Inleiding tot Azure-logboekintegratie
Belangrijk
De Azure-functie voor logboek integratie wordt afgeschaft door 06/15/2019. AzLog-down loads zijn op 27 juni 2018 uitgeschakeld. Raadpleeg voor meer informatie over wat u verder kunt doen met Azure monitor om te integreren met Siem-hulpprogram ma's
Azure Log Integration is beschikbaar gesteld om de taak van het integreren van Azure-logboeken met uw on-premises Security Information and Event Management-systeem (SIEM) te vereenvoudigen.
De aanbevolen methode voor het integreren van Azure-Logboeken is het gebruik van de connectors van uw SIEM-leverancier. Azure Monitor biedt de mogelijkheid om de logboeken te streamen naar Event hubs en SIEM leveranciers kunnen Connect oren schrijven om logboeken te integreren van de Event Hub in de SIEM. Volg de instructies in Stream bewaking controleren op Data Event hubsvoor een beschrijving van hoe dit werkt. In dit artikel wordt ook de Siem's vermeld waarvoor direct Azure-connectors beschikbaar zijn.
Belangrijk
Als de logboeken van de virtuele machine worden verzameld, bevatten de meeste SIEM-leveranciers deze optie in hun oplossing. Het gebruik van de SIEM-connector van de leverancier is altijd het voor keur alternatief.
De documentatie over de Azure Log Integration-functie wordt nog steeds onderhouden totdat de functie is afgeschaft.
Lees verder voor meer informatie over de functie Azure Log Integration:
Azure Log Integration verzamelt Windows-gebeurtenissen van Windows Logboeken-Logboeken, activiteiten logboeken van Azure, Azure Security Center waarschuwingenen Azure Diagnostics logboeken van Azure-resources. Integratie helpt uw SIEM-oplossing een gecombineerd dash board te bieden voor al uw assets, zowel on-premises als in de Cloud. U kunt een dash board gebruiken om waarschuwingen voor beveiligings gebeurtenissen te ontvangen, samen te stellen, te correleren en te analyseren.
Notitie
Momenteel ondersteunt Azure Log Integration alleen Azure commerciële en Azure Government Clouds. Andere Clouds worden niet ondersteund.
Welke logboeken kan ik integreren?
Azure produceert uitgebreide logboek registratie voor elke Azure-service. De logboeken vertegenwoordigen drie logboek typen:
- Control/Management-logboeken: Geef inzicht in de Azure Resource Manager Create-, update-en delete-bewerkingen. Een Azure-activiteiten logboek is een voor beeld van dit type logboek.
- Gegevens vlak logboeken: Geef inzicht in gebeurtenissen die worden gegenereerd wanneer u een Azure-resource gebruikt. Een voor beeld van dit type logboek is de systeem-, beveiligings-en toepassings kanalen van Windows logboeken op een virtuele Windows-machine. Een ander voor beeld is Azure Diagnostics logboek registratie, die u configureert via Azure Monitor.
- Verwerkte gebeurtenissen: bieden analyseerde gebeurtenis-en waarschuwings gegevens die voor u worden verwerkt. Een voor beeld van dit type gebeurtenis is Azure Security Center-waarschuwingen. Azure Security Center processen en analyseert uw abonnement om waarschuwingen te geven die relevant zijn voor uw huidige beveiligings postuur.
Azure Log Integration ondersteunt ArcSight, QRadar en Splunk. Neem contact op met de leverancier van uw SIEM om te beoordelen of de leverancier een systeem eigen connector heeft. Gebruik Azure Log Integration niet als er een systeem eigen connector beschikbaar is.
Als er geen andere opties beschikbaar zijn, kunt u overwegen Azure Log Integration te gebruiken. De volgende tabel bevat onze aanbevelingen:
| SIEM | De klant maakt al gebruik van de Azure-logboek integrator | De klant onderzoekt SIEM-integratie opties |
|---|---|---|
| Splunk | Begin met migreren naar de Azure monitor-invoeg toepassing voor Splunk. | Gebruik de Splunk-connector. |
| QRadar | Migreer naar of begin met het gebruik van de QRadar-connector die is gedocumenteerd in de laatste sectie van Stream Azure-bewakings gegevens naar een event hub voor het gebruik van een extern hulp programma. | Gebruik de QRadar-connector die is gedocumenteerd in de laatste sectie van Stream Azure-bewakings gegevens naar een event hub voor het gebruik van een extern hulp programma. |
| ArcSight | Blijf de Azure-logboek Integrator gebruiken totdat er een connector beschikbaar is en migreer vervolgens naar de oplossing op basis van een connector. | Overweeg Azure Monitor-Logboeken als alternatief te gebruiken. Onboarding voor Azure Log Integration tenzij u bereid bent het migratie proces door te lopen wanneer de connector beschikbaar wordt. |
Notitie
Hoewel Azure Log Integration een gratis oplossing is, zijn er kosten verbonden aan de opslag van het logboek bestand in azure Storage.
Als u hulp nodig hebt, kunt u een ondersteunings aanvraagmaken. Selecteer voor de service logboek integratie.
Volgende stappen
In dit artikel wordt u geïntroduceerd om Azure Log Integration. Raadpleeg de volgende artikelen voor meer informatie over Azure Log Integration en de typen logboeken die worden ondersteund:
- Aan de slag met Azure log Integration. In deze zelf studie wordt u begeleid bij de installatie van Azure Log Integration. Ook wordt beschreven hoe u Logboeken integreert van Windows Azure Diagnostics (WAD)-opslag, Azure-activiteiten logboeken, Azure Security Center waarschuwingen en Azure Active Directory audit Logboeken.
- Azure log Integration Veelgestelde vragen (FAQ). In deze veelgestelde vragen vindt u antwoorden op veelgestelde vragen over Azure Log Integration.
- Meer informatie over het streamen van Azure-bewakings gegevens naar een event hub voor het gebruik van een extern hulp programma.