Introdução ao Azure Log Integration
Importante
A funcionalidade de integração do Azure Log será depreciada até 06/15/2019. Os downloads do AzLog foram desativado em 27 de junho de 2018. Para obter orientações sobre o que fazer em avançar, reveja o monitor post Use Azure para integrar com ferramentas SIEM
Azure Log Integration foi disponibilizado para simplificar a tarefa de integrar os registos Azure com o seu sistema de Informação de Segurança e Gestão de Eventos (SIEM) no local.
O método recomendado para a integração dos registos Azure é utilizar os conectores do seu fornecedor SIEM. O Azure Monitor fornece a capacidade de transmitir os registos para centros de eventos, e os fornecedores siem podem escrever conectores para integrar ainda mais os registos do centro de eventos no SIEM. Para uma descrição de como isto funciona, siga as instruções na monitorização do fluxo do Monitor para os centros de eventos de dados. O artigo também lista os SIEMs para os quais já estão disponíveis conectores Azure diretos.
Importante
Se o seu interesse principal é recolher registos de máquinas virtuais, a maioria dos fornecedores siem inclui esta opção na sua solução. A utilização do conector do fornecedor SIEM é sempre a alternativa preferida.
A documentação sobre a funcionalidade Azure Log Integration ainda se mantém até que a funcionalidade seja depreciada.
Leia mais adiante para saber mais sobre a funcionalidade Azure Log Integration:
Azure Log Integration recolhe eventos Windows a partir de registos windows Visualizador de Eventos, registos de atividades do Azure, alertas de Centro de Segurança do Azure e registos de Diagnóstico do Azure a partir de recursos Azure. A integração ajuda a sua solução SIEM a fornecer um dashboard unificado para todos os seus ativos, seja no local ou na nuvem. Pode utilizar um dashboard para receber, agregar, correlacionar e analisar alertas para eventos de segurança.
Nota
Atualmente, Azure Log Integration suporta apenas nuvens comerciais e Azure Government Azure. Outras nuvens não são apoiadas.
Que registos posso integrar?
A Azure produz uma exploração madeireira extensiva para cada serviço Azure. Os registos representam três tipos de registo:
- Registos de controlo/gestão: Fornecer visibilidade nas operações Azure Resource Manager CREATE, UPDATE e DELETE. Um registo de atividades Azure é um exemplo deste tipo de log.
- Registos de planos de dados: Dê visibilidade a eventos que são levantados quando utiliza um recurso Azure. Um exemplo deste tipo de registo é o Sistema, Segurança e Aplicação do Windows Visualizador de Eventos numa máquina virtual Windows. Outro exemplo é Diagnóstico do Azure registo, que configura através do Azure Monitor.
- Eventos processados: Forneça informações de eventos analisados e alerta que sejam processadas por si. Um exemplo deste tipo de evento é Centro de Segurança do Azure alertas. Centro de Segurança do Azure processa e analisa a sua subscrição para fornecer alertas relevantes para a sua postura de segurança atual.
Azure Log Integration suporta ArcSight, QRadar e Splunk. Consulte o seu fornecedor SIEM para avaliar se o fornecedor tem um conector nativo. Não utilize Azure Log Integration se estiver disponível um conector nativo.
Se não houver outras opções disponíveis, considere usar Azure Log Integration. O quadro que se segue inclui as nossas recomendações:
| SIEM | O cliente já utiliza o integrador de registos Azure | O Cliente está a investigar opções de integração do SIEM |
|---|---|---|
| Splunk | Comece a migrar para o addon Azure Monitor para Splunk. | Utilize o conector Splunk. |
| QRadar | Migrar para ou começar a usar o conector QRadar que está documentado na última secção de dados de monitorização do Stream Azure para um centro de eventos para consumo por uma ferramenta externa. | Utilize o conector QRadar documentado na última secção de dados de monitorização do Stream Azure para um centro de eventos para consumo por uma ferramenta externa. |
| ArcSight | Continue a utilizar o integrador de registoS Azure até que um conector esteja disponível e, em seguida, migrar para a solução baseada no conector. | Considere a utilização de registos do Monitor Azure como alternativa. Não suba a bordo para Azure Log Integration a menos que esteja disposto a passar pelo processo de migração quando o conector estiver disponível. |
Nota
Embora Azure Log Integration seja uma solução gratuita, existem custos de armazenamento Azure associados ao armazenamento de informação de ficheiros de registo.
Se precisar de assistência, pode criar um pedido de apoio. Para o serviço, selecione Log Integration.
Passos seguintes
Este artigo apresentou-te a Azure Log Integration. Para saber mais sobre Azure Log Integration e os tipos de registos suportados, consulte os seguintes artigos:
- Começa com Azure Log Integration. Este tutorial acompanha-o através da instalação de Azure Log Integration. Também descreve como integrar registos a partir do armazenamento do Windows Diagnóstico do Azure (WAD), registos de atividades Azure, alertas de Centro de Segurança do Azure e registos de auditoria do Azure Ative Directory.
- Azure Log Integration perguntas frequentes (FAQ). Esta FAQ responde a perguntas comuns sobre Azure Log Integration.
- Saiba mais sobre como transmitir dados de monitorização do Azure para um centro de eventos para consumo através de uma ferramenta externa.