Einführung in die Azure Log Integration
Wichtig
Das Azure Log-Integrationsfeature wird am 15.06.2019 nicht mehr unterstützt. AzLog Downloads wurden am 27. Juni 2018 deaktiviert. Für eine Anleitung, wie Sie künftig vorgehen sollen, lesen Sie den Beitrag Verwenden des Azure-Monitors zur Integration mit SIEM-Tools.
Azure Log Integration wurde verfügbar gemacht, um die Integration von Azure-Protokollen in Ihr lokales SIEM-System (Security Information and Event Management) zu vereinfachen.
Die empfohlene Methode für die Integration von Azure-Protokollen besteht darin, die Connectors Ihres SIEM-Anbieters zu verwenden. Azure Monitor bietet die Möglichkeit, die Protokolle in Event Hubs zu streamen, und SIEM-Anbieter können Connectors schreiben, um Protokolle aus dem Event Hub weiter in das SIEM zu integrieren. In den Anweisungen zu Datenstromüberwachung bei Datenereignishubs finden Sie eine Beschreibung, wie dies funktioniert. Im Artikel werden auch die SIEMs aufgeführt, für die direkte Azure-Connectors bereits verfügbar sind.
Wichtig
Wenn Ihr Hauptinteresse darin besteht, Protokolle virtueller Computer zu sammeln, enthalten die meisten SIEM-Anbieter diese Option in ihrer Lösung. Die Verwendung des SIEM-Anbieterconnectors ist immer die bevorzugte Alternative.
Die Dokumentation zum Azure Log Integration-Feature wird weiterhin beibehalten, bis das Feature veraltet ist.
Lesen Sie weiter, um mehr über das Azure Log Integration-Feature zu erfahren:
Azure Log Integration sammelt Windows-Ereignisse aus Windows-Ereignisanzeigeprotokollen, Azure-Aktivitätsprotokollen, Azure Security Center-Warnungen und Azure Diagnostics-Protokollen aus Azure-Ressourcen. Die Integration hilft Ihrer SIEM-Lösung, ein einheitliches Dashboard für alle Ihre Ressourcen bereitzustellen, unabhängig davon, ob lokal oder in der Cloud. Sie können ein Dashboard verwenden, um Warnungen für Sicherheitsereignisse zu empfangen, zu aggregieren, zu korrelieren und zu analysieren.
Hinweis
Derzeit unterstützt Azure Log Integration nur kommerzielle Azure- und Azure Government-Clouds. Andere Clouds werden nicht unterstützt.
Welche Protokolle kann ich integrieren?
Azure erzeugt umfangreiche Protokollierung für jeden Azure-Dienst. Die Protokolle stellen drei Protokolltypen dar:
- Steuerungs-/Verwaltungsprotokolle: Bieten Sie Einblicke in die Azure Resource Manager CREATE-, UPDATE- und DELETE-Vorgänge. Ein Azure-Aktivitätsprotokoll ist ein Beispiel für diesen Protokolltyp.
- Protokolle der Datenebene: Bieten Sie Einblicke in Ereignisse, die ausgelöst werden, wenn Sie eine Azure-Ressource verwenden. Ein Beispiel für diesen Protokolltyp ist der System-, Sicherheits- und Anwendungskanal der Windows-Ereignisanzeige auf einem virtuellen Windows-Computer. Ein weiteres Beispiel ist die Azure Diagnostics-Protokollierung, die Sie über Azure Monitor konfigurieren.
- Verarbeitete Ereignisse: Stellen Sie analysierte Ereignis- und Warnungsinformationen bereit, die für Sie verarbeitet werden. Ein Beispiel für diese Art von Ereignis sind Azure Security Center-Warnungen. Azure Security Center verarbeitet und analysiert Ihr Abonnement, um Warnungen bereitzustellen, die für Ihren aktuellen Sicherheitsstatus relevant sind.
Azure Log Integration unterstützt ArcSight, QRadar und Splunk. Erkundigen Sie sich bei Ihrem SIEM-Anbieter, ob der Anbieter über einen nativen Connector verfügt. Verwenden Sie azure Log Integration nicht, wenn ein nativer Connector verfügbar ist.
Wenn keine anderen Optionen verfügbar sind, sollten Sie azure Log Integration verwenden. Die folgende Tabelle enthält unsere Empfehlungen:
| SIEM | Der Kunde verwendet bereits den Azure-Protokollintegrator | Der Kunde untersucht SIEM-Integrationsoptionen. |
|---|---|---|
| Splunk | Beginnen Sie mit der Migration zum Azure Monitor-Add-On für Splunk. | Verwenden Sie den Splunk-Connector. |
| QRadar | Migrieren Sie zu oder beginnen Sie mit der Verwendung des QRadar-Connectors, der im letzten Abschnitt von Stream Azure-Überwachungsdaten dokumentiert ist, zu einem Event Hub für den Verbrauch durch ein externes Tool. | Verwenden Sie den QRadar-Connector, der im letzten Abschnitt von Stream Azure-Überwachungsdaten zu einem Event Hub für die Nutzung durch ein externes Tool dokumentiert ist. |
| ArcSight | Verwenden Sie weiterhin den Azure-Protokollintegrator, bis ein Connector verfügbar ist, und migrieren Sie dann zur connectorbasierten Lösung. | Erwägen Sie die Verwendung von Azure Monitor-Protokollen als Alternative. Melden Sie sich nicht bei Azure Log Integration an, es sei denn, Sie sind bereit, den Migrationsprozess durchzuführen, wenn der Connector verfügbar wird. |
Hinweis
Obwohl Azure Log Integration eine kostenlose Lösung ist, gibt es Azure-Speicherkosten im Zusammenhang mit der Speicherung von Protokolldateiinformationen.
Wenn Sie Hilfe benötigen, können Sie eine Supportanfrage erstellen. Wählen Sie für den Dienst Protokollintegration aus.
Nächste Schritte
In diesem Artikel haben Sie Azure Log Integration kennengelernt. Weitere Informationen zur Azure Log Integration und zu den unterstützten Protokolltypen finden Sie in den folgenden Artikeln:
- Erste Schritte mit azure Log Integration. Dieses Lernprogramm führt Sie durch die Installation von Azure Log Integration. Außerdem wird beschrieben, wie Protokolle aus dem Speicher der Windows Azure-Diagnose (WAD), Azure-Aktivitätsprotokollen, Azure Security Center-Warnungen und Azure Active Directory-Überwachungsprotokollen integriert werden.
- Azure Log Integration Häufig gestellte Fragen (FAQ). In diesen häufig gestellten Fragen zu Azure Log Integration werden häufig gestellte Fragen beantwortet.
- Erfahren Sie mehr über das Streamen von Azure-Überwachungsdaten an einen Event Hub für den Verbrauch durch ein externes Tool.