Introducción a Azure Log Integration

Importante

La característica Azure Log Integration dejará de utilizarse el 15/06/2019. Las descargas de AzLog se deshabilitaron el 27 de junio de 2018. Para obtener orientación sobre cómo avanzar, consulte el artículo Use Azure monitor to integrate with SIEM tools (Uso de Azure Monitor para realizar la integración con herramientas SIEM)

Azure Log Integration se encuentra disponible para simplificar la tarea de integración de los registros de Azure con el sistema local de Administración de eventos e información de seguridad (SIEM).

El método recomendado para la integración de registros de Azure consiste en utilizar conectores de su proveedor de SIEM. Azure Monitor ofrece la capacidad de transmitir los registros a los centros de eventos, y el proveedor de SIEM puede escribir conectores para integrar más registros desde el centro de eventos en SIEM. Para obtener una descripción de cómo funciona esto, siga las instrucciones descritas en Flujo de datos de supervisión para centros de eventos de datos. En el artículo también se enumeran las instancias de SIEM para las que ya están disponibles los conectores directos de Azure.

Importante

Si su interés principal está en la recopilación de registros de máquina virtual, la mayoría de los proveedores de SIEM incluyen esta opción en su solución. El conector del proveedor de SIEM se usa siempre como alternativa preferida.

La documentación sobre la característica Azure Log Integration se mantendrá hasta que la característica quede en desuso.

Siga leyendo para obtener más información sobre la característica Azure Log Integration:

Azure Log Integration recopila eventos de Windows de los registros del Visor de eventos de Windows, los registros de actividad de Azure, las alertas de Azure Security Center y los registros de Azure Diagnostics de los recursos de Azure. La integración ayuda a la solución SIEM a proporcionar un panel unificado para todos sus recursos, tanto locales como en la nube. Puede usar un panel para recibir, agregar, correlacionar y analizar las alertas de los eventos de seguridad.

Nota

Actualmente, Azure Log Integration solo admite nubes comerciales de Azure y de Azure Government. No se admiten otras nubes.

Proceso de Azure Log Integration

¿Qué registros se pueden integrar?

Azure genera gran cantidad de registros para cada servicio. Los registros representan tres tipos de registro:

  • Registros de control/administración: ofrecen visibilidad sobre las operaciones CREATE, UPDATE y DELETE de Azure Resource Manager. Los registros de actividad de Azure son un ejemplo de este tipo de registro.
  • Registros de plano de datos: proporcionan visibilidad sobre los eventos que se producen cuando se usa un recurso de Azure. Un ejemplo de este tipo de registro son los canales Sistema, Seguridad y Aplicación del Visor de eventos de Windows en una máquina virtual Windows. Otro ejemplo es el registro de Azure Diagnostics, que se configura mediante Azure Monitor.
  • Eventos procesados: proporcionan información sobre las alertas y los eventos analizados procesados por el usuario. Un ejemplo de este tipo son las alertas de Azure Security Center. Azure Security Center procesa y analiza la suscripción para proporcionar alertas significativas para su estado de seguridad actual.

Integración de registro de Azure admite ArcSight, QRadar y Splunk. Consulte a su proveedor de SIEM para determinar si tienen un conector nativo. No use Azure Log Integration si hay un conector nativo.

Si no hay ninguna otra opción disponible, considere la posibilidad de usar Azure Log Integration. En la tabla siguiente se incluye nuestras recomendaciones:

SIEM El cliente ya usa el integrador de registros de Azure El cliente está investigando las opciones de integración de SIEM
Splunk Inicie la migración al complemento Azure Monitor para Splunk. Use el conector de Splunk.
QRadar Migre o comience a usar el conector de QRadar documentado en la última sección de Flujo de datos de supervisión de Azure a un centro de eventos para que lo consuma una herramienta externa. Use el conector de QRadar documentado en la última sección de Flujo de datos de supervisión de Azure a un centro de eventos para que lo consuma una herramienta externa.
ArcSight Siga usando el integrador de registros de Azure hasta que haya disponible un conector y, a continuación, migre a la solución basada en el conector. Como alternativa, considere la posibilidad de usar registros de Azure Monitor. No se incorpore a Azure Log Integration, a menos que esté dispuesto a pasar por el proceso de migración cuando el conector esté disponible.

Nota

Aunque Azure Log Integration es una solución gratuita, hay costos de almacenamiento de Azure asociados con el almacenamiento de la información de archivos de registro.

Si necesita ayuda, puede crear una solicitud de soporte técnico. Para el servicio, seleccione Log Integration.

pasos siguientes

Este artículo es una introducción a Azure Log Integration. Para más información al respecto y los tipos de registros admitidos, consulte los artículos siguientes: