Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
Funkce integrace protokolu Azure bude ukončena k 15. 6. 2019. Stahování AzLogu bylo zakázáno 27. června 2018. Pokyny k tomu, co dělat v budoucnu, najdete v příspěvku Použití služby Azure Monitor k integraci s nástroji SIEM.
Integrace protokolů Azure byla zpřístupněna pro zjednodušení integrace protokolů Azure s vaším lokálním systémem SIEM (Security Information and Event Management).
Doporučeným způsobem integrace protokolů Azure je použití konektorů vašeho dodavatele SIEM. Azure Monitor poskytuje možnost streamovat protokoly do center událostí a dodavatelé SIEM můžou zapisovat konektory pro další integraci protokolů z centra událostí do SIEM. Popis toho, jak to funguje, najdete v pokynech monitorování datových proudů pro centra událostí dat. Tento článek také uvádí siEM, pro které jsou už k dispozici přímé konektory Azure.
Důležité
Pokud váš primární zájem shromažďuje protokoly virtuálních počítačů, většina dodavatelů SIEM tuto možnost zahrne do svého řešení. Použití konektoru dodavatele SIEM je vždy upřednostňovanou alternativou.
Dokumentace k funkci integrace protokolu Azure se stále udržuje, dokud nebude tato funkce zastaralá.
Přečtěte si další informace o funkci integrace protokolů Azure:
Integrace protokolů Azure shromažďuje události Windows z protokolů Prohlížeče událostí Windows, protokolů aktivit Azure, upozornění služby Azure Security Center a protokolů diagnostiky Azure z prostředků Azure. Integrace pomáhá vašemu řešení SIEM poskytovat jednotný řídicí panel pro všechny vaše prostředky, ať už místně, nebo v cloudu. Řídicí panel můžete použít k příjmu, agregaci, korelaci a analýze výstrah pro události zabezpečení.
Poznámka:
V současné době integrace protokolů Azure podporuje pouze komerční cloudy Azure a vládní cloudy Azure. Jiné cloudy nejsou podporovány.
Jaké protokoly můžu integrovat?
Azure vytváří rozsáhlé protokolování pro každou službu Azure. Protokoly představují tři typy protokolů:
- Protokoly řízení/správy: Poskytují přehled o operacích CREATE, UPDATE a DELETE v Azure Resource Manageru . Příkladem tohoto typu protokolu je protokol aktivit Azure.
- Protokoly roviny dat: Poskytují přehled o událostech, které jsou vyvolány při použití prostředku Azure. Příkladem tohoto typu protokolu jsou kanály systém, zabezpečení a aplikace v Prohlížeči událostí systému Windows na Windows virtuálním počítači. Dalším příkladem je protokolování diagnostiky Azure, které konfigurujete prostřednictvím služby Azure Monitor.
- Zpracované události: Zadejte analyzované informace o událostech a výstrahách, které jsou pro vás zpracovány. Příkladem tohoto typu události jsou výstrahy služby Azure Security Center. Azure Security Center zpracovává a analyzuje vaše předplatné a poskytuje výstrahy, které jsou relevantní pro aktuální stav zabezpečení.
Integrace logů Azure podporuje ArcSight, QRadar a Splunk. Obraťte se na dodavatele SIEM a zkontrolujte, jestli má dodavatel nativní konektor. Pokud je k dispozici nativní konektor, nepoužívejte integraci protokolů Azure.
Pokud nejsou k dispozici žádné jiné možnosti, zvažte použití Azure Log Integration. Následující tabulka obsahuje naše doporučení:
| Správa bezpečnostních informací a událostí (SIEM) | Zákazník už používá integrátor protokolů Azure. | Zákazník zkoumá možnosti integrace SIEM |
|---|---|---|
| Splunk | Začněte migrovat na doplněk Azure Monitor pro Splunk. | Použijte konektor Splunk. |
| QRadar | Migrujte na konektor QRadar nebo jej začněte používat, jak je dokumentováno v poslední části streamování dat Azure Monitor do Event Hub pro využití externím nástrojem. | Použijte konektor QRadar, který je zdokumentován v poslední části Streamování monitorovacích dat Azure do centra událostí pro spotřebu externím nástrojem. |
| ArcSight | Pokračujte v používání integrátoru protokolů Azure, dokud není konektor dostupný, a pak migrujte do řešení založeného na konektoru. | Zvažte použití protokolů služby Azure Monitor jako alternativu. Pokud nejste ochotni projít procesem migrace, až bude konektor dostupný, nepřipojujte se k integraci protokolů Azure. |
Poznámka:
Integrace protokolů Azure je sice bezplatné řešení, ale s ukládáním informací o souborech protokolů jsou spojeny náklady na úložiště Azure.
Pokud potřebujete pomoc, můžete vytvořit žádost o podporu. Pro službu vyberte Integrace protokolu.
Další kroky
Tento článek vás seznámil s integrací protokolů Azure. Další informace o integraci protokolů Azure a podporovaných typech protokolů najdete v následujících článcích:
- Začínáme s Azure Log Integration Tento tutoriál vás provede instalací integrace protokolů Azure. Popisuje také, jak integrovat protokoly z úložiště Windows Azure Diagnostics (WAD), protokolů aktivit Azure, upozornění služby Azure Security Center a protokolů auditu Azure Active Directory.
- Nejčastější dotazy k integraci protokolů Azure Tyto nejčastější dotazy odpovídají na běžné otázky týkající se integrace protokolů Azure.
- Přečtěte si další informace o tom, jak streamovat data monitorování Azure do centra událostí pro použití externím nástrojem.