Rejestrowanie i inspekcja zabezpieczeń na platformie Azure
Platforma Azure oferuje szeroką gamę konfigurowalnych opcji inspekcji zabezpieczeń i rejestrowania, które ułatwiają identyfikowanie luk w zasadach i mechanizmach zabezpieczeń. W tym artykule omówiono generowanie, zbieranie i analizowanie dzienników zabezpieczeń z usług hostowanych na platformie Azure.
Uwaga
Niektóre zalecenia w tym artykule mogą spowodować zwiększenie użycia danych, sieci lub zasobów obliczeniowych oraz zwiększenie kosztów licencji lub subskrypcji.
Typy dzienników na platformie Azure
Aplikacje w chmurze są złożone z wielu ruchomych części. Rejestrowanie danych może zapewnić szczegółowe informacje o aplikacjach i ułatwić:
- Rozwiązywanie przeszłych problemów lub zapobieganie potencjalnym problemom
- Zwiększanie wydajności aplikacji lub łatwość konserwacji
- Automatyzowanie akcji, które w przeciwnym razie wymagają interwencji ręcznej
Dzienniki platformy Azure są podzielone na następujące typy:
Dzienniki kontroli/zarządzania zawierają informacje na temat operacji CREATE, UPDATE i DELETE usługi Azure Resource Manager. Więcej informacji można znaleźć w sekcji Dzienniki aktywności usługi Azure.
Dzienniki płaszczyzny danych zawierają informacje o zdarzeniach zgłaszanych w ramach użycia zasobów platformy Azure. Przykładami tego typu dziennika są dzienniki systemu Windows, zabezpieczeń i aplikacji w maszynie wirtualnej oraz dzienniki diagnostyczne skonfigurowane za pośrednictwem usługi Azure Monitor.
Przetworzone zdarzenia zawierają informacje o przeanalizowanych zdarzeniach/alertach, które zostały przetworzone w Twoim imieniu. Przykłady tego typu to Microsoft Defender dla Chmury alerty, w których Microsoft Defender dla Chmury przetworzył i przeanalizował subskrypcję oraz zapewnia zwięzłe alerty zabezpieczeń.
W poniższej tabeli wymieniono najważniejsze typy dzienników dostępnych na platformie Azure:
| Kategoria dziennika | Typ dziennika | Użycie | Integracja |
|---|---|---|---|
| Dzienniki aktywności | Zdarzenia płaszczyzny sterowania w zasobach usługi Azure Resource Manager | Zapewnia wgląd w operacje, które zostały wykonane na zasobach w ramach subskrypcji. | Interfejs API REST, Azure Monitor |
| Dzienniki zasobów platformy Azure | Częste dane dotyczące działania zasobów usługi Azure Resource Manager w subskrypcji | Zapewnia wgląd w operacje wykonywane przez sam zasób. | Azure Monitor |
| Raportowanie identyfikatorów entra firmy Microsoft | Dzienniki i raporty | Raportuje działania logowania użytkowników i informacje o aktywności systemu dotyczące użytkowników i zarządzania grupami. | Microsoft Graph |
| Maszyny wirtualne i usługi w chmurze | Usługa dziennika zdarzeń systemu Windows i dziennik systemu Linux | Przechwytuje dane systemowe i dane rejestrowania na maszynach wirtualnych i przesyła te dane do wybranego konta magazynu. | Windows (przy użyciu magazynu Diagnostyka Azure) i Systemu Linux w usłudze Azure Monitor |
| Analityka usługi Azure Storage | Rejestrowanie magazynu, udostępnia dane metryk dla konta magazynu | Zapewnia wgląd w żądania śledzenia, analizuje trendy użycia i diagnozuje problemy z kontem magazynu. | Interfejs API REST lub biblioteka klienta |
| Dzienniki przepływu sieciowej grupy zabezpieczeń | Format JSON, pokazuje przepływy wychodzące i przychodzące dla poszczególnych reguł | Wyświetla informacje o ruchu przychodzącym i wychodzącym IP za pośrednictwem sieciowej grupy zabezpieczeń. | Azure Network Watcher |
| Usługa Application Insights | Dzienniki, wyjątki i diagnostyka niestandardowa | Udostępnia usługę monitorowania wydajności aplikacji (APM) dla deweloperów sieci Web na wielu platformach. | Interfejs API REST, usługa Power BI |
| Przetwarzanie danych/alertów zabezpieczeń | alerty Microsoft Defender dla Chmury, alerty dzienników usługi Azure Monitor | Udostępnia informacje o zabezpieczeniach i alerty. | Interfejsy API REST, JSON |
Integracja dzienników z lokalnymi systemami SIEM
Zintegrowanie alertów Defender dla Chmury omawia sposób synchronizowania alertów Defender dla Chmury, zdarzeń zabezpieczeń maszyny wirtualnej zebranych przez dzienniki diagnostyki platformy Azure oraz dzienników inspekcji platformy Azure za pomocą dzienników usługi Azure Monitor lub rozwiązania SIEM.
Następne kroki
Inspekcja i rejestrowanie: Ochrona danych dzięki zachowaniu widoczności i szybkiego reagowania na alerty zabezpieczeń w odpowiednim czasie.
Konfigurowanie ustawień inspekcji dla zbioru witryn: jeśli jesteś administratorem zbioru witryn, pobierz historię akcji poszczególnych użytkowników i historię akcji wykonywanych w określonym zakresie dat.
Przeszukaj dziennik inspekcji w witrynie Microsoft Defender Portal: użyj portalu Microsoft Defender, aby wyszukać ujednolicony dziennik inspekcji i wyświetlić aktywność użytkowników i administratorów w organizacji.