Säkerhetsloggning och granskning i Azure
Azure tillhandahåller en mängd olika konfigurerbara alternativ för säkerhetsgranskning och loggning som hjälper dig att identifiera luckor i dina säkerhetsprinciper och mekanismer. I den här artikeln beskrivs hur du genererar, samlar in och analyserar säkerhetsloggar från tjänster som finns i Azure.
Kommentar
Vissa rekommendationer i den här artikeln kan leda till ökad användning av data, nätverk eller beräkningsresurser och ökade licens- eller prenumerationskostnader.
Typer av loggar i Azure
Molnprogram är komplexa med många rörliga delar. Loggningsdata kan ge insikter om dina program och hjälpa dig:
- Felsöka tidigare problem eller förhindra potentiella problem
- Förbättra programmets prestanda eller underhåll
- Automatisera åtgärder som annars skulle kräva manuella åtgärder
Azure-loggar kategoriseras i följande typer:
Kontroll-/hanteringsloggar innehåller information om åtgärder för ATT SKAPA, UPPDATERA och TA BORT i Azure Resource Manager. Mer information finns i Azure-aktivitetsloggar.
Dataplansloggar ger information om händelser som genereras som en del av Azure-resursanvändningen. Exempel på den här typen av logg är Windows-händelsesystem, säkerhets- och programloggar på en virtuell dator (VM) och diagnostikloggarna som konfigureras via Azure Monitor.
Bearbetade händelser ger information om analyserade händelser/aviseringar som har bearbetats åt dig. Exempel av den här typen är Microsoft Defender för molnet aviseringar där Microsoft Defender för molnet har bearbetat och analyserat din prenumeration och ger kortfattade säkerhetsaviseringar.
I följande tabell visas de viktigaste typerna av loggar som är tillgängliga i Azure:
| Loggkategori | Loggtyp | Användning | Integrering |
|---|---|---|---|
| Aktivitetsloggar | Kontrollplanshändelser på Azure Resource Manager-resurser | Ger insikt i de åtgärder som utfördes på resurser i din prenumeration. | REST API, Azure Monitor |
| Azure-resursloggar | Frekventa data om driften av Azure Resource Manager-resurser i prenumerationen | Ger insikt i åtgärder som själva resursen har utfört. | Azure Monitor |
| Microsoft Entra ID-rapportering | Loggar och rapporter | Rapporterar användarinloggningsaktiviteter och systemaktivitetsinformation om användare och grupphantering. | Microsoft Graph |
| Virtuella datorer och molntjänster | Windows Event Log-tjänsten och Linux Syslog | Samlar in systemdata och loggningsdata på de virtuella datorerna och överför dessa data till ett lagringskonto som du väljer. | Windows (med Azure Diagnostics]-lagring) och Linux i Azure Monitor |
| Azure Storage-analys | Lagringsloggning, tillhandahåller måttdata för ett lagringskonto | Ger insikt i spårningsbegäranden, analyserar användningstrender och diagnostiserar problem med ditt lagringskonto. | REST API eller klientbiblioteket |
| Flödesloggar för nätverkssäkerhetsgrupp (NSG) | JSON-format, visar utgående och inkommande flöden per regel | Visar information om inkommande och utgående IP-trafik via en nätverkssäkerhetsgrupp. | Azure Network Watcher |
| Application Insight | Loggar, undantag och anpassad diagnostik | Tillhandahåller en tjänst för övervakning av programprestanda (APM) för webbutvecklare på flera plattformar. | REST API, Power BI |
| Bearbeta data/säkerhetsaviseringar | Microsoft Defender för molnet aviseringar loggar Azure Monitor-aviseringar | Tillhandahåller säkerhetsinformation och aviseringar. | REST API:er, JSON |
Loggintegrering med lokala SIEM-system
Integreringen av Defender för molnet aviseringar beskriver hur du synkroniserar Defender för molnet aviseringar, säkerhetshändelser för virtuella datorer som samlas in av Azure-diagnostikloggar och Azure-granskningsloggar med dina Azure Monitor-loggar eller SIEM-lösning.
Nästa steg
Granskning och loggning: Skydda data genom att upprätthålla synlighet och svara snabbt på säkerhetsaviseringar i tid.
Konfigurera granskningsinställningar för en webbplatssamling: Om du är administratör för webbplatssamlingen hämtar du historiken för enskilda användares åtgärder och historiken för åtgärder som vidtagits under ett visst datumintervall.
Sök i granskningsloggen i Microsoft Defender-portalen: Använd Microsoft Defender-portalen för att söka i den enhetliga granskningsloggen och visa användar- och administratörsaktivitet i din organisation.