen variables.tf.json und kopieren Sie den Code aus der extrahierten Datei variables.tf.json.

7. Führen Sie den folgenden Befehl aus, um die Terraform-Bereitstellung zu initialisieren.

   terraform init -upgrade
   

8. Führen Sie den folgenden Befehl aus, um einen Ausführungsplan zu erstellen.

   terraform plan -out main.tfplan -var="resource_group_name=RESOURCE_GROUP_NAME" -var="user_assigned_managed_identity_name=USER_ASSIGNED_MANAGED_IDENTITY_NAME"
   

   Ersetzen Sie Folgendes:

   • RESOURCE_GROUP_NAME: der Name der Microsoft Azure-Ressourcengruppe, in der die nutzerzugewiesene verwaltete Identität erstellt wird.
   • USER_ASSIGNED_MANAGED_IDENTITY_NAME: Der Name der zu erstellenden verwalteten Identität, die dem Nutzer zugewiesen wird. Wird kein Wert festgelegt, gilt der Standardwert google-cloud-managed-identity.

9. Führen Sie den folgenden Befehl aus, um den Ausführungsplan auf die Microsoft Azure-Infrastruktur anzuwenden.

   terraform apply main.tfplan
   

10. Fahren Sie mit dem Abschnitt Azure-Connector-Konfiguration abschließen fort.

Azure-Connector konfigurieren

1. Sie benötigen die folgenden Informationen zur vom Nutzer zugewiesenen verwalteten Identität in Microsoft Azure:

   • Client-ID: Der 36-stellige Wert, der der Identität zugewiesen ist.
   • Objekt-ID (Principal-ID): Der 36-stellige Wert, der der Identität zugewiesen ist.

   Informationen dazu, wo Sie diese Informationen finden, finden Sie unter Von Nutzern zugewiesene verwaltete Identitäten auflisten.

2. Öffnen Sie die Seite Mit Azure verbinden, die Sie beim Erstellen des Azure-Connectors geöffnet haben.

3. Geben Sie im Abschnitt Von Azure verwaltete Identitätsdetails Folgendes ein:

   • Client-ID der verwalteten Identität: Dies ist die Client-ID.
   • Objekt-ID der verwalteten Identität: Dies ist die Objekt-ID (Principal-ID).

4. Klicken Sie auf Weiter.

5. Klicken Sie auf der Seite Connector testen auf Connector testen, um zu prüfen, ob Security Command Center eine Verbindung zur Microsoft Azure-Umgebung herstellen kann.

   Wenn die Verbindung erfolgreich ist,kann der Google Cloud Dienst-Agent die vom Microsoft Azure-Nutzer zugewiesene verwaltete Identität übernehmen und hat die erforderlichen Microsoft Azure- und Microsoft Entra-Berechtigungen. Wenn die Verbindung nicht erfolgreich ist, lesen Sie den Hilfeartikel Fehler beim Testen der Verbindung beheben.

6. Klicken Sie auf Speichern. Die Seite Connectors wird angezeigt.

Der Connector beginnt mit dem Scannen und Erfassen von Daten aus den von Ihnen angegebenen Azure-Abos und Standorten. Es kann bis zu 24 Stunden dauern, bis Ergebnisse angezeigt werden.

Fehler beim Testen der Verbindung beheben

Im folgenden Abschnitt werden Fehler beschrieben, die beim Testen der Verbindung zwischen dem Security Command Center und Microsoft Azure auftreten können, sowie deren Behebung.

Fehler AZURE_ENABLED_SUBSCRIPTIONS_NOT_FOUND

Der Azure-Connector hat im Mandanten, der durch das Feld Azure-Mandanten-ID angegeben ist, keine aktivierten Abos gefunden. Überprüfen Sie Folgendes:

• Wenn Abos automatisch hinzufügen ausgewählt ist, prüfen Sie, ob der Tenant Abos mit dem Status Enabled enthält, die nicht im Feld Azure-Abos ausschließen aufgeführt sind.
• Wenn Abos einzeln hinzufügen ausgewählt ist, prüfen Sie, ob die von Ihnen angegebenen Abos den Status Enabled haben.

Fehler AZURE_FAILED_TO_ASSUME_MANAGED_IDENTITY

Die Verbindung ist ungültig, da die vom Nutzer zugewiesene verwaltete Identität von Microsoft Azure nicht vom Google Cloud Dienst-Agenten übernommen werden kann. Mögliche Ursachen:

• Die in der Verbindung angegebene nutzerzugewiesene verwaltete Identität existiert nicht oder die Konfiguration ist falsch.
• Der in der Verbindung angegebene Nutzer zugewiesene Identitäts-Manager fehlt möglicherweise die Anmeldedaten für die föderierte Identität, die erforderlich sind, um dem Google Cloud Dienst-Agenten zu vertrauen.

So beheben Sie das Problem:

• Prüfen Sie die Einstellungen, die Sie beim Erstellen der vom Nutzer zugewiesenen verwalteten Identität in einer Ressourcengruppe festgelegt haben, um sicherzustellen, dass die Identität vorhanden und die Konfiguration korrekt ist.
• Prüfen Sie die Einstellungen in den Anmeldedaten für die föderierte Identität, um sicherzustellen, dass die Konfiguration korrekt ist.

Fehler AZURE_MANAGED_IDENTITY_MISSING_REQUIRED_PERMISSION

Die Verbindung ist ungültig, da der Azure-Nutzer der verwalteten Identität eine erforderliche Microsoft Azure- oder Microsoft Entra-Rolle fehlt. Die Fehlermeldung enthält die fehlende Rolle.

Prüfen Sie zum Beheben dieses Problems die Einstellungen, die Sie beim Konfigurieren der eingebauten Rollen in Microsoft Azure und der eingebauten Rollen in Microsoft Entra festgelegt haben, um sicherzustellen, dass die Konfiguration korrekt ist.

Fehler AZURE_MANAGED_IDENTITY_ASSUMPTION_FAILED_AND_MISSING_REQUIRED_PERMISSION

Die Verbindung ist ungültig, da die vom Microsoft Azure-Nutzer zugewiesene verwaltete Identität vom Google Cloud Dienst-Agenten nicht übernommen werden konnte und gleichzeitig einige der erforderlichen Microsoft Azure- oder Microsoft Entra-Rollen fehlen.

Die Fehlermeldung enthält Details dazu, für welchen Bereich die vom Nutzer zugewiesene verwaltete Identität nicht übernommen werden konnte und welche Rollen fehlen.

So beheben Sie das Problem:

• Prüfen Sie die Einstellungen, die Sie beim Erstellen der vom Nutzer zugewiesenen verwalteten Identität in einer Ressourcengruppe zugewiesen haben, um sicherzustellen, dass die Identität in der Verbindung vorhanden ist und die Einstellungen korrekt sind.
• Prüfen Sie die Einstellungen, die Sie beim Konfigurieren der vordefinierten Rollen in Microsoft Azure und der vordefinierten Rollen in Microsoft Entra festgelegt haben, um sicherzustellen, dass die Konfiguration korrekt ist.

Weitere Tipps zur Fehlerbehebung

Im folgenden Abschnitt werden Verhaltensweisen und mögliche Maßnahmen beschrieben.

Ein Ergebnis wird für eine gelöschte Azure-Ressource zurückgegeben

Nach dem Löschen einer Azure-Ressource kann es bis zu 40 Stunden dauern, bis sie aus dem Asset-Inventarsystem von Security Command Center entfernt wird. Wenn Sie ein Ergebnis beheben, indem Sie die Ressource löschen, wird es möglicherweise innerhalb dieses Zeitraums gemeldet, da das Asset noch nicht aus dem Asset-Inventarsystem des Security Command Centers entfernt wurde.

Nächste Schritte

• Wenn Sie Security Command Center Enterprise zum ersten Mal einrichten, fahren Sie mit Schritt 4 der Einrichtungsanleitung in der Konsole fort.

• Darüber hinaus können Sie Folgendes tun:

  • Ergebnisse aus Azure-Daten prüfen und beheben
  • Ressourcen zu Ergebnissen in der Security Operations Console ansehen
  • Angriffspfadsimulationen für Azure-Ressourcen ansehen