Wprowadzenie do usługi Azure Log Integration
Ważne
Funkcja integracji dzienników platformy Azure zostanie wycofana przez 15.06.2019. Pliki do pobrania azLog zostały wyłączone w dniu 27 czerwca 2018 r. Aby uzyskać wskazówki dotyczące tego, co należy zrobić w przyszłości, zapoznaj się z wpisem Używanie usługi Azure Monitor do integracji z narzędziami SIEM
Azure Log Integration udostępniono, aby uprościć zadanie integracji dzienników platformy Azure z lokalnym systemem zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM).
Zalecaną metodą integracji dzienników platformy Azure jest użycie łączników dostawcy SIEM. Usługa Azure Monitor umożliwia przesyłanie strumieniowe dzienników do centrów zdarzeń, a dostawcy SIEM mogą zapisywać łączniki w celu dalszej integracji dzienników z centrum zdarzeń z rozwiązania SIEM. Aby uzyskać opis sposobu działania, postępuj zgodnie z instrukcjami w temacie Monitorowanie monitorowania strumienia dla centrów zdarzeń danych. W tym artykule wymieniono również moduły SIEM, dla których są już dostępne bezpośrednie łączniki platformy Azure.
Ważne
Jeśli twoim głównym celem jest zbieranie dzienników maszyn wirtualnych, większość dostawców SIEM obejmuje tę opcję w swoim rozwiązaniu. Użycie łącznika dostawcy SIEM jest zawsze preferowaną alternatywą.
Dokumentacja funkcji Azure Log Integration jest nadal utrzymywana, dopóki funkcja nie zostanie wycofana.
Przeczytaj więcej, aby dowiedzieć się więcej na temat funkcji Azure Log Integration:
Azure Log Integration zbiera zdarzenia systemu Windows z dzienników Podgląd zdarzeń systemu Windows, dzienników aktywności platformy Azure, alertów Azure Security Center i dzienników Diagnostyka Azure z zasobów platformy Azure. Integracja pomaga rozwiązaniu SIEM zapewnić ujednolicony pulpit nawigacyjny dla wszystkich zasobów, zarówno lokalnych, jak i w chmurze. Pulpit nawigacyjny umożliwia odbieranie, agregowanie, korelowanie i analizowanie alertów dotyczących zdarzeń zabezpieczeń.
Uwaga
Obecnie Azure Log Integration obsługuje tylko chmury komercyjne i Azure Government platformy Azure. Inne chmury nie są obsługiwane.
Jakie dzienniki można zintegrować?
Platforma Azure tworzy obszerne rejestrowanie dla każdej usługi platformy Azure. Dzienniki reprezentują trzy typy dzienników:
- Dzienniki sterowania/zarządzania: zapewniają wgląd w operacje tworzenia, aktualizowania i usuwania platformy Azure Resource Manager. Dziennik aktywności platformy Azure to przykład tego typu dziennika.
- Dzienniki płaszczyzny danych: zapewniają wgląd w zdarzenia, które są zgłaszane podczas korzystania z zasobu platformy Azure. Przykładem tego typu dziennika jest kanał System, Zabezpieczenia i Aplikacja systemu Windows Podgląd zdarzeń na maszynie wirtualnej z systemem Windows. Innym przykładem jest Diagnostyka Azure rejestrowania, które można skonfigurować za pośrednictwem usługi Azure Monitor.
- Przetworzone zdarzenia: podaj przeanalizowane informacje o zdarzeniach i alertach, które są przetwarzane dla Ciebie. Przykładem tego typu zdarzenia są alerty Azure Security Center. Azure Security Center procesów i analizuje subskrypcję w celu zapewnienia alertów istotnych dla bieżącego stanu zabezpieczeń.
Azure Log Integration obsługuje usługi ArcSight, QRadar i Splunk. Sprawdź dostawcę rozwiązania SIEM, aby ocenić, czy dostawca ma łącznik natywny. Nie używaj Azure Log Integration, jeśli jest dostępny łącznik natywny.
Jeśli nie są dostępne żadne inne opcje, rozważ użycie Azure Log Integration. Poniższa tabela zawiera nasze zalecenia:
| SIEM | Klient korzysta już z integratora dzienników platformy Azure | Klient bada opcje integracji rozwiązania SIEM |
|---|---|---|
| Splunk | Rozpocznij migrację do dodatku usługi Azure Monitor dla rozwiązania Splunk. | Użyj łącznika Splunk. |
| QRadar | Przeprowadź migrację do lub rozpocznij korzystanie z łącznika QRadar opisanego w ostatniej sekcji danych monitorowania platformy Azure usługi Stream do centrum zdarzeń do użycia przez narzędzie zewnętrzne. | Użyj łącznika QRadar opisanego w ostatniej sekcji danych monitorowania platformy Azure usługi Stream do centrum zdarzeń do użycia przez narzędzie zewnętrzne. |
| ArcSight | Kontynuuj korzystanie z integratora dzienników platformy Azure do momentu udostępnienia łącznika, a następnie migracji do rozwiązania opartego na łączniku. | Rozważ użycie dzienników usługi Azure Monitor jako alternatywy. Nie dołączaj do Azure Log Integration, chyba że chcesz przejść przez proces migracji, gdy łącznik stanie się dostępny. |
Uwaga
Chociaż Azure Log Integration jest bezpłatnym rozwiązaniem, istnieją koszty magazynu platformy Azure skojarzone z magazynem informacji o plikach dziennika.
Jeśli potrzebujesz pomocy, możesz utworzyć wniosek o pomoc techniczną. W przypadku usługi wybierz pozycję Integracja dzienników.
Następne kroki
W tym artykule przedstawiono Azure Log Integration. Aby dowiedzieć się więcej o Azure Log Integration i obsługiwanych typach dzienników, zobacz następujące artykuły:
- Rozpocznij pracę z Azure Log Integration. Ten samouczek przeprowadzi Cię przez proces instalacji Azure Log Integration. W tym artykule opisano również sposób integrowania dzienników z magazynu Diagnostyka Azure systemu Windows (WAD), dzienników aktywności platformy Azure, alertów Azure Security Center i dzienników inspekcji usługi Azure Active Directory.
- Azure Log Integration często zadawane pytania. Ta często zadawane pytania zawiera odpowiedzi na często zadawane pytania dotyczące Azure Log Integration.
- Dowiedz się więcej na temat przesyłania strumieniowego danych monitorowania platformy Azure do centrum zdarzeń do użycia przez narzędzie zewnętrzne.