Log de segurança e auditoria do Azure
O Azure fornece uma ampla gama de opções de registro de log e auditoria de segurança configuráveis para ajudá-lo a identificar lacunas em seus mecanismos e políticas de segurança. Este artigo discute a geração, a coleta e a análise de logs de segurança de serviços hospedados no Azure.
Observação
Determinadas recomendações neste artigo podem resultar em maior uso de recursos de computação, rede ou dados e aumentar os custos de licença ou assinatura.
Tipos de logs no Azure
Os aplicativos em nuvem são complexos com muitas partes móveis. Os dados de registro de log podem fornecer insights sobre seus aplicativos e ajudar você a:
- Solucionar problemas anteriores ou evitar problemas potenciais
- Melhorar o desempenho ou a facilidade de manutenção do aplicativo
- Automatizar ações que, de outra forma, exigem intervenção manual
Os logs do Azure são categorizados nos seguintes tipos:
Logs de controle/gerenciamento fornecem informações sobre as operações CREATE, UPDATE e DELETE do Azure Resource Manager. Para obter mais informações, confira Logs de atividades do Azure.
Os logs de plano de dados fornecem informações sobre eventos gerados como parte de uso de recursos do Azure. Exemplos desse tipo de log são os logs do aplicativo, de segurança e do sistema de eventos do Windows em uma VM (máquina virtual) e os logs de diagnóstico que são configurados por meio do Azure Monitor.
Os eventos processados fornecem informações sobre os eventos/alertas analisados que foram processados em seu nome. Exemplos desse tipo são os Alertas do Microsoft Defender para Nuvem, nos quais o Microsoft Defender para Nuvem processou e analisou sua assinatura e fornece alertas de segurança concisos.
A tabela a seguir lista os tipos mais importantes de logs disponíveis no Azure:
| Categoria do log | Tipo de log | Uso | Integração |
|---|---|---|---|
| Logs de atividade | Eventos de plano de controle nos recursos do Azure Resource Manager | Fornecem informações sobre as operações executadas em recursos de sua assinatura. | API REST, Azure Monitor |
| Logs de Recursos do Azure | Dados frequentes sobre a operação de recursos do Azure Resource Manager na assinatura | Fornecem informações sobre as operações que o recurso executou por conta própria. | Azure Monitor |
| Relatório da ID do Microsoft Entra | Logs e relatórios | Relata atividades de conexão do usuário e informações de atividades do sistema sobre gerenciamento de usuários e grupos. | Microsoft Graph |
| Máquinas virtuais e serviços de nuvem | Serviço de log de eventos do Windows e syslog do Linux | Capturam dados do sistema e dados de logs nas máquinas virtuais e transferem os dados para uma conta de armazenamento de sua escolha. | Windows (usando o armazenamento do Diagnóstico do Azure]) e Linux no Azure Monitor |
| Análise do Armazenamento do Azure | Log de armazenamento, fornece dados de métrica de uma conta de armazenamento | Fornece informações das solicitações de rastreamento, analisa tendências de uso e diagnostica problemas com a conta de armazenamento. | API REST ou biblioteca de cliente |
| Logs de fluxo do NSG (Grupo de Segurança de Rede) | Formato JSON, mostra os fluxos de entrada e saída por regra | Exibe informações sobre o tráfego IP de entrada e saída por meio de um Grupo de Segurança de Rede. | Observador de Rede do Azure |
| Application Insights | Logs, exceções e diagnóstico personalizado | Fornece um serviço APM (monitoramento de desempenho de aplicativos) para desenvolvedores da Web em várias plataformas. | API REST, Power BI |
| Dados do processo/alertas de segurança | Alertas do Microsoft Defender para Nuvem, alertas de logs do Azure Monitor | Fornece informações e alertas de segurança. | APIs REST, JSON |
Integração de log com sistemas SIEM locais
Integração dos alertas do Defender para Nuvem discute como sincronizar os alertas do Defender para Nuvem, os eventos de segurança da máquina virtual coletados pelos logs de diagnósticos do Azure e os logs de auditoria do Azure com seus logs do Azure Monitor ou solução SIEM.
Próximas etapas
Auditoria e log: proteja seus dados mantendo a visibilidade e respondendo rapidamente aos alertas de segurança em tempo hábil.
Definir as configurações de auditoria para uma coleção de sites: se você for um administrador de uma coleção de sites, recupere o histórico de ações de usuários individuais e o histórico de ações realizadas durante um intervalo de datas específico.
Pesquisar o log de auditoria no Portal do Microsoft Defender: use o Portal do Microsoft Defender para pesquisar o log de auditoria unificado e exibir a atividade do usuário e do administrador em sua organização.