Domande frequenti sull'integrazione dei log di Azure

Queste domande frequenti riguardano l'integrazione dei log di Azure, un servizio del sistema operativo Windows che consente di integrare log non elaborati delle risorse di Azure nei sistemi di gestione di informazioni ed eventi di sicurezza locali (SIEM). Questa integrazione fornisce un dashboard unificato per tutti gli asset, locali o su cloud, consentendo di aggregare, correlare, analizzare e inviare avvisi per gli eventi di sicurezza associati alle applicazioni.

Il software di integrazione dei log di Azure è gratuito?

Sì. Non è previsto alcun addebito per il software di integrazione dei log di Azure.

Dove è disponibile l'integrazione dei log di Azure?

Attualmente è disponibile nell'area commerciale di Azure e in Azure per enti pubblici e non è disponibile in Cina né in Germania.

Come si fa a vedere gli account di archiviazione da cui l'integrazione dei log di Azure estrae i log delle VM di Azure?

Eseguire il comando azlog source list.

Come stabilire da quale sottoscrizione provengono i log dell'integrazione del Log di Azure?

Nel caso dei log di controllo che si trovano nella directory AzureResourcemanagerJson, l'ID della sottoscrizione è il nome del file di log. Questo vale anche per i log nella cartella AzureSecurityCenterJson. ad esempio:

20170407T070805_2768037.0000000023.1111e5ee-1111-111b-a11e-1e111e1111dc.json

I log di controllo di Azure Active Directory includono l'ID tenant come parte del nome.

I log di diagnostica che vengono letti da un Hub eventi non includono l'ID di sottoscrizione come parte del nome. Includono invece il nome descrittivo specificato nell'ambito della creazione dell'origine dell'Hub eventi.

Come è possibile aggiornare la configurazione del proxy?

Se la configurazione del proxy non consente l'accesso di archiviazione di Azure direttamente, aprire il file AZLOG.EXE.CONFIG in c:\Programmi\Integrazione dei log di Microsoft Azure. Aggiornare il file in modo che includa la sezione defaultProxy con l'indirizzo del proxy dell'organizzazione. Al termine dell'aggiornamento, arrestare e avviare il servizio usando i comandi net stop azlog e net start azlog.

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <system.net>
    <connectionManagement>
      <add address="*" maxconnection="400" />
    </connectionManagement>
    <defaultProxy>
      <proxy usesystemdefault="true"
      proxyaddress=http://127.0.0.1:8888
      bypassonlocal="true" />
    </defaultProxy>
  </system.net>
  <system.diagnostics>
    <performanceCounters filemappingsize="20971520" />
  </system.diagnostics>   

Come è possibile vedere le informazioni sulla sottoscrizione negli eventi di Windows?

Aggiungere l'ID sottoscrizione al nome descrittivo quando si aggiunge l'origine.

Azlog source add <sourcefriendlyname>.<subscription id> <StorageName> <StorageKey>  

L'XML dell'evento include i metadati illustrati di seguito, compreso l'ID sottoscrizione.

XML dell'evento

messaggi di errore

Perché viene visualizzato il seguente errore durante l'esecuzione del comando azlog createazureid?

Error:

Impossibile creare l'applicazione AAD - Tenant 72f988bf-86f1-41af-91ab-2d7cd011db37 - Motivo = "Accesso negato" - Messaggio = "Privilegi insufficienti per completare l'operazione".

Azlog createazureid tenta di creare un'entità servizio in tutti i tenant di Azure AD per le sottoscrizioni a cui l'account di accesso di Azure può accedere. Se l'account di accesso di Azure è solo un utente Guest nel tenant di Azure AD, il comando non riesce e mostra l'errore "Privilegi insufficienti per completare l'operazione". Richiedere all'amministratore del tenant di aggiungere l'account come utente nel tenant.

Durante l'esecuzione del comando azlog authorize, perché viene visualizzato il seguente errore?

Error:

Warning creating Role Assignment - AuthorizationFailed: The client janedo@microsoft.com' with object id 'fe9e03e4-4dad-4328-910f-fd24a9660bd2' does not have authorization to perform action 'Microsoft.Authorization/roleAssignments/write' over scope '/subscriptions/70d95299-d689-4c97-b971-0d8ff0000000'. (Avviso durante la creazione dell'assegnazione del ruolo - Autorizzazione non riuscita: il client " con ID oggetto "fe9e03e4-4dad-4328-910f-fd24a9660bd2' non dispone di autorizzazione per eseguire l'azione 'Microsoft.Authorization/roleAssignments/write' over scope '/subscriptions/70d95299-d689-4c97-b971-0d8ff0000000").

Il comando azlog authorize assegna il ruolo di Lettore all'entità servizio di Azure AD (creata con azlog createazureid) per le sottoscrizioni fornite. Se l'account di accesso di Azure non è un coamministratore o un proprietario della sottoscrizione, l'operazione ha esito negativo con il messaggio di errore "Autorizzazione non riuscita". Per completare l'operazione è necessario il controllo di accesso di Azure basato sui ruoli (RBAC) di coamministratore o proprietario.

Dove si trova la definizione delle proprietà nel log di controllo?

Vedere:

Dove sono disponibili altre informazioni sugli avvisi del Centro sicurezza di Azure?

Vedere Gestione e risposta agli avvisi di sicurezza nel Centro sicurezza di Azure.

Come è possibile scegliere quali informazioni raccogliere con la diagnostica delle VM?

Per informazioni dettagliate su come ottenere, modificare e impostare la configurazione di Diagnostica di Azure in Windows (WAD) , vedere Usare PowerShell per abilitare la Diagnostica di Azure in una macchina virtuale che esegue Windows . Di seguito è riportato un esempio:

Ottenere la configurazione WAD

-AzureRmVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient
$publicsettings = (Get-AzureRmVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient).PublicSettings
$encodedconfig = (ConvertFrom-Json -InputObject $publicsettings).xmlCfg
$xmlconfig = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($encodedconfig))
Write-Host $xmlconfig

$xmlconfig | Out-File -Encoding utf8 -FilePath "d:\WADConfig.xml"

Modificare la configurazione WAD

L'esempio seguente è una configurazione in cui vengono raccolti solo gli ID evento 4624 e 4625 dal registro eventi di sicurezza. Gli eventi Microsoft Antimalware vengono raccolti dal registro eventi di sistema. Per informazioni dettagliate sull'uso di espressioni XPath, vedere [Utilizzo di eventi] (https://msdn.microsoft.com/library/windows/desktop/dd996910(v=vs.85) for details on the use of XPath expressions.

<WindowsEventLog scheduledTransferPeriod="PT1M">
    <DataSource name="Security!*[System[(EventID=4624 or EventID=4625)]]" />
    <DataSource name="System!*[System[Provider[@Name='Microsoft Antimalware']]]"/>
</WindowsEventLog>

Impostare la configurazione WAD

$diagnosticsconfig_path = "d:\WADConfig.xml"
Set-AzureRmVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient -DiagnosticsConfigurationPath $diagnosticsconfig_path -StorageAccountName log3121 -StorageAccountKey <storage key>

Dopo aver apportato modifiche, verificare l'account di archiviazione per assicurarsi che vengano raccolti gli eventi corretti.

Se si verificano problemi durante l'installazione e la configurazione, aprire una richiesta di supporto e selezionare Integrazione log come servizio per cui si richiede il supporto.

È possibile usare l'integrazione dei log di Azure per integrare i log di Network Watcher nel SIEM personale?

Il controllo di rete genera grandi quantità di informazioni di registrazione e tali log non sono pensati per essere inviati a un SIEM. L'unica destinazione supportata per i log di controllo di rete è un account di archiviazione. Azlog non supporta la lettura di questi log e li rende disponibili per un SIEM