Azure security logging and auditing (Registo e auditoria de segurança do Azure)
O Azure fornece uma ampla variedade de opções configuráveis de auditoria e registro em log de segurança para ajudá-lo a identificar lacunas em suas políticas e mecanismos de segurança. Este artigo discute a geração, coleta e análise de logs de segurança de serviços hospedados no Azure.
Nota
Algumas recomendações neste artigo podem resultar no aumento do uso de dados, rede ou recursos de computação e aumentar seus custos de licença ou assinatura.
Tipos de logs no Azure
As aplicações na nuvem são complexas com muitas partes móveis. Os dados de registo podem fornecer informações sobre as suas aplicações e ajudá-lo a:
- Solucionar problemas anteriores ou evitar possíveis problemas
- Melhorar o desempenho ou a capacidade de manutenção dos aplicativos
- Automatize ações que, de outra forma, exigiriam intervenção manual
Os logs do Azure são categorizados nos seguintes tipos:
Os logs de controle/gerenciamento fornecem informações sobre as operações CREATE, UPDATE e DELETE do Azure Resource Manager. Para obter mais informações, consulte Logs de atividade do Azure.
Os logs do plano de dados fornecem informações sobre eventos gerados como parte do uso de recursos do Azure. Exemplos desse tipo de log são o sistema de eventos do Windows, a segurança e os logs de aplicativos em uma máquina virtual (VM) e os logs de diagnóstico configurados por meio do Azure Monitor.
Os eventos processados fornecem informações sobre eventos /alertas analisados que foram processados em seu nome. Exemplos desse tipo são alertas do Microsoft Defender for Cloud em que o Microsoft Defender for Cloud processou e analisou sua assinatura e fornece alertas de segurança concisos.
A tabela a seguir lista os tipos mais importantes de logs disponíveis no Azure:
| Categoria do registo | Tipo de log | Utilização | Integração |
|---|---|---|---|
| Registos de atividades | Eventos do plano de controle nos recursos do Azure Resource Manager | Fornece informações sobre as operações que foram executadas em recursos em sua assinatura. | API REST, Azure Monitor |
| Logs de recursos do Azure | Dados frequentes sobre a operação dos recursos do Azure Resource Manager na assinatura | Fornece informações sobre as operações que o próprio recurso executou. | Azure Monitor |
| Relatórios do Microsoft Entra ID | Logs e relatórios | Relata atividades de entrada do usuário e informações de atividade do sistema sobre usuários e gerenciamento de grupo. | Microsoft Graph |
| Máquinas virtuais e serviços na nuvem | Serviço de Log de Eventos do Windows e Linux Syslog | Captura dados do sistema e dados de registro em log nas máquinas virtuais e transfere esses dados para uma conta de armazenamento de sua escolha. | Armazenamento Windows (usando o Diagnóstico do Azure) e Linux no Azure Monitor |
| Análise do Armazenamento do Azure | Registro em log de armazenamento, fornece dados de métricas para uma conta de armazenamento | Fornece informações sobre solicitações de rastreamento, analisa tendências de uso e diagnostica problemas com sua conta de armazenamento. | API REST ou a biblioteca do cliente |
| Logs de fluxo do grupo de segurança de rede (NSG) | Formato JSON, mostra os fluxos de entrada e saída por regra | Exibe informações sobre o tráfego IP de entrada e saída por meio de um Grupo de Segurança de Rede. | Observador de Rede do Azure |
| Visão geral do aplicativo | Logs, exceções e diagnósticos personalizados | Fornece um serviço de monitoramento de desempenho de aplicativos (APM) para desenvolvedores da Web em várias plataformas. | API REST, Power BI |
| Processar dados / alertas de segurança | Alertas do Microsoft Defender for Cloud, alertas de logs do Azure Monitor | Fornece informações e alertas de segurança. | APIs REST, JSON |
Integração de logs com sistemas SIEM locais
Integrando alertas do Defender for Cloud discute como sincronizar alertas do Defender for Cloud, eventos de segurança de máquina virtual coletados pelos logs de diagnóstico do Azure e logs de auditoria do Azure com seus logs do Azure Monitor ou solução SIEM.
Próximos passos
Auditoria e registro: proteja os dados mantendo a visibilidade e respondendo rapidamente a alertas de segurança oportunos.
Definir configurações de auditoria para um conjunto de sites: se você for um administrador de conjunto de sites, recupere o histórico de ações de usuários individuais e o histórico de ações realizadas durante um determinado intervalo de datas.
Pesquisar o log de auditoria no Portal do Microsoft Defender: use o Portal do Microsoft Defender para pesquisar o log de auditoria unificado e exibir a atividade do usuário e do administrador em sua organização.