Registrazione e controllo di Azure

Introduzione

Panoramica

Per consentire ai clienti attuali e potenziali di Azure di comprendere e usare le diverse funzionalità correlate alla sicurezza disponibili nel contesto della piattaforma Azure, Microsoft ha sviluppato una serie di white paper, panoramiche sulla sicurezza, procedure consigliate ed elenchi di controllo. Gli argomenti, che variano nei contenuti e negli approfondimenti, vengono aggiornati periodicamente. Il presente documento fa parte di questa serie, come riepilogato nella sezione Sunto di seguito.

Piattaforma Azure

Azure è una piattaforma aperta e flessibile di servizi cloud che supporta la più ampia gamma di sistemi operativi, linguaggi di programmazione, framework, strumenti, database e dispositivi.

Ad esempio, è possibile:

  • Eseguire i contenitori Linux con l'integrazione Docker.

  • Compilare le app con JavaScript, Python, .NET, PHP, Java e Node.js.

  • Compilare i back-end per dispositivi iOS, Android e Windows.

I servizi cloud pubblici di Azure supportano le stesse tecnologie già considerate affidabili e usate da milioni di sviluppatori e professionisti IT.

Quando si compilano asset IT o se ne esegue la migrazione in un provider di servizi cloud, si dipende dalla capacità di tale organizzazione di proteggere le applicazioni e i dati con i servizi e i controlli forniti per gestire la sicurezza degli asset basati sul cloud.

L'infrastruttura di Azure è stata progettata, dalla struttura fino alle applicazioni, per ospitare milioni di clienti contemporaneamente e fornisce alle aziende una solida base per poter soddisfare le esigenze di sicurezza. Azure offre anche un'ampia gamma di opzioni di sicurezza configurabili, con la possibilità di controllarle per poter personalizzare la sicurezza e soddisfare così i requisiti univoci di ogni distribuzione. Grazie a questo documento è possibile soddisfare tali requisiti.

Sunto

Il controllo e la registrazione di eventi relativi alla sicurezza e di avvisi correlati, sono componenti importanti di una strategia di protezione dei dati efficace. I report e i log di sicurezza offrono un record elettronico delle attività sospette e aiutano a rilevare modelli che possono segnalare tentativi esterni di penetrazione nella rete e attacchi interni. È possibile usare la funzione di controllo per monitorare l'attività dell'utente, documentare la conformità alle normative, eseguire analisi forensi e altro ancora. Tramite gli avvisi si ottiene la notifica immediata quando si verificano eventi che riguardano la sicurezza.

I prodotti e servizi di Microsoft Azure offrono opzioni di controllo e registrazione di sicurezza configurabili che consentono di identificare e correggere i gap nei meccanismi e nei criteri di sicurezza per evitare violazioni. I servizi di Microsoft offrono alcune (e in alcuni casi, tutte) delle opzioni seguenti: sistemi centralizzati di monitoraggio, registrazione e analisi per una visibilità continua; avvisi tempestivi; report che consentono di gestire i grandi volumi di informazioni provenienti da dispositivi e servizi.

I dati di log di Microsoft Azure possono essere esportati in sistemi SIEM per l'analisi e si integrano con le soluzioni di controllo di terze parti.

Questo white paper offre un'introduzione alle operazioni di creazione, raccolta e analisi dei log di sicurezza dai servizi ospitati in Azure, oltre ad aiutare i clienti a ottenere informazioni più approfondite sulla sicurezza nelle proprie distribuzioni di Azure. L'ambito di questo white paper è limitato alle applicazioni e servizi creati e distribuiti in Azure.

Nota

Alcune indicazioni contenute in questo documento possono comportare un maggior consumo delle risorse di calcolo, di rete o dei dati, con un aumento dei costi di licenza o sottoscrizione.

Tipi di log in Azure

Le applicazioni cloud sono complesse e hanno molte parti mobili. I log offrono la possibilità di garantire il funzionamento e l'integrità dell'applicazione. Consente anche di prevenire i problemi potenziali o di risolvere quelli precedenti. Inoltre, è possibile usare i dati di registrazione per ottenere informazioni approfondite sull'applicazione. utili per migliorarne le prestazioni o la manutenibilità oppure per automatizzare azioni che altrimenti richiederebbero un intervento manuale.

Azure produce registrazioni complete per ogni servizio di Azure. I log sono classificati nei seguenti tipi principali:

  • Log di gestione/controllo, che offrono visibilità sulle operazioni CREATE, UPDATE e DELETE di Azure Resource Manager. I log attività di Azure sono un esempio di questo tipo di log.

  • Log del piano dati, che offrono visibilità sugli eventi generati come parte dell'uso di una risorsa di Azure. Sono esempi di questo tipo il log eventi di sistema di Windows, il log di sicurezza, il log applicazioni di una macchina virtuale e i log di diagnostica configurati tramite Monitoraggio di Azure.

  • Eventi elaborati, che offrono informazioni sugli eventi o avvisi analizzati dopo essere stati elaborati per conto dell'utente. Esempi di questo tipo sono i brevi avvisi emessi dal Centro sicurezza di Azure dopo aver eseguito l'elaborazione e l'analisi della sottoscrizione.

La tabella seguente elenca i più importanti tipi di log disponibili in Azure.

Categoria di log Tipo di log Usi Integrazione
Log attività Gli eventi del piano di controllo sulle risorse di Azure Resource Manager Offrono informazioni approfondite sulle operazioni eseguite sulle risorse nella sottoscrizione. API REST e Monitoraggio di Azure
Log di diagnostica di Azure dati frequenti sul funzionamento delle risorse di Azure Resource Manager nella sottoscrizione Offrono informazioni approfondite sulle operazioni eseguite dalla risorsa stessa Monitoraggio di Azure, Stream
Creazione di report in AAD Log e report Attività di accesso dell'utente e informazioni sulle attività di sistema riguardo alla gestione di utenti e gruppi API Graph
Macchine virtuali e servizi cloud Log eventi di Windows e Syslog Linux Acquisisce i dati di sistema e i dati di registrazione nelle macchine virtuali e li trasferisce all'account di archiviazione desiderato. Windows tramite WAD (archiviazione di diagnostica di Windows Azure) e Linux in Monitoraggio di Azure
Analisi dell'archiviazione Esegue la registrazione di archiviazione e offre i dati delle metriche per un account di archiviazione. Offre informazioni approfondite per tenere traccia delle richieste, analizzare le tendenze d'uso e diagnosticare i problemi relativi al proprio account di archiviazione. API REST o libreria client
Log dei flussi del gruppo di sicurezza di rete (NSG) Formato JSON e mostra i flussi in ingresso e in uscita in base a ciascuna regola Visualizzare le informazioni sul traffico IP in entrata e in uscita tramite un gruppo di sicurezza di rete Network Watcher
Application Insights Log, eccezioni e diagnostica personalizzata Servizio APM di gestione delle prestazioni delle applicazioni per sviluppatori Web su più piattaforme. API REST, Power BI
Dati di elaborazione/avvisi di sicurezza Avviso del Centro sicurezza di Azure, avviso OMS Informazioni e avvisi sulla sicurezza. API REST, JSON

Log attività

Il log attività di Azure offre informazioni approfondite in merito alle operazioni eseguite sulle risorse nella sottoscrizione. Il log attività era noto in precedenza come "log di controllo" o "log operativi", perché segnala eventi del piano di controllo per le sottoscrizioni dell'utente. L'uso del log attività permette di acquisire informazioni dettagliate su qualsiasi operazione di scrittura (PUT, POST, DELETE) eseguita sulle risorse nella sottoscrizione. Consente inoltre di comprendere lo stato dell'operazione e altre proprietà specifiche. Il log attività non include le operazioni di lettura (GET)

I termini PUT, POST, DELETE si riferiscono a tutte le operazioni di scrittura sulle risorse contenute nel log attività. Ad esempio, è possibile usare i log attività per trovare un errore durante la risoluzione dei problemi o monitorare il modo in cui un utente dell'organizzazione ha modificato una risorsa.

Log attività

Per recuperare eventi dal log attività è possibile usare il portale di Azure, l'interfaccia della riga di comando, i cmdlet di PowerShell e l'API REST di Monitoraggio di Azure. Il periodo di conservazione dei dati per i log attività è di 19 giorni.

Scenari di integrazione

È possibile usare un account di archiviazione o lo spazio dei nomi dell'hub eventi che non sia nella stessa sottoscrizione di quello che crea il log. L'utente che configura l'impostazione deve disporre dell'accesso RBAC appropriato a entrambe le sottoscrizioni.

Log di diagnostica di Azure

I log di diagnostica di Azure sono generati da una risorsa che offre dati completi e frequenti sul suo funzionamento. Il contenuto di questi log varia in base al tipo di risorsa. Ad esempio, i log eventi del sistema di Windows sono una categoria di log di diagnostica per le VM, mentre i log delle code, delle tabelle e dei BLOB sono categorie di log di diagnostica per gli account di archiviazione. I log di diagnostica sono diversi dal log attività, che offre informazioni approfondite sulle operazioni eseguite sulle risorse nella sottoscrizione.

Log di diagnostica di Azure

I log di diagnostica di Azure offrono più opzioni di configurazione, vale a dire che il portale di Azure può usare l'API REST, PowerShell e l'interfaccia della riga di comando (CLI).

Scenari di integrazione

  • Salvarli in un account di archiviazione per il controllo o l'ispezione manuale. È possibile specificare il tempo di conservazione in giorni tramite le Impostazioni di diagnostica.

  • Trasmetterli a Hub eventi per l'inserimento da parte di un servizio di terze parti o una soluzione di analisi personalizzata come Power BI.

  • Analizzarli con OMS Log Analytics

Servizi supportati, schema per i log di diagnostica e categorie di log supportati per ogni tipo di risorsa

Servizio Schema e documenti Tipo di risorsa Categoria
Bilanciamento del carico Analisi dei log per il servizio di bilanciamento del carico di Azure (anteprima) Microsoft.Network/loadBalancers LoadBalancerAlertEvent
Microsoft.Network/loadBalancers LoadBalancerProbeHealthStatus
Gruppi di sicurezza di rete Analisi dei log per i gruppi di sicurezza di rete Microsoft.Network/networksecuritygroups NetworkSecurityGroupEvent
Microsoft.Network/networksecuritygroups NetworkSecurityGroupRuleCounter
Gateway applicazione Registrazione diagnostica per il gateway applicazione Microsoft.Network/applicationGateways ApplicationGatewayAccessLog
Microsoft.Network/applicationGateways ApplicationGatewayPerformanceLog
Microsoft.Network/applicationGateways ApplicationGatewayFirewallLog
Insieme di credenziali di chiave Registrazione dell'insieme di credenziali delle chiavi di Azure Microsoft.KeyVault/vaults AuditEvent
Ricerca di Azure Abilitazione e uso di Analisi del traffico di ricerca Microsoft.Search/searchServices OperationLogs
Archivio Data Lake Accesso ai log di diagnostica per Archivio Data Lake di Azure Microsoft.DataLakeStore/accounts Audit
Analisi Data Lake Accesso ai log di diagnostica per Azure Data Lake Analytics Microsoft.DataLakeAnalytics/accounts Audit
Microsoft.DataLakeAnalytics/accounts Richieste
Microsoft.DataLakeStore/accounts Richieste
App per la logica Schema di rilevamento personalizzato per le app per la logica B2B Microsoft.Logic/workflows WorkflowRuntime
Microsoft.Logic/integrationAccounts IntegrationAccountTrackingEvents
Azure Batch Registrazione diagnostica di Azure Batch Microsoft.Batch/batchAccounts ServiceLog
Automazione di Azure Analisi dei log per Automazione di Azure Microsoft.Automation/automationAccounts JobLogs
Microsoft.Automation/automationAccounts JobStreams
Hub eventi Log di diagnostica di Hub eventi in Azure Microsoft.EventHub/namespaces ArchiveLogs
Microsoft.EventHub/namespaces OperationalLogs
Analisi di flusso Log di diagnostica dei processi Microsoft.StreamAnalytics/streamingjobs Esecuzione
Microsoft.StreamAnalytics/streamingjobs Creazione
Bus di servizio Log di diagnostica del bus di servizio di Azure Microsoft.ServiceBus/namespaces OperationalLogs

Creazione di report in Azure Active Directory

Azure Active Directory (Azure AD) include la sicurezza, l’attività e i report di controllo per la directory. La Guida alla creazione di report in Azure Active Directory consente ai clienti di identificare le azioni con privilegi che si sono verificate nella propria istanza di Azure Active Directory. Le azioni con privilegi includono modifiche di elevazione dei privilegi, ad esempio la creazione dei ruoli o le reimpostazioni delle password, la modifica delle configurazioni dei criteri, ad esempio i criteri delle password o le modifiche alla configurazione della directory, ad esempio le modifiche alle impostazioni di federazione del dominio.

Nei report è incluso il record di controllo per il nome dell'evento, l'attore che ha eseguito l'azione, la risorsa di destinazione interessata dalla modifica e la data e l'ora (UTC). I clienti possono recuperare l'elenco degli eventi di controllo per la propria istanza di Azure Active Directory tramite il portale di Azure, come descritto in Visualizzare i log di controllo. Di seguito è riportato un elenco dei report compresi:

Report sulla sicurezza Report sull’attività Report di controllo
Accessi da origini sconosciute Utilizzo dell'applicazione: riepilogo Report di controllo della Directory
Accessi dopo più errori Utilizzo dell'applicazione: dettagliato
Accessi da più aree geografiche Dashboard dell'applicazione
Accessi da indirizzi IP con attività sospette Errori di provisioning dell'account
Attività di accesso irregolare Dispositivi dell’utente singolo
Accessi da dispositivi potenzialmente infetti Attività dell’utente singolo
Utenti con anomalie dell'attività di accesso Report attività dei gruppi
Report attività di registrazione per la reimpostazione password
Attività di reimpostazione password

I dati di questi report possono essere molto utili per le applicazioni, ad esempio i sistemi SIEM e gli strumenti di controllo e business intelligence. L'API di creazione report di Azure AD fornisce l'accesso ai dati dal codice tramite un set di API basate su REST. È possibile chiamare queste API da numerosi strumenti e linguaggi di programmazione.

Gli eventi nel report di controllo di Azure Active Directory vengono conservati per 180 giorni.

Nota

Per altre informazioni sulla conservazione dei report, vedere la pagina Criteri di conservazione dei report di Azure Active Directory.

Per i clienti interessati alla conservazione gli eventi di controllo per periodi più lunghi, l'API di creazione report consente di eseguire regolarmente il pull degli eventi di controllo in un archivio dati separato.

i log delle macchine virtuali con Diagnostica di Azure

Diagnostica di Azure è la funzionalità integrata in Azure che consente la raccolta di dati di diagnostica in un'applicazione distribuita. È possibile usare l'estensione di diagnostica da alcune origini differenti. Sono attualmente supportati i ruoli di lavoro e Web del servizio cloud di Azure e

i log delle macchine virtuali con Diagnostica di Azure

Macchine virtuali di Azure che eseguono Microsoft Windows e Service Fabric.

È possibile abilitare la funzionalità Diagnostica di Azure in una macchina virtuale nei modi seguenti:

di Analisi archiviazione

L'Analisi archiviazione di Azure esegue la registrazione e restituisce i dati delle metriche per un account di archiviazione. È possibile utilizzare questi dati per tenere traccia delle richieste, analizzare le tendenze d'uso e diagnosticare i problemi relativi al proprio account di archiviazione. La registrazione di Analisi archiviazione è disponibile per i servizi BLOB, di accodamento e tabelle. Analisi archiviazione registra informazioni dettagliate sulle richieste riuscite e non a un servizio di archiviazione.

Queste informazioni possono essere utilizzate per monitorare le singole richieste e per diagnosticare problemi relativi a un servizio di archiviazione. Le richieste vengono registrate in base al massimo sforzo. Le voci di registro vengono create solo se esistono richieste effettuate per l'endpoint di servizio. Se, ad esempio, un account di archiviazione presenta un'attività nell'endpoint BLOB ma non negli endpoint di tabelle o di accodamento, saranno creati solo log relativi al servizio BLOB.

Per utilizzare Analisi archiviazione, è necessario abilitarla singolarmente per ciascun servizio che si desidera monitorare. È possibile abilitarla nel portale di Azure; per informazioni dettagliate, vedere Monitorare un account di archiviazione nel portale di Azure. È inoltre possibile abilitare Analisi archiviazione a livello di codice tramite l'API REST o la libreria client. Per abilitare l'Analisi archiviazione per ogni servizio, usare le operazioni che consentono di impostare le proprietà dei servizi.

I dati aggregati vengono archiviati in un BLOB noto (per la registrazione) e in tabelle note (per le metriche), a cui è possibile accedere tramite le API del servizio BLOB e del servizio tabelle.

L'Analisi archiviazione può archiviare fino a un massimo di 20 TB di dati. Tale limite è indipendente dal limite totale dell'account di archiviazione. Tutti i log vengono archiviati in BLOB in blocchi all'interno di un contenitore denominato $logs, che viene creato automaticamente quando viene abilitata l'Analisi archiviazione per un account di archiviazione.

Nota

Per altre informazioni sulla fatturazione e sui criteri di conservazione dei dati, vedere Analisi archiviazione e fatturazione.

Nota

Per informazioni sui limiti dell'account di archiviazione, vedere Obiettivi di scalabilità e prestazioni per Archiviazione di Azure.

Vengono registrati i tipi seguenti di richieste autenticate e anonime.

Autenticata Anonima
Richieste riuscite Richieste riuscite
Richieste non riuscite, tra cui errori di timeout, limitazione, rete, autorizzazione e di altro tipo Richieste tramite una firma di accesso condiviso (SAS), incluse le richieste riuscite e non riuscite
Richieste tramite una firma di accesso condiviso (SAS), incluse le richieste riuscite e non riuscite Errori di timeout per client e server
Richieste ai dati di analisi Richieste GET non riuscite con codice di errore 304 (non modificate)
Le richieste eseguite dalla stessa Analisi archiviazione, ad esempio, la creazione oppure l'eliminazione di log, non vengono registrate. Un elenco completo dei dati registrati è documentato negli argomenti Operazioni registrate in Analisi archiviazione e messaggi di stato e Formato log Analisi archiviazione. Tutte le altre richieste anonime non riuscite non vengono registrate. Un elenco completo dei dati registrati è documentato negli argomenti Storage Analytics Logged Operations and Status Messages (Operazioni registrate e messaggi di stato nell'Analisi archiviazione ) e Storage Analytics Log Format (Formato dei registri di Analisi archiviazione).

Log di rete di Azure

Il monitoraggio e la registrazione di rete in Azure comprende due categorie generali:

  • Network Watcher: tra le funzionalità di questo servizio è incluso il monitoraggio di rete basato su scenari. Il servizio include l'acquisizione pacchetti, l'hop successivo, la verifica del flusso IP, la visualizzazione dei gruppi di sicurezza e i registri dei flussi dei gruppi di sicurezza di rete. A differenza del monitoraggio a livello di singole risorse di rete, il monitoraggio a livello di scenario consente una visualizzazione completa delle risorse di rete.

  • Monitoraggio delle risorse: il monitoraggio a livello di risorsa include funzionalità di log di diagnostica, metriche, risoluzione dei problemi e integrità delle risorse. Tutte queste funzionalità vengono compilate a livello di risorsa di rete.

Log di rete di Azure

Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Gli strumenti di visualizzazione e diagnostica di rete disponibili in Network Watcher permettono di comprendere, diagnosticare e ottenere informazioni dettagliate sulla rete in Azure.

Registrazione dei flussi del gruppo di sicurezza di rete: la registrazione dei flussi del gruppo di sicurezza di rete permette di acquisire i log relativi al traffico consentito o negato dalle regole di sicurezza nel gruppo. Sono scritti in formato JSON e mostrano i flussi in ingresso e in uscita in base a regole, scheda di rete a cui si applica il flusso, informazioni su 5 tuple relative al flusso (IP di origine/destinazione, porta di origine/destinazione, protocollo), e se il traffico è consentito o meno.

Registrazione dei flussi del gruppo di sicurezza di rete

I log dei flussi del gruppo di sicurezza di rete sono una funzionalità di Network Watcher che consente di visualizzare le informazioni sul traffico IP in entrata e in uscita tramite un gruppo di sicurezza di rete. Sono scritti in formato JSON e mostrano i flussi in ingresso e in uscita in base a regole, scheda di rete a cui si applica il flusso, informazioni su 5 tuple relative al flusso (IP di origine/destinazione, porta di origine/destinazione, protocollo), e se il traffico è consentito o meno.

Anche se i log dei flussi specificano come destinazione gruppi di sicurezza di rete, non vengono visualizzati come gli altri log. I log dei flussi vengono archiviati solo all'interno di un account di archiviazione.

Ai log dei flussi si applicano gli stessi criteri di conservazione degli altri log. Il criterio di conservazione dei log può essere impostato su un valore compreso tra 1 giorno e 365 giorni. Se non viene impostato alcun criterio di conservazione, i log vengono conservati per sempre.

Log di diagnostica

Le risorse di rete creano eventi periodici e spontanei, che vengono registrati negli account di archiviazione e inviati a un hub eventi oppure a Log Analytics. Questi log contengono informazioni dettagliate sull'integrità delle singole risorse e possono essere visualizzati con strumenti quali Power BI e Log Analytics. Per informazioni su come visualizzare i log di diagnostica, vedere l'articolo relativo a Log Analytics.

Log di diagnostica

Sono disponibili log di diagnostica per il servizio di bilanciamento del carico, i gruppi di sicurezza di rete, le route e il gateway applicazione.

Network Watcher offre una visualizzazione dei log di diagnostica contenente tutte le risorse di rete che supportano la registrazione diagnostica. Da questa visualizzazione è possibile abilitare e disabilitare le risorse di rete in modo facile e veloce.

Oltre alle precedenti funzionalità di registrazione, Network Watcher dispone attualmente delle funzionalità seguenti:

  • Topologia: offre una visualizzazione a livello di rete che mostra le varie interconnessioni e le associazioni tra le risorse di rete in un gruppo di risorse.

  • Acquisizione pacchetti variabile: acquisisce i dati dei pacchetti all'interno e all'esterno di una macchina virtuale. La versatilità è data dalle opzioni di filtro avanzato e dai controlli ottimizzati, come la possibilità di impostare l'ora e il limite di dimensioni. I dati dei pacchetti possono essere archiviati in un'archiviazione BLOB o in un disco locale nel formato .cap.

  • Verifica flusso IP: verifica se un pacchetto viene accettato o rifiutato in base ai relativi parametri sul flusso di informazioni, costituiti da informazioni a 5 tuple, ovvero l'indirizzo IP di destinazione, l'indirizzo IP di origine, la porta di destinazione, la porta di origine e il protocollo. Se il pacchetto viene rifiutato da un gruppo di sicurezza, vengono restituiti la regola e il gruppo che hanno rifiutato il pacchetto.

  • Hop successivo: determina l'hop successivo per i pacchetti indirizzati nell'infrastruttura di rete di Azure, permettendo così di diagnosticare eventuali route definite dall'utente non configurate in modo corretto.

  • Visualizzazione dei gruppi di sicurezza: ottiene le regole di sicurezza valide e applicate in una macchina virtuale.

  • Risoluzione dei problemi di connessione e gateway di rete virtuale: permette di risolvere i problemi relativi al gateway di rete virtuale e alle connessioni.

  • Limite sottoscrizioni di rete: permette di visualizzare l'uso delle risorse di rete rispetto ai limiti.

Application Insights

Application Insights è un servizio estendibile di gestione delle prestazioni delle applicazioni per sviluppatori Web su più piattaforme, che consente di monitorare un'applicazione Web live. Il servizio rileva automaticamente le anomalie nelle prestazioni e include avanzati strumenti di analisi che consentono di diagnosticare i problemi e conoscere come viene effettivamente usata l'app dagli utenti.

Il servizio è progettato per supportare il miglioramento continuo delle prestazioni e dell'usabilità.

Funziona per le app su un'ampia gamma di piattaforme, tra cui .NET o J2EE, ospitate in locale o nel cloud. Si integra con il processo DevOps e offre punti di connessione per diversi strumenti di sviluppo.

Application Insights

Application Insights è destinato al team di sviluppo, a cui consente di comprendere le prestazioni e le modalità d'uso dell'app. Esegue il monitoraggio di:

  • Frequenza delle richieste, tempi di risposta e percentuali di errore: trovare le pagine più visitate, gli orari di visita e la posizione degli utenti. Vedere quali pagine abbiano prestazioni migliori. Se i tempi di risposta e le percentuali di errore aumentano di pari passo con le richieste, è probabile che ci sia un problema di assegnazione delle risorse.

  • Tassi di dipendenza, tempi di risposta e percentuali di errore: trovare quali servizi esterni causino un rallentamento.

  • Eccezioni: analizzare le statistiche aggregate o selezionare istanze specifiche e approfondire l'analisi dello stack e le richieste correlate. Vengono segnalate eccezioni di server e browser.

  • Visualizzazioni pagina e prestazioni di carico, segnalate dai browser degli utenti.

  • Chiamate AJAX dalle pagine Web: tassi, tempi di risposta e percentuali di errore.

  • Numeri di utenti e sessioni.

  • Contatori delle prestazioni dai computer server Windows o Linux, ad esempio l'uso di CPU, memoria e rete.

  • Diagnostica dell'host da Docker o Azure.

  • Log di traccia di diagnostica dall'app, in modo da poter correlare gli eventi di traccia con le richieste.

  • Eventi e metriche personalizzati scritti dall'utente stesso nel codice del client o del server per tracciare eventi aziendali come gli articoli venduti o le partite vinte.

Elenco degli scenari di integrazione e relative descrizioni:

Scenari di integrazione Descrizione
Mappa delle applicazioni I componenti dell'applicazione, con le metriche e gli avvisi chiave.
Ricerca diagnostica dei dati dell'istanza Cercare e filtrare eventi come richieste, eccezioni, chiamate a dipendenze, tracce di log e visualizzazioni di pagina.
Esplora metriche per i dati aggregati Esaminare, filtrare e segmentare dati aggregati come frequenza delle richieste, errori, eccezioni, tempi di risposta e tempi di caricamento delle pagine.
Dashboard Combinare dati di più risorse e condividerli con altri utenti. Ideale per le applicazioni multi-componente e per la visualizzazione continua negli spazi del team.
Flusso di metriche live Quando si distribuisce una nuova build, controllare questi indicatori delle prestazioni in tempo quasi reale per verificare che tutto funzioni come previsto.
Analisi Questo avanzato linguaggio di query consente di trovare risposta a domande approfondite sull'utilizzo e sulle prestazioni dell'app.
Avvisi automatici e manuali Gli avvisi automatici si adattano ai modelli normali di telemetria dell'app e si attivano quando i dati si discostano dal modello consueto. È anche possibile impostare avvisi su livelli particolari delle metriche standard o personalizzate.
Visual Studio Vedere i dati sulle prestazioni nel codice. Passare al codice dall'analisi dello stack.
Power BI Integrare le metriche di uso con altra business intelligence.
API REST Scrivere codice per eseguire query su metriche e dati non elaborati.
Esportazione continua Eseguire l'esportazione bulk dei dati non elaborati nell'archivio quando arrivano.

Avvisi del Centro sicurezza di Azure

Il Centro sicurezza di Azure raccoglie, analizza e integra automaticamente i dati di log delle risorse di Azure, della rete e delle soluzioni dei partner connesse, come soluzioni di protezione endpoint e firewall, per rilevare le minacce reali e ridurre i falsi positivi. Il Centro sicurezza visualizza un elenco degli avvisi di sicurezza in ordine di priorità, nonché le informazioni necessarie per analizzare rapidamente il problema e indicazioni per risolvere un attacco.

Il sistema di rilevamento delle minacce del Centro sicurezza funziona mediante la raccolta automatica di informazioni sulla sicurezza dalle risorse di Azure, dalla rete e dalle soluzioni dei partner connessi. Per identificare le minacce, analizza queste informazioni, correlando spesso quelle raccolte da più origini. Gli avvisi di sicurezza sono classificati in ordine di priorità nel Centro sicurezza insieme a indicazioni su come su correggere la minaccia.

Centro sicurezza di Azure

Il Centro sicurezza si avvale di analisi della sicurezza avanzate, che vanno ben oltre gli approcci basati sulle firme. I progressi tecnologici in ambito Big Data e Machine Learning vengono applicati per valutare gli eventi nell'intera l'infrastruttura cloud, rilevando minacce che sarebbe impossibile identificare con approcci manuali e stimando l'evoluzione degli attacchi. Queste analisi della sicurezza includono:

  • Intelligence per le minacce integrata: cerca gli attori dannosi noti ricorrendo alle informazioni sulle minacce globali da prodotti e servizi Microsoft, Microsoft Digital Crimes Unit (DCU) e Microsoft Security Response Center (MSRC), nonché da feed esterni.

  • Analisi del comportamento: applica i modelli noti per individuare comportamenti dannosi.

  • Rilevamento anomalie: usa la tecnica di profilatura statistica per creare una baseline cronologica. Genera avvisi sulle deviazioni dalle baseline stabilite che risultano conformi a un potenziale vettore di attacco .

Molti team dedicati alle operazioni di sicurezza e alla risposta ai problemi fanno affidamento su una soluzione SIEM (Security Information and Event Management) come punto di partenza per la valutazione e l'analisi degli avvisi di sicurezza. Con l'integrazione dei log di Azure, i clienti possono sincronizzare gli avvisi del Centro sicurezza e gli eventi di sicurezza delle macchine virtuali, raccolti da Diagnostica di Azure e dai log di controllo di Azure, con la propria soluzione SIEM o di analisi dei log quasi in tempo reale.

Log Analytics

Log Analytics è un servizio di Operations Management Suite (OMS) che consente di raccogliere e analizzare i dati generati dalle risorse nel cloud e negli ambienti locali. Offre informazioni in tempo reale usando la ricerca integrata e i dashboard personalizzati per analizzare rapidamente milioni di record in tutti i carichi di lavoro e i server, indipendentemente dalla loro posizione fisica.

Log Analytics

Al centro di Log Analytics è presente l'archivio OMS, ospitato nel cloud di Azure. I dati vengono raccolti nel repository da origini connesse configurando le origini dati e aggiungendo soluzioni alla sottoscrizione. Le origini dati e le soluzioni creeranno diversi tipi di record con uno specifico set di proprietà, ma che possono comunque essere analizzati insieme nelle query al repository. In questo modo è possibile usare gli stessi strumenti e metodi per lavorare con diversi tipi di dati raccolti da diverse origini.

Le origini connesse sono i computer e altre risorse che generano dati raccolti da Log Analytics. Sono inclusi gli agenti installati nei computer Windows e Linux che si connettono direttamente o gli agenti in un gruppo di gestione di System Center Operations Manager connesso. Log Analytics può anche raccogliere dati da Archiviazione di Azure.

origini dati sono i diversi tipi di dati raccolti da ogni origine connessa. Sono inclusi gli eventi e i dati sulle prestazioni ricavati dagli agenti Windows e Linux, oltre alle origini quali log di IIS e log di testo personalizzati. È possibile configurare ciascuna origine dati che si vuole raccogliere e la configurazione viene inviata automaticamente a ogni origine connessa.

Esistono quattro diversi modi per raccogliere log e metriche per i servizi di Azure:

  1. Da Diagnostica di Azure direttamente a Log Analytics (Diagnostica nella tabella seguente)

  2. Da Diagnostica di Azure ad Archiviazione di Azure a Log Analytics (Archiviazione nella tabella seguente)

  3. Connettori per i servizi di Azure (Connettori nella tabella seguente)

  4. Script per raccogliere e inviare i dati a Log Analytics (spazi vuoti nella tabella seguente e per i servizi non elencati)

Service Tipo di risorsa Log Metrica Soluzione
Gateway di applicazione Microsoft.Network/
applicationGateways
Diagnostica Diagnostica Analisi dei gateway applicazione di Azure
Application Insights Connettore Connettore Application InsightsConnector (Anteprima)
Account di Automazione Microsoft.Automation/
AutomationAccounts
Diagnostica Altre informazioni
Account Batch Microsoft.Batch/
batchAccounts
Diagnostica Diagnostica
Servizi cloud classici Archiviazione Altre informazioni
Servizi cognitivi Microsoft.CognitiveServices/
account
Diagnostica
Data Lake Analytics Microsoft.DataLakeAnalytics/
account
Diagnostica
Data Lake Store Microsoft.DataLakeStore/
account
Diagnostica
Spazio dei nomi dell'hub eventi Microsoft.EventHub/
spazi dei nomi
Diagnostica Diagnostica
Hub IoT Microsoft.Devices/
Hub IoT
Diagnostica
Insieme di credenziali di chiave Microsoft.KeyVault/
insiemi di credenziali
Diagnostica KeyVault Analytics
Servizi di bilanciamento del carico Microsoft.Network/
loadBalancers
Diagnostica
App per la logica Microsoft.Logic/
flussi di lavoro
Diagnostica Diagnostica
Microsoft.Logic/
integrationAccounts
Gruppi di sicurezza di rete Microsoft.Network/
networksecuritygroups
Diagnostica Analisi del gruppo di sicurezza di rete di Azure
Insiemi di credenziali di ripristino Microsoft.RecoveryServices/
insiemi di credenziali
Azure Recovery Services Analytics (Anteprima)
Servizi di ricerca Microsoft.Search/
searchServices
Diagnostica Diagnostica
Spazio dei nomi del bus di servizio Microsoft.ServiceBus/
spazi dei nomi
Diagnostica Diagnostica Service Bus Analytics (Anteprima)
Service Fabric Archiviazione Service Fabric Analytics (anteprima)
SQL (versione 12) Microsoft.Sql/
servers/
database
Diagnostica
Microsoft.Sql/
servers/
elasticPools
Archiviazione Script Azure Storage Analytics (Anteprima)
Macchine virtuali Microsoft.Compute/
virtualMachines
Estensione Estensione
Diagnostica
Set di scalabilità di macchine virtuali Microsoft.Compute/
virtualMachines
Diagnostica
Microsoft.Compute/
virtualMachineScaleSets/
virtualMachines
Server farm Web Microsoft.Web/
serverfarms
Diagnostica
Microsoft Azure Microsoft.Web/
siti
Diagnostica Altre informazioni
Microsoft.Web/
sites/
slot

Integrazione dei log con i sistemi SIEM locali

L'integrazione dei log di Azure consente di integrare i log non elaborati delle risorse di Azure nei sistemi SIEM di gestione degli eventi e delle informazioni di sicurezza locali.

Integrazione dei log

L'integrazione dei log di Azure raccoglie i dati di Diagnostica di Azure dalle macchine virtuali Windows (WAD), i log attività di Azure, gli avvisi del Centro sicurezza di Azure e i log dei provider di risorse di Azure. Questa integrazione fornisce un dashboard unificato per tutti gli asset, locali o su cloud, consentendo di aggregare, correlare, analizzare e inviare avvisi per gli eventi di sicurezza.

L'integrazione dei log di Azure supporta attualmente l'integrazione dei log di attività di Azure, del log eventi della macchina virtuale Windows inclusa nella sottoscrizione di Azure, degli avvisi del Centro sicurezza di Azure, dei log di Diagnostica di Azure e dei log di controllo di Azure Active Directory.

Tipo di log Log Analytics con supporto JSON (Splunk, ArcSight, Qradar)
Log di controllo AAD
Log attività
Avvisi del Centro sicurezza di Azure
Log di diagnostica (log di risorse)
Log VM Sì, tramite Eventi inoltrati e non attraverso JSON

La tabella seguente illustra la categoria Log e i dettagli dell'integrazione SIEM.

Introduzione all'integrazione dei log di Azure - L'esercitazione illustra come installare l'integrazione dei log di Azure e integrare i log dall'archiviazione di Azure WAD, i log attività di Azure, gli avvisi del Centro sicurezza di Azure e i log di controllo di Azure Active Directory.

Scenari di integrazione

Passaggi successivi

Proteggere i dati mantenendo la visibilità e rispondendo rapidamente agli avvisi di sicurezza tempestivi

Le impostazioni da applicare per assicurarsi che le istanze di Azure raccolgano i log di controllo e di sicurezza corretti.

In qualità di amministratore della raccolta di siti, si può recuperare la cronologia delle azioni eseguite da un utente specifico e la cronologia delle azioni eseguite durante un particolare intervallo di date.

È possibile ricorrere al Centro sicurezza e conformità di Office 365 per cercare il log di controllo unificato per visualizzare l'attività dell'utente e dell'amministratore nell'organizzazione di Office 365.