Wprowadzenie do integracji dzienników platformy Azure
Ważne
Funkcja integracji dzienników platformy Azure zostanie wycofana do 15.06.2019 r. Pobieranie AzLog zostało wyłączone 27 czerwca 2018 r. Aby uzyskać wskazówki dotyczące tego, co należy zrobić, zapoznaj się z wpisem Używanie usługi Azure Monitor do integracji z narzędziami SIEM
Integracja dzienników platformy Azure została udostępniona w celu uproszczenia zadania integracji dzienników platformy Azure z lokalnym systemem zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM).
Zalecaną metodą integracji dzienników platformy Azure jest użycie łączników dostawcy rozwiązania SIEM. Usługa Azure Monitor umożliwia przesyłanie strumieniowe dzienników do Event Hubs, a dostawcy rozwiązań SIEM mogą tworzyć łączniki w celu dalszej integracji dzienników z Event Hubs do systemu SIEM. Aby uzyskać opis działania tej funkcji, postępuj zgodnie z instrukcjami w rozdziale Monitorowanie strumienia dla centrów zdarzeń danych. W tym artykule wymieniono również moduły SIEM, dla których są już dostępne bezpośrednie łączniki platformy Azure.
Ważne
Jeśli twoim głównym celem jest zbieranie dzienników maszyn wirtualnych, większość dostawców rozwiązania SIEM obejmuje tę opcję. Użycie łącznika dostawcy SIEM jest zawsze preferowaną alternatywą.
Dokumentacja funkcji integracji dzienników platformy Azure jest nadal przechowywana, dopóki funkcja nie zostanie wycofana.
Przeczytaj więcej, aby dowiedzieć się więcej na temat funkcji integracji dzienników platformy Azure:
Integracja dzienników platformy Azure zbiera zdarzenia systemu Windows z dzienników podglądu zdarzeń systemu Windows, dzienników aktywności platformy Azure, alertów usługi Azure Security Center i dzienników diagnostyki platformy Azure z zasobów platformy Azure. Integracja pomaga rozwiązaniu SIEM zapewnić ujednolicony pulpit nawigacyjny dla wszystkich zasobów, zarówno lokalnych, jak i w chmurze. Pulpit nawigacyjny umożliwia odbieranie, agregowanie, korelowanie i analizowanie alertów dotyczących zdarzeń zabezpieczeń.
Uwaga
Obecnie integracja dzienników platformy Azure obsługuje tylko chmury komercyjne platformy Azure i platformę Azure Government. Inne chmury nie są obsługiwane.
Jakie dzienniki można zintegrować?
Platforma Azure tworzy obszerne rejestrowanie dla każdej usługi Azure. Dzienniki reprezentują trzy rodzaje:
- Dzienniki kontroli/zarządzania: zapewniają wgląd w operacje CREATE, UPDATE i DELETE usługi Azure Resource Manager . Dziennik aktywności platformy Azure jest przykładem tego typu dziennika.
- Dzienniki płaszczyzny danych: zapewniają wgląd w zdarzenia zgłaszane podczas korzystania z zasobu platformy Azure. Przykładem tego typu dziennika są kanały system, zabezpieczeń i aplikacji w Podglądzie zdarzeń systemu Windows na maszynie wirtualnej z systemem Windows. Kolejnym przykładem jest logowanie diagnostyki Azure, które można skonfigurować za pośrednictwem Azure Monitor.
- Przetworzone zdarzenia: podaj analizowane zdarzenia i informacje o alertach, które są przetwarzane dla Ciebie. Przykładem tego typu zdarzenia są alerty usługi Azure Security Center. Usługa Azure Security Center przetwarza i analizuje subskrypcję w celu zapewnienia alertów, które są istotne dla bieżącego stanu zabezpieczeń.
Integracja dzienników platformy Azure obsługuje usługi ArcSight, QRadar i Splunk. Sprawdź dostawcę rozwiązania SIEM, aby sprawdzić, czy dostawca ma łącznik natywny. Nie używaj integracji dzienników platformy Azure, jeśli jest dostępny łącznik natywny.
Jeśli nie są dostępne żadne inne opcje, rozważ użycie integracji dzienników platformy Azure. Poniższa tabela zawiera nasze zalecenia:
| SIEM | Klient korzysta już z integratora dzienników platformy Azure | Klient bada opcje integracji rozwiązania SIEM |
|---|---|---|
| Splunk | Rozpocznij migrację do dodatku usługi Azure Monitor dla rozwiązania Splunk. | Użyj łącznika Splunk. |
| QRadar | Przeprowadź migrację do lub rozpocznij korzystanie z łącznika QRadar, który jest opisany w ostatniej sekcji Przesyłanie strumieniowe danych monitorowania platformy Azure do centrum zdarzeń na potrzeby użycia przez narzędzie zewnętrzne. | Użyj łącznika QRadar opisanego w ostatniej sekcji usługi Stream Azure monitoring data to an event hub for consumption by an external tool (Przesyłanie strumieniowe danych monitorowania platformy Azure do centrum zdarzeń do użycia przez narzędzie zewnętrzne). |
| ArcSight | Kontynuuj korzystanie z integratora dzienników platformy Azure, dopóki łącznik nie będzie dostępny, a następnie przeprowadź migrację do rozwiązania opartego na łączniku. | Rozważ użycie dzienników usługi Azure Monitor jako alternatywy. Nie dołączaj do integracji dzienników platformy Azure, chyba że chcesz przejść przez proces migracji, gdy łącznik stanie się dostępny. |
Uwaga
Chociaż integracja dzienników platformy Azure jest bezpłatnym rozwiązaniem, istnieją koszty związane z przechowywaniem informacji o plikach dziennika w magazynie platformy Azure.
Jeśli potrzebujesz pomocy, możesz utworzyć wniosek o pomoc techniczną. W przypadku usługi wybierz pozycję Integracja dzienników.
Następne kroki
W tym artykule przedstawiono integrację z usługą Azure Log. Aby dowiedzieć się więcej na temat integracji dzienników platformy Azure i obsługiwanych typów dzienników, zobacz następujące artykuły:
- Rozpocznij pracę z integracją dzienników platformy Azure. Ten samouczek przeprowadzi Cię przez proces instalacji integracji dzienników platformy Azure. Opisano również sposób integrowania dzienników z magazynu diagnostyki Windows Azure (WAD), dzienników aktywności platformy Azure, alertów usługi Azure Security Center i dzienników inspekcji usługi Azure Active Directory.
- Integracja dzienników platformy Azure — często zadawane pytania. Ten FAQ zawiera odpowiedzi na często zadawane pytania dotyczące integracji dzienników platformy Azure.
- Dowiedz się więcej na temat przesyłania strumieniowego danych monitorowania platformy Azure do centrum zdarzeń do użycia przez narzędzie zewnętrzne.