Integrazione degli avvisi del Centro sicurezza di Azure con l'integrazione dei log di AzureIntegrating Azure Security Center alerts with Azure log integration

Molti team dedicati alle operazioni di sicurezza e alla risposta ai problemi fanno affidamento su una soluzione SIEM (Security Information and Event Management) come punto di partenza per la valutazione e l'analisi degli avvisi di sicurezza.Many security operations and incident response teams rely on a Security Information and Event Management (SIEM) solution as the starting point for triaging and investigating security alerts. Con l'integrazione dei log di Azure è possibile integrare gli avvisi del Centro sicurezza di Azure con la soluzione SIEM in uso.With Azure Log Integration, you can integrate Azure Security Center alerts with your SIEM solution.

L'integrazione dei log di Azure supporta attualmente HP ArcSight, Splunk e IBM QRadar.Azure log integration currently supports HP ArcSight, Splunk, and IBM QRadar.

Quali log è possibile integrare?What logs can I integrate?

Azure produce registrazioni complete per ogni servizio.Azure produces extensive logging for every service. I log sono classificati nel modo seguente:These logs are categorized as:

  • Log di gestione/controllo, che offrono visibilità sulle operazioni CREATE, UPDATE e DELETE di Azure Resource Manager.Control/Management logs that give visibility into the Azure Resource Manager CREATE, UPDATE, and DELETE operations. Questi eventi del piano di controllo vengono rilevati nei log attività di AzureThese control plane events are surfaced in the Azure Activity Logs
  • Log del piano dati, che offrono visibilità sugli eventi generati durante l'uso di una risorsa di Azure.Data Plane logs that give visibility into the events raised when using an Azure resource. Un esempio è il registro eventi di Windows, che visualizza informazioni sugli eventi di sicurezza dal canale di sicurezza del Visualizzatore eventi.An example is the Windows Event log, where you can get security event information from the Event Viewer's Security Channel. Gli eventi del piano dati (che vengono generati da una macchina virtuale o un servizio di Azure) vengono replicati dal log di diagnostica di Azure.Data plane events (which are generated by a virtual machine or an Azure service) are surfaced by Azure Diagnostic Logs.

L'integrazione dei log di Azure attualmente supporta l'integrazione di:Azure log integration currently supports the integration of:

  • Log delle macchine virtuali di AzureAzure VM logs
  • Log di controllo di AzureAzure Audit Logs
  • Avvisi del Centro sicurezza di AzureAzure Security Center alerts

Installare l'integrazione dei log di AzureInstall Azure log integration

Scaricare l' integrazione dei log di Azure.Download Azure log integration.

Il servizio di integrazione dei log di Azure raccoglie i dati di telemetria dal computer in cui è installato.The Azure log integration service collects telemetry data from the machine on which it is installed. I dati di telemetria raccolti sono:Telemetry data collected is:

  • Eccezioni che si verificano durante l'esecuzione dell'integrazione dei log di AzureExceptions that occur during execution of Azure log integration
  • Metriche relative al numero di query e di eventi elaboratiMetrics about the number of queries and events processed
  • Statistiche sulle opzioni della riga di comando Azlog.exe che vengono usateStatistics about which Azlog.exe command line options are being used

Nota

Per disabilitare la raccolta dei dati di telemetria è possibile deselezionare questa opzione.You can turn off collection of telemetry data by unchecking this option.

Integrare i log di controllo di Azure e gli avvisi del Centro sicurezza di AzureIntegrate Azure Audit Logs and Security Center alerts

  1. Aprire il prompt dei comandi e digitare cd per passare alla directory c:\Program Files\Microsoft Azure Log Integration.Open the command prompt and cd into c:\Program Files\Microsoft Azure Log Integration.
  2. Eseguire il comando azlog createazureid per creare un' entità servizio di Azure Active Directory nei tenant di Azure Active Directory (AD) che ospitano le sottoscrizioni di Azure.Run the azlog createazureid command to create an Azure Active Directory Service Principal in the Azure Active Directory (AD) tenants that host the Azure subscriptions.

    Verrà richiesto l'account di accesso di Azure.You are prompted for your Azure login.

    Nota

    È necessario essere proprietario o coamministratore della sottoscrizione.You must be the subscription Owner or a Co-Administrator of the subscription.

    L'autenticazione in Azure avviene tramite Azure AD.Authentication to Azure is done through Azure AD. La creazione di un'entità servizio per l'integrazione dei log di Azure crea l'identità di Azure AD a cui verrà consentito l'accesso in lettura dalle sottoscrizioni di Azure.Creating a service principal for Azure log integration creates the Azure AD identity that is given access to read from Azure subscriptions.

  3. Eseguire il comando azlog authorize per assegnare l'accesso in lettura per la sottoscrizione all'entità servizio creata nel passaggio 2.Run the azlog authorize command to assign Reader access on the subscription to the service principal created in step 2. Se non si specifica un ID sottoscrizione, all'entità servizio viene assegnato il ruolo Lettore per tutte le sottoscrizioni a cui si ha accesso.If you don’t specify a SubscriptionID, then the service principal is assigned the Reader role to all subscriptions to which you have access.

    Nota

    Se si esegue il comando authorize subito dopo il comando ccreateazureid, potrebbero essere visualizzati avvisi.You may see warnings if you run the authorize command immediately after the createazureid command. Tra il momento in cui viene creato l'account Azure AD e quello in cui l'account è disponibile per l'uso c'è una certa latenza.There is some latency between when the Azure AD account is created and when the account is available for use. Per non visualizzare tali avvisi, attendere circa 10 secondi tra l'esecuzione del comando createazureid e l'esecuzione del comando authorize.If you wait about 10 seconds after running the createazureid command to run the authorize command, then you should not see these warnings.

  4. Verificare che nelle cartelle seguenti siano presenti i file JSON del log di controllo:Check the following folders to confirm that the Audit log JSON files are there:

    • c:\Users\azlog\AzureResourceManagerJsonc:\Users\azlog\AzureResourceManagerJson
    • c:\Users\azlog\AzureResourceManagerJsonLDc:\Users\azlog\AzureResourceManagerJsonLD
  5. Verificare che nelle cartelle seguenti siano presenti avvisi del Centro sicurezza di Azure:Check the following folders to confirm that Security Center alerts exist in them:

    • c:\Users\azlog\ AzureSecurityCenterJsonc:\Users\azlog\ AzureSecurityCenterJson
    • c:\Users\azlog\AzureSecurityCenterJsonLDc:\Users\azlog\AzureSecurityCenterJsonLD
  6. Configurare il connettore del server d'inoltro file SIEM nella cartella appropriata.Configure the SIEM file forwarder connector to the appropriate folder. La procedura varia in base alla soluzione SIEM in uso.The procedure will vary based on the SIEM you are using.

Passaggi successiviNext steps

Per altre informazioni sui log attività di Azure e sulle definizioni delle proprietà, vedere:To learn more about Azure Activity Logs and property definitions, see:

Per altre informazioni sul Centro sicurezza, vedere gli argomenti seguenti:To learn more about Security Center, see the following: