Introduzione all'integrazione dei log di Microsoft Azure

Informazioni sull'integrazione dei log di Azure, le funzionalità principali e il funzionamento.

Panoramica

L'integrazione dei log di Azure è una soluzione gratuita che consente di integrare log non elaborati dalle risorse di Azure nei sistemi SIEM (Security Information and Event Management) locali.

L'integrazione dei log di Azure raccoglie gli eventi di Windows dai canali del Visualizzatore eventi di Windows, i log attività di Azure, gli avvisi del Centro sicurezza di Azure e i log di Diagnostica di Azure dalle risorse di Azure. Questa integrazione aiuta il sistema SIEM a fornire un dashboard unificato per tutti gli asset, locali o su cloud, consentendo di aggregare, correlare, analizzare e inviare avvisi per gli eventi di sicurezza.

Nota

Al momento i soli cloud supportati sono quello commerciale e quello di Azure per enti pubblici. Gli altri cloud per ora non sono supportati.

Integrazione dei log di Azure

Quali log è possibile integrare?

Azure produce registrazioni complete per ogni servizio di Azure. Questi log rappresentano tre tipi di log:

  • I log di gestione/controllo che offrono visibilità sulle operazioni CREATE, UPDATE e DELETE di Azure Resource Manager. I log attività di Azure sono un esempio di questo tipo di log.
  • I log del piano dati che offrono visibilità sugli eventi generati come parte dell'uso di una risorsa di Azure. Un esempio di questo tipo di log sono i canali Sistema, Sicurezza e Applicazione del Visualizzatore eventi di Windows in una macchina virtuale Windows. Un altro esempio è la registrazione di diagnostica configurata tramite Monitor di Azure
  • Gli eventi elaborati forniscono eventi analizzati e informazioni sugli avvisi elaborate per conto del cliente. Un esempio di questo tipo di evento è costituito dagli avvisi del Centro sicurezza di Azure, in cui il Centro sicurezza di Azure ha elaborato e analizzato la sottoscrizione per fornire avvisi pertinenti alle condizioni di sicurezza attuali.

L'integrazione dei log di Azure supporta attualmente l'integrazione dei log di attività di Azure, del log eventi delle macchine virtuali Windows incluse nella sottoscrizione di Azure, degli avvisi del Centro sicurezza di Azure, dei log di Diagnostica di Azure e dei log di controllo di Azure Active Directory.

Nota

L'integrazione dei log di Azure è una soluzione gratuita, ma ci saranno costi di archiviazione di Azure derivanti dall'archiviazione di informazioni nel file di log.

La tabella seguente illustra la categoria Log e i dettagli dell'integrazione SIEM

Tipo di log Log Analytics con supporto JSON (Splunk, ELK) ArcSight QRadar
Log di controllo AAD Richiede la creazione di un file parser JSON FlexConnector. Per altre informazioni, vedere la documentazione ArcSight. È necessario creare un'estensione Origine log. Per altre informazioni, vedere la documentazione QRadar.
Log attività File parser JSON FlexConnector disponibile nell'area download con il download dell'integrazione log di Azure. DSM QRadar (invio tramite Syslog)
Avvisi del Centro sicurezza di Azure Richiede la creazione di un file parser JSON FlexConnector. Per altre informazioni, vedere la documentazione ArcSight. DSM QRadar (invio tramite Syslog)
Log di diagnostica (log di risorse) L'utente finale deve creare un file parser JSON FlexConnector. Per informazioni su questa operazione, vedere la documentazione ArcSight. È necessario creare un'estensione Origine log. Per altre informazioni, vedere la documentazione QRadar.
Log VM Sì, tramite Eventi inoltrati e non attraverso JSON Sì, tramite Eventi inoltrati Sì, tramite Eventi inoltrati

Per altre informazioni sui tipi di log supportati, consultare le domande frequenti

L'assistenza della community è disponibile tramite il forum MSDN di Integrazione log di Azure. Il forum offre ai membri della community di AzLog la possibilità di supporto reciproco con domande, risposte, suggerimenti e trucchi su come ottenere il massimo dall'integrazione dei log di Azure. Inoltre, il team di Integrazione log di Azure monitora questo forum e offrirà il suo contributo quando possibile.

Si può anche aprire un richiesta di supporto. A tale scopo selezionare Integrazione log come servizio per cui richiedere supporto.

Passaggi successivi

In questo documento è stata presentata l'integrazione dei log di Azure. Per altre informazioni sull'integrazione dei log di Azure e sui tipi di log supportati, vedere gli argomenti seguenti: