Introduktion till Azure Log Integration
Viktigt
Azure Log-integreringsfunktionen kommer att vara inaktuell 2019-06-15. AzLog-nedladdningar inaktiverades den 27 juni 2018. Vägledning om vad du kan göra framöver finns i inlägget Använda Azure Monitor för att integrera med SIEM-verktyg
Azure Log Integration har gjorts tillgängligt för att förenkla integreringen av Azure-loggar med ditt lokala SIEM-system (Security Information and Event Management).
Den rekommenderade metoden för att integrera Azure-loggar är att använda SIEM-leverantörens anslutningsappar. Med Azure Monitor kan du strömma loggarna till händelsehubbar, och SIEM-leverantörer kan skriva anslutningsappar för att ytterligare integrera loggar från händelsehubben i SIEM. En beskrivning av hur detta fungerar finns i Övervaka strömövervakning för datahändelsehubbar. Artikeln innehåller också de SIEM:er för vilka direkta Azure-anslutningsappar redan är tillgängliga.
Viktigt
Om ditt primära intresse är att samla in loggar för virtuella datorer inkluderar de flesta SIEM-leverantörer det här alternativet i sin lösning. Att använda SIEM-leverantörens anslutningsprogram är alltid det bästa alternativet.
Dokumentationen om Azure Log Integration-funktionen bibehålls fortfarande tills funktionen är inaktuell.
Läs mer om Azure Log Integration funktionen:
Azure Log Integration samlar in Windows-händelser från Windows Loggboken-loggar, Azure-aktivitetsloggar, Azure Security Center-aviseringar och Azure Diagnostics loggar från Azure-resurser. Integreringen hjälper siem-lösningen att tillhandahålla en enhetlig instrumentpanel för alla dina tillgångar, både lokalt eller i molnet. Du kan använda en instrumentpanel för att ta emot, aggregera, korrelera och analysera aviseringar för säkerhetshändelser.
Anteckning
För närvarande stöder Azure Log Integration endast kommersiella Azure-moln och Azure Government moln. Andra moln stöds inte.
Vilka loggar kan jag integrera?
Azure skapar omfattande loggning för varje Azure-tjänst. Loggarna representerar tre loggtyper:
- Kontroll-/hanteringsloggar: Ge insyn i åtgärderna Azure Resource Manager CREATE, UPDATE och DELETE. En Azure-aktivitetslogg är ett exempel på den här typen av logg.
- Dataplansloggar: Ge insyn i händelser som aktiveras när du använder en Azure-resurs. Ett exempel på den här typen av logg är kanalerna System, Säkerhet och Program i Windows Loggboken på en virtuell Windows-dator. Ett annat exempel är Azure Diagnostics loggning som du konfigurerar via Azure Monitor.
- Bearbetade händelser: Ange analyserad händelse- och aviseringsinformation som bearbetas åt dig. Ett exempel på den här typen av händelse är Azure Security Center aviseringar. Azure Security Center bearbetar och analyserar din prenumeration för att tillhandahålla aviseringar som är relevanta för din aktuella säkerhetsstatus.
Azure Log Integration stöder ArcSight, QRadar och Splunk. Kontakta SIEM-leverantören för att bedöma om leverantören har en intern anslutningsapp. Använd inte Azure Log Integration om det finns en intern anslutningsapp.
Om det inte finns några andra alternativ kan du använda Azure Log Integration. Följande tabell innehåller våra rekommendationer:
| SIEM | Kunden använder redan Azure-loggintegreraren | Kunden undersöker SIEM-integreringsalternativ |
|---|---|---|
| Splunk | Börja migrera till Azure Monitor-tillägget för Splunk. | Använd Splunk-anslutningsappen. |
| QRadar | Migrera till eller börja använda QRadar-anslutningsappen som beskrivs i det sista avsnittet av Stream Azure-övervakningsdata till en händelsehubb för användning av ett externt verktyg. | Använd QRadar-anslutningsappen som beskrivs i det sista avsnittet av Stream Azure-övervakningsdata till en händelsehubb för användning av ett externt verktyg. |
| ArcSight | Fortsätt att använda Azure-loggintegreraren tills en anslutningsapp är tillgänglig och migrera sedan till den anslutningsbaserade lösningen. | Överväg att använda Azure Monitor-loggar som ett alternativ. Registrera dig inte för Azure Log Integration om du inte är villig att gå igenom migreringsprocessen när anslutningsappen blir tillgänglig. |
Anteckning
Även om Azure Log Integration är en kostnadsfri lösning finns det Azure Storage-kostnader som är associerade med lagring av loggfilsinformation.
Om du behöver hjälp kan du skapa en supportbegäran. För tjänsten väljer du Loggintegrering.
Nästa steg
I den här artikeln beskrivs Azure Log Integration. Mer information om Azure Log Integration och vilka typer av loggar som stöds finns i följande artiklar:
- Kom igång med Azure Log Integration. Den här självstudien vägleder dig genom installationen av Azure Log Integration. Den beskriver också hur du integrerar loggar från WAD-lagring (Windows Azure Diagnostics), Azure-aktivitetsloggar, Azure Security Center-aviseringar och Azure Active Directory-granskningsloggar.
- Azure Log Integration vanliga frågor och svar. Vanliga frågor och svar besvarar vanliga frågor om Azure Log Integration.
- Läs mer om hur du strömmar Azure-övervakningsdata till en händelsehubb för användning av ett externt verktyg.