Come far funzionare gli avvisi del Centro sicurezza di Azure con l'integrazione dei log

Questo articolo riporta i passaggi necessari per abilitare il servizio Integrazione log di Azure per estrarre informazioni sugli avvisi di sicurezza generati dal Centro sicurezza di Azure. Prima di eseguire i passaggi riportati in questo articolo è necessario avere completato correttamente i passaggi descritti nell'articolo Introduzione.

Procedura dettagliata

I passaggi seguenti creeranno l'entità di servizio di Azure Active Directory necessaria e assegneranno le autorizzazioni di lettura dell'entità servizio alla sottoscrizione:

  1. Aprire il prompt dei comandi e passare alla directory C:\Programmi\Integrazione log di Microsoft Azure
  2. Eseguire il comando azlog createazureid

    Questo comando richiede le credenziali di accesso di Azure. Il comando crea quindi un' entità servizio di Azure Active Directory nei tenant di Azure AD che ospitano le sottoscrizioni di Azure in cui l'utente connesso è amministratore, coamministratore o proprietario. Se l'utente connesso è solo un utente Guest nel tenant di Azure AD, il comando avrà esito negativo. L'autenticazione in Azure avviene tramite Azure Active Directory (AD). La creazione di un'entità servizio per l'integrazione dei log di Azure crea l'identità di Azure AD a cui verrà consentito l'accesso in lettura dalle sottoscrizioni di Azure.

  3. Quindi si eseguirà un comando che assegna l'accesso in lettura per la sottoscrizione all'entità servizio creata nel passaggio 2. Se non si specifica un ID sottoscrizione, il comando tenta di assegnare il ruolo Lettore all'entità servizio per tutte le sottoscrizioni verso cui si dispone di qualsiasi tipo di accesso.
    azlog authorize <SubscriptionID>
    ad esempio
    azlog authorize 0ee55555-0bc4-4a32-a4e8-c29980000000

    Nota

    Se si esegue il comando authorize subito dopo il comando createazureid, potrebbero essere visualizzati avvisi. Tra il momento in cui viene creato l'account Azure AD e quello in cui l'account è disponibile per l'uso c'è una certa latenza. Per non visualizzare tali avvisi, attendere circa 60 secondi tra l'esecuzione del comando createazureid e l'esecuzione del comando authorize.

  4. Verificare che nelle cartelle seguenti siano presenti i file JSON del log di controllo:

    • c:\Users\azlog\AzureResourceManagerJson
    • c:\Users\azlog\AzureResourceManagerJsonLD
  5. Verificare che nelle cartelle seguenti siano presenti avvisi del Centro sicurezza di Azure:
    • c:\Users\azlog\AzureSecurityCenterJson
    • c:\Users\azlog\AzureSecurityCenterJsonLD

Se si verificano problemi durante l'installazione e la configurazione, aprire una richiesta di supporto e selezionare Integrazione log come servizio per cui si richiede il supporto.

Passaggi successivi

Per altre informazioni su Integrazione log di Azure, vedere i documenti seguenti: