Azure-Sicherheitsprotokollierung und -Überwachung
Azure bietet eine breite Palette an konfigurierbaren Optionen für die Sicherheitsüberwachung und -Protokollierung, damit Sie Lücken in Ihren Sicherheitsrichtlinien und -mechanismen bestimmen können. Dieser Artikel erläutert das Generieren, Sammeln und Analysieren von Sicherheitsprotokollen aus Diensten, die in Azure gehostet werden.
Hinweis
Bestimmte Empfehlungen in diesem Artikel können zu einer erhöhten Nutzung von Daten, Netzwerken oder Computeressourcen sowie zu höheren Lizenz- oder Abonnementkosten führen.
Protokolltypen in Azure
Cloudanwendungen sind komplexe Systeme mit zahlreichen Variablen. Die Protokollierung von Daten kann Ihnen Erkenntnisse über Ihre Anwendungen bieten und Ihnen in folgenden Punkten helfen:
- Beheben aufgetretener Probleme oder verhindern potenzieller neuer Probleme
- Verbessern der Anwendungsleistung oder Wartbarkeit
- Automatisieren von Aktionen, die andernfalls manuellen Eingriff erfordern würden
Azure-Protokolle werden in der folgenden Typen kategorisiert:
Steuerungs-/Verwaltungsprotokolle enthalten Informationen zu CREATE-, UPDATE- und DELETE-Vorgänge in Azure Resource Manager. Weitere Informationen finden Sie in Azure-Aktivitätsprotokolle.
Datenebenenprotokolle enthalten Informationen über Ereignisse, die bei der Nutzung der Azure-Ressource aufgetreten sind. Beispiele für diesen Protokolltyp sind System-, Sicherheits- und Anwendungsprotokolle des Windows-Ereignisprotokolls auf einem virtuellen Computer (VM) sowie die über Azure Monitor konfigurierten Diagnoseprotokolle.
Verarbeitete Ereignisse enthalten Informationen zu analysierten Ereignisse/Warnungen, die in Ihrem Auftrag verarbeitet wurden. Beispiele für diesen Typ sind Microsoft Defender für Cloud-Warnungen, bei denen Microsoft Defender für Cloud Ihr Abonnement verarbeitet und analysiert hat und prägnante Sicherheitswarnungen ausgibt.
Die folgende Tabelle enthält die wichtigsten Protokolltypen, die in Azure verfügbar sind:
| Protokollkategorie | Protokolltyp | Verwendung | Integration |
|---|---|---|---|
| Aktivitätsprotokolle | Ereignisse der Steuerungsebene für Azure Resource Manager-Ressourcen | Bieten Einblicke in Vorgänge, die für Ressourcen Ihres Abonnements durchgeführt wurden. | REST-API und Azure Monitor |
| Azure-Ressourcenprotokolle | Häufige Daten zum Betrieb der Azure Resource Manager-Ressourcen im Abonnement | Bieten einen Einblick in Vorgänge, die Ihre Ressource selbst ausgeführt hat. | Azure Monitor |
| Microsoft Entra ID-Berichterstellung | Protokolle und Berichte | Enthält Informationen über Aktivitäten zur Benutzeranmeldung und Systemaktivitäten zur Benutzer- und Gruppenverwaltung. | Microsoft Graph |
| Virtuelle Computer und Clouddienste | Windows-Ereignisprotokolldienst und Linux-Syslog | Erfasst Systemdaten und Protokollierungsdaten auf den virtuellen Computern und überträgt die Daten in ein Speicherkonto Ihrer Wahl. | Windows (mit Azure-Diagnosespeicher) und Linux in Azure Monitor |
| Azure-Speicheranalyse | Speicherprotokollierung, stellt Metrikdaten für ein Speicherkonto bereit | Bietet einen Einblick in Nachverfolgungsanforderungen und ermöglicht die Analyse von Verwendungstrends sowie die Diagnose von Problemen mit dem Speicherkonto. | REST-API oder Clientbibliothek |
| NSG-Flussprotokolle (Netzwerksicherheitsgruppe) | JSON-Format, zeigt eingehende und ausgehende Datenflüsse auf Regelbasis | Zeigt Informationen zu ein- und ausgehendem IP-Datenverkehr über eine Netzwerksicherheitsgruppe an. | Azure Network Watcher |
| Application Insight | Protokolle, Ausnahmen und benutzerdefinierte Diagnosen | Bietet einen für Webentwickler konzipierten Dienst zur Verwaltung der Anwendungsleistung (Application Performance Management, APM) auf mehreren Plattformen. | REST-API, Power BI |
| Prozessdaten/Sicherheitswarnungen | Microsoft Defender für Cloud-Warnungen, Azure Monitor-Protokollwarnungen | Bietet Sicherheitsinformationen und Warnungen. | REST-APIs, JSON |
Protokollintegration mit lokalen SIEM-Systemen
In dem Artikel Integrieren von Sicherheitslösungen in Defender für Cloud erfahren Sie, wie Sie Defender für Cloud-Warnungen sowie in Azure-Diagnoseprotokollen und -Überwachungsprotokollen erfasste Sicherheitsereignisse virtueller Computer mit Azure Monitor-Protokollen oder Ihrer SIEM-Lösung synchronisieren.
Nächste Schritte
Überwachung und Protokollierung: Schützen von Daten durch Beibehalten der Sichtbarkeit und schnelles Reagieren auf zeitnahe Sicherheitswarnungen.
Konfigurieren von Überwachungseinstellungen für eine Websitesammlung: Wenn Sie Administrator einer Websitesammlung sind, können Sie den Verlauf der Aktionen für einzelne Benutzer und den Verlauf von Aktionen, die während eines bestimmten Zeitraums ausgeführt wurden, abrufen.
Durchsuchen des Überwachungsprotokolls im Microsoft Defender-Portal: Im Microsoft Defender-Portal können Sie das einheitliche Überwachungsprotokoll durchsuchen und Benutzer- und Administratoraktivitäten in Ihrer Organisation anzeigen.