Azure Log Integration met Azure Diagnostics logboekregistratie en Windows Event Forwarding

Belangrijk

De azure-logboekintegratiefunctie wordt afgeschaft op 15-06-2019. AzLog-downloads zijn uitgeschakeld op 27 juni 2018. Raadpleeg het bericht Azure Monitor gebruiken om te integreren met SIEM-hulpprogramma's voor hulp bij wat u moet doen

Gebruik alleen Azure-logboekintegratie als een Azure Monitor-connector niet beschikbaar is bij uw SIEM-leverancier (Security Incident and Event Management).

Azure Log Integration Maakt Azure-logboeken beschikbaar voor uw SIEM, zodat u een uniform beveiligingsdashboard voor al uw assets kunt maken. Neem contact op met uw SIEM-leverancier voor meer informatie over de status van een Azure Monitor-connector.

Belangrijk

Als uw primaire interesse het verzamelen van logboeken van virtuele machines is, nemen de meeste SIEM-leveranciers deze optie op in hun oplossing. Het gebruik van de SIEM-leverancierconnector is altijd het voorkeurs alternatief.

Dit artikel helpt u aan de slag te gaan met Azure Log Integration. Het is gericht op het installeren van de Azure Log Integration-service en het integreren van de service met Azure Diagnostics. De Azure Log Integration-service verzamelt vervolgens Windows-gebeurtenislogboekgegevens van het Windows-beveiliging Gebeurteniskanaal van virtuele machines die zijn geïmplementeerd in een Azure-infrastructuur als een service. Dit is vergelijkbaar met het doorsturen van gebeurtenissen die u in een on-premises systeem kunt gebruiken.

Notitie

De integratie van de uitvoer van Azure Log Integration met een SIEM wordt uitgevoerd door de SIEM zelf. Zie Azure Log Integration integreren met uw on-premises SIEM voor meer informatie.

De Azure Log Integration-service wordt uitgevoerd op een fysieke of virtuele computer met Windows Server 2008 R2 of hoger (Windows Server 2016 of Windows Server 2012 R2 heeft de voorkeur).

Een fysieke computer kan on-premises of op een hostingsite worden uitgevoerd. Als u ervoor kiest om de Azure Log Integration-service uit te voeren op een virtuele machine, kan de virtuele machine zich on-premises of in een openbare cloud bevinden, zoals in Microsoft Azure.

De fysieke of virtuele machine waarop de Azure Log Integration-service wordt uitgevoerd, vereist netwerkconnectiviteit met de openbare Azure-cloud. In dit artikel vindt u meer informatie over de vereiste configuratie.

Vereisten

Voor het installeren van Azure Log Integration zijn minimaal de volgende items vereist:

• Een Azure-abonnement. Als u nog geen account hebt, kunt u zich aanmelden voor een gratis account.

• Een opslagaccount dat kan worden gebruikt voor logboekregistratie van Windows Azure Diagnostics (WAD). U kunt een vooraf geconfigureerd opslagaccount gebruiken of een nieuw opslagaccount maken. Verderop in dit artikel wordt beschreven hoe u het opslagaccount configureert.

  Notitie

  Afhankelijk van uw scenario is mogelijk geen opslagaccount vereist. Voor het Azure Diagnostics scenario dat in dit artikel wordt behandeld, is een opslagaccount vereist.

• Twee systemen:

  • Een machine waarop de Azure Log Integration-service wordt uitgevoerd. Deze computer verzamelt alle logboekgegevens die later worden geïmporteerd in uw SIEM. Dit systeem:
    • Kan on-premises zijn of worden gehost in Microsoft Azure.
    • Er moet een x64-versie van Windows Server 2008 R2 SP1 of hoger worden uitgevoerd en Microsoft .NET 4.5.1 moet zijn geïnstalleerd. Als u wilt bepalen welke .NET-versie is geïnstalleerd, raadpleegt u Bepalen welke .NET Framework versies zijn geïnstalleerd.
    • Moet verbinding hebben met het Azure Storage-account dat wordt gebruikt voor Azure Diagnostics logboekregistratie. Verderop in dit artikel wordt beschreven hoe u de connectiviteit kunt bevestigen.
  • Een machine die u wilt bewaken. Dit is een VM die wordt uitgevoerd als een virtuele Azure-machine. De logboekgegevens van deze computer worden verzonden naar de Azure Log Integration-servicecomputer.

Bekijk de volgende video voor een korte demonstratie van het maken van een virtuele machine met behulp van de Azure Portal:

Overwegingen bij de implementatie

Tijdens het testen kunt u elk systeem gebruiken dat voldoet aan de minimale besturingssysteemvereisten. Voor een productieomgeving is het mogelijk dat u moet plannen om omhoog of uit te schalen.

U kunt meerdere exemplaren van de Azure Log Integration-service uitvoeren. U kunt echter slechts één exemplaar van de service per fysieke of virtuele machine uitvoeren. Bovendien kunt u taken verdelen Azure Diagnostics opslagaccounts voor WAD. Het aantal abonnementen dat aan de exemplaren moet worden verstrekt, is gebaseerd op uw capaciteit.

Notitie

Momenteel hebben we geen specifieke aanbevelingen over het uitschalen van exemplaren van Azure Log Integration machines (dat wil gezegd, machines waarop de Azure Log Integration-service wordt uitgevoerd) of voor opslagaccounts of abonnementen. Neem beslissingen over schaalaanpassing op basis van uw prestatieobservaties op elk van deze gebieden.

Om de prestaties te verbeteren, hebt u ook de mogelijkheid om de Azure Log Integration-service omhoog te schalen. Met de volgende metrische prestatiegegevens kunt u de machines die u kiest om de Azure Log Integration-service uit te voeren, vergroten of verkleinen:

• Op een machine met 8 processoren (kernen) kan één exemplaar van Azure Log Integration ongeveer 24 miljoen gebeurtenissen per dag verwerken (ongeveer 1 miljoen gebeurtenissen per uur).
• Op een machine met vier processoren (kernen) kan één exemplaar van Azure Log Integration ongeveer 1,5 miljoen gebeurtenissen per dag verwerken (ongeveer 62.500 gebeurtenissen per uur).

Azure Log Integration installeren

Loop door de set-up routine. Kies of u telemetriegegevens wilt opgeven aan Microsoft.

De Azure Log Integration-service verzamelt telemetriegegevens van de computer waarop deze is geïnstalleerd.

Telemetriegegevens die worden verzameld, omvatten het volgende:

• Uitzonderingen die optreden tijdens het uitvoeren van Azure Log Integration.
• Metrische gegevens over het aantal query's en gebeurtenissen dat is verwerkt.
• Statistieken over welke Azlog.exe opdrachtregelopties worden gebruikt.

Notitie

We raden u aan microsoft toe te staan telemetriegegevens te verzamelen. U kunt het verzamelen van telemetriegegevens uitschakelen door het selectievakje Toestaan dat Microsoft telemetriegegevens verzamelt uit te schakelen.

Het installatieproces wordt behandeld in de volgende video:

Stappen na installatie en validatie

Nadat u de basisinstallatie hebt voltooid, kunt u de stappen na de installatie en validatie uitvoeren:

1. Open PowerShell als beheerder. Ga vervolgens naar C:\Program Files\Microsoft Azure Log Integration.

2. Importeer de Azure Log Integration cmdlets. Voer het script LoadAzlogModule.ps1uit om de cmdlets te importeren. Voer Enter .\LoadAzlogModule.ps1in en druk op Enter (let op het gebruik van .\ in deze opdracht). In de volgende afbeelding ziet u iets dat er ongeveer als volgt uitziet:

   

3. Configureer vervolgens Azure Log Integration om een specifieke Azure-omgeving te gebruiken. Een Azure-omgeving is het type Azure-clouddatacenter waarmee u wilt werken. Hoewel er momenteel verschillende Azure-omgevingen zijn, zijn de relevante opties AzureCloud of AzureUSGovernment. Als u PowerShell als beheerder uitvoert, moet u ervoor zorgen dat u zich in C:\Program Files\Microsoft Azure Log Integration bevindt. Voer vervolgens deze opdracht uit:

   Set-AzlogAzureEnvironment -Name AzureCloud (voor AzureCloud)

   Als u de Azure-cloud van de Amerikaanse overheid wilt gebruiken, gebruikt u AzureUSGovernment voor de variabele -Name . Momenteel worden andere Azure-clouds niet ondersteund.

   Notitie

   U ontvangt geen feedback wanneer de opdracht slaagt.

4. Voordat u een systeem kunt bewaken, hebt u de naam nodig van het opslagaccount dat wordt gebruikt voor Azure Diagnostics. Ga in de Azure Portal naar Virtuele machines. Zoek naar een virtuele Windows-machine die u wilt bewaken. Selecteer diagnostische instellingen in de sectie Eigenschappen. Selecteer vervolgens Agent. Noteer de naam van het opslagaccount dat is opgegeven. U hebt deze accountnaam nodig voor een latere stap.

   

   

   Notitie

   Als bewaking niet is ingeschakeld toen de virtuele machine werd gemaakt, kunt u deze inschakelen zoals weergegeven in de voorgaande afbeelding.

5. Ga nu terug naar de Azure Log Integration machine. Controleer of u verbinding hebt met het opslagaccount vanaf het systeem waarop u Azure Log Integration hebt geïnstalleerd. De computer waarop de Azure Log Integration-service wordt uitgevoerd, moet toegang hebben tot het opslagaccount om gegevens op te halen die zijn vastgelegd door Azure Diagnostics op elk van de bewaakte systemen. Ga als volgende te werk om de connectiviteit te controleren:

   1. Download Azure Storage Explorer.
   2. Voltooi de installatie.
   3. Wanneer de installatie is voltooid, selecteert u Volgende. Laat het selectievakje Starten Microsoft Azure Storage Explorer ingeschakeld.
   4. Meld u aan bij Azure.
   5. Controleer of u het opslagaccount ziet dat u hebt geconfigureerd voor Azure Diagnostics:

   

   1. Er worden enkele opties weergegeven onder opslagaccounts. Onder Tabellen ziet u een tabel met de naam WADWindowsEventLogsTable.

   Als bewaking niet is ingeschakeld toen de virtuele machine werd gemaakt, kunt u deze inschakelen, zoals eerder is beschreven.

Windows VM-logboeken integreren

In deze stap configureert u de computer waarop de Azure Log Integration-service wordt uitgevoerd om verbinding te maken met het opslagaccount dat de logboekbestanden bevat.

U hebt een aantal dingen nodig om deze stap te voltooien:

• FriendlyNameForSource: een beschrijvende naam die u kunt toepassen op het opslagaccount dat u hebt geconfigureerd voor de virtuele machine voor het opslaan van gegevens uit Azure Diagnostics.
• StorageAccountName: de naam van het opslagaccount dat u hebt opgegeven toen u Azure Diagnostics hebt geconfigureerd.
• StorageKey: de opslagsleutel voor het opslagaccount waarin de Azure Diagnostics informatie wordt opgeslagen voor deze virtuele machine.

Voer de volgende stappen uit om de opslagsleutel te verkrijgen:

1. Ga naar de Azure Portal.

2. Selecteer Alle services in het navigatiedeelvenster.

3. Voer Opslag in het vak Filter in. Selecteer vervolgens Opslagaccounts.

   

4. Er wordt een lijst met opslagaccounts weergegeven. Dubbelklik op het account dat u hebt toegewezen aan logboekopslag.

   

5. Selecteer onder Instellingen de optie Toegangssleutels.

   

6. Kopieer sleutel1 en sla deze op een veilige locatie op waartoe u toegang hebt voor de volgende stap.

7. Open op de server waarop u Azure Log Integration hebt geïnstalleerd een opdrachtpromptvenster als beheerder. (Open een opdrachtpromptvenster als beheerder en niet PowerShell).

8. Ga naar C:\Program Files\Microsoft Azure Log Integration.

9. Voer deze opdracht uit: Azlog source add <FriendlyNameForTheSource> WAD <StorageAccountName> <StorageKey>.

   Voorbeeld:

   Azlog source add Azlogtest WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

   Als u wilt dat de abonnements-id wordt weergegeven in de gebeurtenis-XML, voegt u de abonnements-id toe aan de beschrijvende naam:

   Azlog source add <FriendlyNameForTheSource>.<SubscriptionID> WAD <StorageAccountName> <StorageKey>

   Voorbeeld:

   Azlog source add Azlogtest.YourSubscriptionID WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

Notitie

Wacht maximaal 60 minuten en bekijk vervolgens de gebeurtenissen die zijn opgehaald uit het opslagaccount. Als u de gebeurtenissen wilt weergeven, selecteert u in Azure Log Integration Logboeken>Windows Logs>Forwarded Events.

In de volgende video worden de voorgaande stappen behandeld:

Als gegevens niet worden weergegeven in de map Doorgestuurde gebeurtenissen

Als gegevens na een uur niet worden weergegeven in de map Doorgestuurde gebeurtenissen, voert u de volgende stappen uit:

1. Controleer de computer waarop de Azure Log Integration-service wordt uitgevoerd. Controleer of deze toegang heeft tot Azure. Als u de connectiviteit wilt testen, gaat u in een browser naar de Azure Portal.
2. Zorg ervoor dat het gebruikersaccount Azlog schrijfmachtigingen heeft voor de mapgebruikers\Azlog.
   1. Open Verkenner.
   2. Ga naar C:\users.
   3. Klik met de rechtermuisknop op C:\users\Azlog.
   4. Selecteer Beveiliging.
   5. Selecteer NT Service\Azlog. Controleer de machtigingen voor het account. Als het account ontbreekt op dit tabblad of als de juiste machtigingen niet worden weergegeven, kunt u de accountmachtigingen op dit tabblad verlenen.
3. Wanneer u de opdracht Azlog source listuitvoert, moet u ervoor zorgen dat het opslagaccount dat in de opdracht Azlog source add is toegevoegd, wordt vermeld in de uitvoer.
4. Als u wilt zien of er fouten worden gerapporteerd vanuit de Azure Log Integration-service, gaat u naar Logboeken>WindowsLogs-toepassing>.

Als u problemen ondervindt tijdens de installatie en configuratie, kunt u een ondersteuningsaanvraag maken. Selecteer Logboekintegratie voor de service.

Een andere ondersteuningsoptie is het Azure Log Integration MSDN-forum. In het MSDN-forum kan de community ondersteuning bieden door vragen te beantwoorden en tips en trucs te delen over het optimaal gebruik van Azure Log Integration. Het Azure Log Integration team bewaakt dit forum ook. Ze helpen altijd.

Azure-activiteitenlogboeken integreren

Het Azure-activiteitenlogboek is een abonnementslogboek dat inzicht biedt in gebeurtenissen op abonnementsniveau die zijn opgetreden in Azure. Het gaat hier om allerlei gegevens, van operationele gegevens van Azure Resource Manager tot updates van Service Health-gebeurtenissen. De Azure Security Center Waarschuwingen worden ook opgenomen in dit logboek.

Notitie

Voordat u de stappen in dit artikel uitvoert, moet u het artikel Aan de slag bekijken en de stappen daar voltooien.

Stappen voor het integreren van Azure-activiteitenlogboeken

1. Open de opdrachtprompt en voer deze opdracht uit: cd c:\Program Files\Microsoft Azure Log Integration

2. Voer deze opdracht uit: azlog createazureid

   Met deze opdracht wordt u gevraagd om u aan te melden bij Azure. Met de opdracht maakt u vervolgens een Azure Active Directory-service-principal in de Azure AD tenants die als host fungeren voor de Azure-abonnementen waarin de aangemelde gebruiker een beheerder, medebeheerder of eigenaar is. De opdracht mislukt als de aangemelde gebruiker alleen een gastgebruiker is in de Azure AD tenant. Verificatie bij Azure wordt uitgevoerd via Azure AD. Als u een service-principal maakt voor Azure Log Integration maakt u de Azure AD identiteit die toegang krijgt om te lezen vanuit Azure-abonnementen.

3. Voer de volgende opdracht uit om de Azure Log Integration service-principal die in de vorige stap is gemaakt, toegang te geven tot het activiteitenlogboek voor het abonnement. U moet eigenaar zijn van het abonnement om de opdracht uit te voeren.

   Azlog.exe authorize subscriptionId Voorbeeld:

   AZLOG.exe authorize ba2c2367-d24b-4a32-17b5-4443234859

4. Controleer de volgende mappen om te controleren of de JSON-bestanden van het Azure Active Directory-auditlogboek daarin zijn gemaakt:

   • C:\Users\azlog\AzureResourceManagerJson
   • C:\Users\azlog\AzureResourceManagerJsonLD

Notitie

Neem contact op met uw SIEM-leverancier voor specifieke instructies over het overbrengen van de informatie in de JSON-bestanden naar uw SIEM-systeem (Security Information and Event Management).

Er is communautaire hulp beschikbaar via het Azure Log Integration MSDN-forum. Op dit forum kunnen mensen in de Azure Log Integration community elkaar ondersteunen met vragen, antwoorden, tips en trucs. Daarnaast bewaakt het Azure Log Integration team dit forum en helpt het altijd.

U kunt ook een ondersteuningsaanvraag openen. Selecteer Logboekintegratie als de service waarvoor u ondersteuning aanvraagt.

Volgende stappen

Zie de volgende artikelen voor meer informatie over Azure Log Integration: Voordat u de stappen in dit artikel uitvoert, moet u het artikel Aan de slag raadplegen en de stappen daar voltooien.

• Inleiding tot Azure Log Integration. In dit artikel maakt u kennis met Azure Log Integration, de belangrijkste mogelijkheden en de werking ervan.
• Stappen voor partnerconfiguratie. In dit blogbericht ziet u hoe u Azure Log Integration configureert om te werken met partneroplossingen Splunk, HP ArcSight en IBM QRadar. Hierin worden onze huidige richtlijnen beschreven over het configureren van de SIEM-onderdelen. Neem contact op met uw SIEM-leverancier voor meer informatie.
• Azure Log Integration veelgestelde vragen (FAQ). In deze veelgestelde vragen vindt u antwoorden op veelgestelde vragen over Azure Log Integration.
• Azure Security Center waarschuwingen integreren met Azure Log Integration. In dit artikel wordt beschreven hoe u Security Center-waarschuwingen en beveiligingsevenementen voor virtuele machines synchroniseert die worden verzameld door Azure Diagnostics- en Azure-activiteitenlogboeken. U synchroniseert de logboeken met behulp van uw Azure Monitor-logboeken of SIEM-oplossing.
• Nieuwe functies voor Azure Diagnostics- en Azure-auditlogboeken. In dit blogbericht maakt u kennis met Azure-auditlogboeken en andere functies waarmee u inzicht kunt krijgen in de bewerkingen van uw Azure-resources.