Protokolování a auditování zabezpečení Azure
Azure nabízí širokou škálu konfigurovatelných možností auditování zabezpečení a protokolování, které vám pomůžou identifikovat mezery v zásadách a mechanismech zabezpečení. Tento článek popisuje generování, shromažďování a analýzu protokolů zabezpečení ze služeb hostovaných v Azure.
Poznámka:
Určitá doporučení v tomto článku můžou vést ke zvýšení využití dat, sítě nebo výpočetních prostředků a zvýšení nákladů na licence nebo předplatné.
Typy protokolů v Azure
Cloudové aplikace jsou složité s mnoha pohyblivými částmi. Protokolování dat vám může poskytnout přehled o vašich aplikacích a pomoct vám:
- Řešení minulých problémů nebo zabránění potenciálním problémům
- Zlepšení výkonu nebo udržovatelnosti aplikací
- Automatizace akcí, které by jinak vyžadovaly ruční zásah
Protokoly Azure jsou rozdělené do následujících typů:
Protokoly řízení a správy poskytují informace o operacích CREATE, UPDATE a DELETE v Azure Resource Manageru. Další informace najdete v protokolech aktivit Azure.
Protokoly roviny dat poskytují informace o událostech vyvolaných v rámci využití prostředků Azure. Příkladem tohoto typu protokolu jsou protokoly událostí Windows, zabezpečení a aplikace ve virtuálním počítači a diagnostické protokoly nakonfigurované prostřednictvím služby Azure Monitor.
Zpracovávané události poskytují informace o analyzovaných událostech nebo výstrahách, které byly zpracovány vaším jménem. Příkladem tohoto typu jsou výstrahy v programu Microsoft Defender for Cloud, kde Microsoft Defender for Cloud zpracoval a analyzoval vaše předplatné a poskytuje stručné výstrahy zabezpečení.
Následující tabulka uvádí nejdůležitější typy protokolů dostupných v Azure:
| Kategorie protokolu | Typ protokolu | Využití | Integrace |
|---|---|---|---|
| Protokoly aktivit | Události roviny řízení u prostředků Azure Resource Manageru | Poskytuje přehled o operacích prováděných s prostředky ve vašem předplatném. | REST API, Azure Monitor |
| Protokoly prostředků Azure | Časté údaje o provozu prostředků Azure Resource Manageru v předplatném | Poskytuje přehled o operacích, které samotný prostředek provedl. | Azure Monitor |
| Generování sestav ID Microsoft Entra | Protokoly a sestavy | Zaznamenává aktivity přihlašování uživatelů a informace o systémových aktivitách o správě uživatelů a skupin. | Microsoft Graph |
| Virtuální počítače a cloudové služby | Služba protokolu událostí Systému Windows a Syslog pro Linux | Zachytává systémová data a protokoluje data na virtuálních počítačích a přenáší je do účtu úložiště podle vašeho výběru. | Windows (s využitím úložiště Azure Diagnostics] a Linuxu ve službě Azure Monitor |
| Azure Storage Analytics | Protokolování úložiště, poskytuje data metrik pro účet úložiště. | Poskytuje přehled o požadavcích trasování, analyzuje trendy využití a diagnostikuje problémy s vaším účtem úložiště. | REST API nebo klientská knihovna |
| Protokoly toku skupiny zabezpečení sítě (NSG) | Formát JSON, zobrazuje odchozí a příchozí toky na základě pravidel. | Zobrazí informace o příchozím a výchozím provozu IP přes skupinu zabezpečení sítě. | Azure Network Watcher |
| Application Insight | Protokoly, výjimky a vlastní diagnostika | Poskytuje službu monitorování výkonu aplikací (APM) pro webové vývojáře na více platformách. | REST API, Power BI |
| Zpracování dat / výstrah zabezpečení | Upozornění Microsoft Defenderu pro cloud, upozornění protokolů služby Azure Monitor | Poskytuje informace o zabezpečení a výstrahy. | ROZHRANÍ REST API, JSON |
Integrace protokolů s místními systémy SIEM
Integrace upozornění Defenderu pro cloud popisuje, jak synchronizovat výstrahy Defenderu pro cloud, události zabezpečení virtuálních počítačů shromažďované diagnostickými protokoly Azure a protokoly auditu Azure s využitím protokolů služby Azure Monitor nebo řešení SIEM.
Další kroky
Auditování a protokolování: Chraňte data díky zachování viditelnosti a rychlé reakce na včasné výstrahy zabezpečení.
Nakonfigurujte nastavení auditu pro kolekci webů: Pokud jste správce kolekce webů, načtěte historii akcí jednotlivých uživatelů a historii akcí provedených během určitého rozsahu dat.
Prohledejte protokol auditu na portálu Microsoft Defenderu: Pomocí portálu Microsoft Defender můžete prohledat jednotný protokol auditu a zobrazit aktivity uživatelů a správců ve vaší organizaci.