Seznámení se službou Azure Log Integration
Důležité
Funkce integrace protokolu Azure bude zastaralá do 15. 6. 2019. Stahování AzLogu bylo zakázáno 27. června 2018. Pokyny k tomu, co dělat v budoucnu, najdete v příspěvku Použití služby Azure Monitor k integraci s nástroji SIEM.
Azure Log Integration byl zpřístupněn pro zjednodušení úlohy integrace protokolů Azure s místním systémem SIEM (Security Information and Event Management).
Doporučeným způsobem integrace protokolů Azure je použití konektorů dodavatele SIEM. Azure Monitor umožňuje streamovat protokoly do center událostí a dodavatelé SIEM můžou zapisovat konektory pro další integraci protokolů z centra událostí do SIEM. Popis toho, jak to funguje, najdete v pokynech v monitorování datových proudů pro centra událostí dat. Tento článek obsahuje také seznam SIEM, pro které jsou už dostupné přímé konektory Azure.
Důležité
Pokud váš primární zájem shromažďuje protokoly virtuálních počítačů, většina dodavatelů SIEM tuto možnost zahrne do svého řešení. Použití konektoru dodavatele SIEM je vždy upřednostňovanou alternativou.
Dokumentace k funkci Azure Log Integration je stále zachována, dokud nebude funkce zastaralá.
Další informace o funkci Azure Log Integration najdete tady:
Azure Log Integration shromažďuje události Windows z protokolů Windows Prohlížeč událostí, protokolů aktivit Azure, upozornění Azure Security Center a Azure Diagnostics protokolů z prostředků Azure. Integrace pomáhá vašemu řešení SIEM poskytovat jednotný řídicí panel pro všechny vaše prostředky, ať už místně, nebo v cloudu. Pomocí řídicího panelu můžete přijímat, agregovat, korelovat a analyzovat výstrahy pro události zabezpečení.
Poznámka
V současné době Azure Log Integration podporuje jenom komerční a Azure Government cloudy Azure. Jiné cloudy se nepodporují.
Jaké protokoly můžu integrovat?
Azure vytváří rozsáhlé protokolování pro každou službu Azure. Protokoly představují tři typy protokolů:
- Protokoly řízení/správy: Poskytuje přehled o operacích Azure Resource Manager CREATE, UPDATE a DELETE. Protokol aktivit Azure je příkladem tohoto typu protokolu.
- Protokoly roviny dat: Poskytují přehled o událostech, které jsou vyvolány při použití prostředku Azure. Příkladem tohoto typu protokolu je kanály systému, zabezpečení a aplikací windows Prohlížeč událostí na virtuálním počítači s Windows. Dalším příkladem je protokolování Azure Diagnostics, které nakonfigurujete prostřednictvím služby Azure Monitor.
- Zpracovávané události: Zadejte analyzované informace o událostech a výstrahách, které se za vás zpracovávají. Příkladem tohoto typu události je Azure Security Center výstrahy. Azure Security Center procesy a analyzuje vaše předplatné a poskytuje výstrahy, které jsou relevantní pro váš aktuální stav zabezpečení.
Azure Log Integration podporuje ArcSight, QRadar a Splunk. Obraťte se na dodavatele SIEM a zkontrolujte, jestli má dodavatel nativní konektor. Nepoužívejte Azure Log Integration, pokud je k dispozici nativní konektor.
Pokud nejsou k dispozici žádné další možnosti, zvažte použití Azure Log Integration. Následující tabulka obsahuje naše doporučení:
| SIEM | Zákazník už používá integrátor protokolů Azure. | Zákazník zkoumá možnosti integrace SIEM |
|---|---|---|
| Splunk | Začněte migrovat na doplněk Azure Monitor pro Splunk. | Použijte konektor Splunk. |
| QRadar | Migrujte nebo začněte používat konektor QRadar, který je zdokumentovaný v poslední části streamu dat monitorování Azure do centra událostí pro využití externím nástrojem. | Použijte konektor QRadar, který je zdokumentovaný v poslední části dat monitorování Azure do centra událostí pro spotřebu externím nástrojem. |
| ArcSight | Pokračujte v používání integrátoru protokolů Azure, dokud není konektor dostupný, a pak migrujte do řešení založeného na konektoru. | Zvažte použití protokolů služby Azure Monitor jako alternativy. Nepřipojování k Azure Log Integration pokud nechcete projít procesem migrace, až bude konektor k dispozici. |
Poznámka
I když Azure Log Integration je bezplatné řešení, existují náklady na úložiště úložiště Azure přidružené k úložišti informací o souborech protokolu.
Pokud potřebujete pomoc, můžete vytvořit žádost o podporu. Pro službu vyberte Integraci protokolů.
Další kroky
Tento článek vás seznámil s Azure Log Integration. Další informace o Azure Log Integration a typech podporovaných protokolů najdete v následujících článcích:
- Začínáme s Azure Log Integration Tento kurz vás provede instalací Azure Log Integration. Popisuje také, jak integrovat protokoly z úložiště Windows Azure Diagnostics (WAD), protokolů aktivit Azure, Azure Security Center výstrah a protokolů auditu Azure Active Directory.
- Azure Log Integration nejčastější dotazy. V tomto nejčastějším dotazům najdete odpovědi na běžné otázky týkající se Azure Log Integration.
- Přečtěte si další informace o tom, jak streamovat data monitorování Azure do centra událostí pro využití externím nástrojem.