Azure-logboekregistratie en -controle van beveiligingsgegevens
Azure biedt een breed scala aan configureerbare opties voor beveiligingscontrole en logboekregistratie, zodat u hiaten in uw beveiligingsbeleid en -mechanismen kunt identificeren. In dit artikel wordt beschreven hoe u beveiligingslogboeken genereert, verzamelt en analyseert van services die worden gehost in Azure.
Notitie
Bepaalde aanbevelingen in dit artikel kunnen leiden tot meer gegevens, het netwerk of het rekenresourcegebruik, en het verhogen van uw licentie- of abonnementskosten.
Typen logboeken in Azure
Cloudtoepassingen zijn complex met veel bewegende onderdelen. Logboekregistratiegegevens kunnen inzicht geven in uw toepassingen en u helpen bij het volgende:
- Eerdere problemen oplossen of potentiële problemen voorkomen
- Prestaties of onderhoudbaarheid van toepassingen verbeteren
- Acties automatiseren waarvoor anders handmatige interventie vereist is
Azure-logboeken worden onderverdeeld in de volgende typen:
Controle-/beheerlogboeken bieden informatie over bewerkingen voor MAKEN, BIJWERKEN en VERWIJDEREN van Azure Resource Manager. Zie Azure-activiteitenlogboeken voor meer informatie.
Logboeken van gegevensvlakken bieden informatie over gebeurtenissen die worden gegenereerd als onderdeel van het Azure-resourcegebruik. Voorbeelden van dit type logboek zijn het Windows-gebeurtenissysteem, de beveiliging en toepassingslogboeken op een virtuele machine (VM) en de diagnostische logboeken die zijn geconfigureerd via Azure Monitor.
Verwerkte gebeurtenissen bieden informatie over geanalyseerde gebeurtenissen/waarschuwingen die namens u zijn verwerkt. Voorbeelden van dit type zijn Microsoft Defender voor Cloud waarschuwingen waarbij Microsoft Defender voor Cloud uw abonnement heeft verwerkt en geanalyseerd en beknopte beveiligingswaarschuwingen biedt.
De volgende tabel bevat de belangrijkste typen logboeken die beschikbaar zijn in Azure:
| Logboekcategorie | Logboektype | Gebruik | Integratie |
|---|---|---|---|
| Activiteitenlogboeken | Besturingsvlakgebeurtenissen in Azure Resource Manager-resources | Biedt inzicht in de bewerkingen die zijn uitgevoerd op resources in uw abonnement. | REST API, Azure Monitor |
| Azure-resourcelogboeken | Frequente gegevens over de werking van Azure Resource Manager-resources in het abonnement | Biedt inzicht in bewerkingen die uw resource zelf heeft uitgevoerd. | Azure Monitor |
| Rapportage van Microsoft Entra-id's | Logboeken en rapporten | Rapporteert gebruikersaanmeldingsactiviteiten en systeemactiviteitsinformatie over gebruikers en groepsbeheer. | Microsoft Graph |
| Virtuele machines en cloudservices | Windows Event Log-service en Linux Syslog | Legt systeemgegevens en logboekregistratiegegevens vast op de virtuele machines en draagt die gegevens over naar een opslagaccount van uw keuze. | Windows (met behulp van Azure Diagnostics]-opslag) en Linux in Azure Monitor |
| Azure Storage Analytics | Logboekregistratie van opslag, biedt metrische gegevens voor een opslagaccount | Biedt inzicht in traceringsaanvragen, analyseert gebruikstrends en diagnosticeert problemen met uw opslagaccount. | REST API of de clientbibliotheek |
| NSG-stroomlogboeken (netwerkbeveiligingsgroep) | JSON-indeling, toont uitgaande en inkomende stromen per regel | Geeft informatie weer over inkomend en uitgaand IP-verkeer via een netwerkbeveiligingsgroep. | Azure Network Watcher |
| Inzicht in toepassingen | Logboeken, uitzonderingen en aangepaste diagnostische gegevens | Biedt een APM-service (Application Performance Monitoring) voor webontwikkelaars op meerdere platforms. | REST API, Power BI |
| Gegevens/beveiligingswaarschuwingen verwerken | Microsoft Defender voor Cloud waarschuwingen, Logboekwaarschuwingen van Azure Monitor | Biedt beveiligingsinformatie en waarschuwingen. | REST API's, JSON |
Logboekintegratie met on-premises SIEM-systemen
De integratie van Defender voor Cloud waarschuwingen beschrijft hoe u Defender voor Cloud waarschuwingen synchroniseert, beveiligingsgebeurtenissen van virtuele machines die worden verzameld door diagnostische logboeken van Azure en Azure-auditlogboeken met uw Azure Monitor-logboeken of SIEM-oplossing.
Volgende stappen
Controle en logboekregistratie: beveilig gegevens door zichtbaarheid te behouden en snel te reageren op tijdige beveiligingswaarschuwingen.
Controle-instellingen configureren voor een siteverzameling: Als u een beheerder van een siteverzameling bent, haalt u de geschiedenis op van de acties van afzonderlijke gebruikers en de geschiedenis van acties die tijdens een bepaald datumbereik zijn uitgevoerd.
Zoek in het auditlogboek in de Microsoft Defender-portal: gebruik de Microsoft Defender-portal om het geïntegreerde auditlogboek te doorzoeken en gebruikers- en beheerdersactiviteiten in uw organisatie weer te geven.