Introduzione a Integrazione log di AzureIntroduction to Azure Log Integration

È possibile usare Integrazione log di Azure per integrare log non elaborati delle risorse di Azure nei sistemi di informazioni di sicurezza e gestione degli eventi locali.You can use Azure Log Integration to integrate raw logs from your Azure resources with your on-premises Security Information and Event Management (SIEM) systems. Usare Integrazione log di Azure solo se presso il fornitore del sistema di informazioni di sicurezza e gestione degli eventi non è disponibile un connettore a Monitoraggio di Azure.Use Azure Log Integration only if a connector to Azure Monitor isn't available from your SIEM vendor.

Il metodo preferito per l'integrazione dei log di Azure consiste nell'usare il connettore di Monitoraggio di Azure del fornitore del sistema di informazioni di sicurezza e gestione degli eventi.The preferred method for integrating Azure logs is by using your SIEM vendor’s Azure Monitor connector. Per usare il connettore, seguire le istruzioni in Monitoraggio dei flussi per gli hub eventi dati.To use the connector, follow the instructions in Monitor stream monitoring for data event hubs.

Se tuttavia il fornitore del sistema di informazioni di sicurezza e gestione degli eventi non offre un connettore per Monitoraggio di Azure, è possibile usare Integrazione log di Azure come soluzione temporanea finché il connettore non è disponibile.However, if your SIEM vendor doesn’t provide a connector to Azure Monitor, you might be able to use Azure Log Integration as a temporary solution until a connector is available. È possibile usare Integrazione log di Azure solo se Integrazione log di Azure supporta il sistema di informazioni di sicurezza e gestione degli eventi in uso.Azure Log Integration is an option only if Azure Log Integration supports your SIEM.

Importante

Se l'obiettivo principale è la raccolta di log di macchine virtuali, tenere presente che la maggior parte dei fornitori SIEM include questa opzione nella soluzione offerta.If your primary interest is collecting virtual machine logs, most SIEM vendors include this option in their solution. L'uso del connettore del fornitore SIEM è sempre l'opzione preferita.Using the SIEM vendor's connector is always the preferred alternative.

Integrazione log di Azure raccoglie gli eventi di Windows dai log del Visualizzatore eventi di Windows e dai log attività di Azure, dagli avvisi del Centro sicurezza di Azure e dai log di Diagnostica di Azure di risorse di Azure.Azure Log Integration collects Windows events from Windows Event Viewer logs, Azure activity logs, Azure Security Center alerts, and Azure Diagnostics logs from Azure resources. L'integrazione consente alla soluzione di informazioni di sicurezza e gestione degli eventi di offrire un dashboard unificato per tutti gli asset, sia locali che nel cloud.Integration helps your SIEM solution provide a unified dashboard for all your assets, whether on-premises or in the cloud. Per ricevere, aggregare, correlare e analizzare gli avvisi per gli eventi di sicurezza, è possibile usare un dashboard.You can use a dashboard to receive, aggregate, correlate, and analyze alerts for security events.

Nota

Integrazione log di Azure attualmente supporta solo cloud commerciali di Azure e cloud Azure per enti pubblici.Currently, Azure Log Integration supports only Azure commercial and Azure Government clouds. Gli altri cloud non sono supportati.Other clouds are not supported.

Diagramma del processo di Integrazione log di Azure

Log che è possibile integrareWhat logs can I integrate

Azure produce registrazioni estese per ogni servizio di Azure.Azure produces extensive logging for each Azure service. Esistono tre tipi di log:The logs represent three log types:

  • Log di gestione/controllo: offrono visibilità sulle operazioni CREATE, UPDATE e DELETE di Azure Resource Manager.Control/management logs: Provide visibility into the Azure Resource Manager CREATE, UPDATE, and DELETE operations. Un log attività di Azure rappresenta un esempio di questo tipo di log.An Azure activity log is an example of this type of log.
  • Log di piano dati: consente di visualizzare gli eventi che vengono generati quando si usa una risorsa di Azure.Data plane logs: Provide visibility into events that are raised when you use an Azure resource. Un esempio di questo tipo di log sono i canali Sistema, Sicurezza e Applicazione del Visualizzatore eventi di Windows in una macchina virtuale Windows.An example of this type of log is the Windows Event Viewer's System, Security, and Application channels in a Windows virtual machine. Un altro esempio è la registrazione di Diagnostica di Azure configurata tramite Monitoraggio di Azure.Another example is Azure Diagnostics logging that you configure through Azure Monitor.
  • Eventi elaborati: offrono informazioni sugli eventi e sugli avvisi analizzati elaborate automaticamente.Processed events: Provide analyzed event and alert information that are processed for you. Un esempio di questo tipo di evento è rappresentato dagli avvisi del Centro sicurezza di Azure.An example of this type of event is Azure Security Center alerts. Centro sicurezza di Azure elabora e analizza la sottoscrizione per fornire gli avvisi pertinenti alle condizioni di sicurezza correnti.Azure Security Center processes and analyzes your subscription to provide alerts that are relevant to your current security posture.

L'integrazione dei log di Azure supporta ArcSight, QRadar e Splunk.Azure Log Integration supports ArcSight, QRadar, and Splunk. Verificare con il fornitore del sistema di informazioni di sicurezza e gestione degli eventi se è disponibile un connettore nativo.Check with your SIEM vendor to assess whether the vendor has a native connector. Non usare Integrazione log di Azure se è disponibile un connettore nativo.Don't use Azure Log Integration if a native connector is available.

Se non sono disponibili altre opzioni, è consigliabile usare Integrazione log di Azure.If no other options are available, consider using Azure Log Integration. La tabella seguente include i suggerimenti Microsoft:The following table includes our recommendations:

Sistema di informazioni di sicurezza e gestione degli eventiSIEM Cliente che usa già Integrazione log di AzureCustomer already uses the Azure log integrator Cliente che sta esplorando le opzioni di integrazione di informazioni di sicurezza e gestione degli eventiCustomer is investigating SIEM integration options
SplunkSplunk Iniziare passando al componente aggiuntivo di Monitoraggio di Azure per Splunk.Begin migrating to the Azure Monitor add-on for Splunk. Usare il connettore Splunk.Use the Splunk connector.
QRadarQRadar Eseguire la migrazione al connettore QRadar o iniziare a usarlo. Il connettore è documentato nell'ultima sezione di Trasmettere i dati di monitoraggio di Azure a un hub eventi per il consumo da parte di uno strumento esterno.Migrate to or begin using the QRadar connector documented in the last section of Stream Azure monitoring data to an event hub for consumption by an external tool. Usare il connettore QRadar documentato nell'ultima sezione di Trasmettere i dati di monitoraggio di Azure a un hub eventi per il consumo da parte di uno strumento esterno.Use the QRadar connector documented in the last section of Stream Azure monitoring data to an event hub for consumption by an external tool.
ArcSightArcSight Continuare a usare Integrazione log di Azure finché non è disponibile un connettoreContinue to use the Azure log integrator until a connector is available. e quindi eseguire la migrazione alla soluzione basata sul connettore.Then, migrate to the connector-based solution. In alternativa, si considera di usare Azure Log Analytics.Consider using Azure Log Analytics as an alternative. Evitare di usare Integrazione log di Azure, in modo da non dover affrontare il processo di migrazione quando il connettore sarà disponibile.Don't onboard to Azure Log Integration unless you are willing to go through the migration process when the connector becomes available.

Nota

Integrazione log di Azure è una soluzione gratuita, ma ci sono costi di archiviazione di Azure derivanti dall'archiviazione di informazioni nei file di log.Although Azure Log Integration is a free solution, there are Azure storage costs associated with log file information storage.

In caso di necessità, creare una richiesta di assistenza.If you need assistance, you can create a support request. Per il servizio, selezionare Integrazione log.For the service, select Log Integration.

Passaggi successiviNext steps

Questo articolo rappresenta l'introduzione a Integrazione log di Azure.This article introduces you to Azure Log Integration. Per altre informazioni su Integrazione log di Azure e sui tipi di log supportati, vedere gli articoli seguenti:To learn more about Azure Log Integration and the types of logs that are supported, see the following articles: