Exportación de registros a la información de seguridad de terceros y al sistema de administración de eventos
Desde la presentación de Azure Monitor, se han realizado grandes progresos para consolidar los servicios de Azure en una sola canalización de registro. La mayoría de los principales servicios de Azure, incluidos Azure Resource Manager y Microsoft Defender for Cloud, se incorporan a Azure Monitor y generan registros de seguridad relevantes.
El proceso de integración también se ha simplificado con capacidades clave como las herramientas de administración de eventos e información de seguridad (SIEM), como el enrutamiento de datos a una sola instancia de Azure Event Hubs y la habilitación de varias configuraciones de diagnóstico por recurso. Trabajar en el paquete piloto facilitará la configuración y la administración del enrutamiento de registros en entornos de Azure de gran tamaño.
Azure también se ha asociado con los principales asociados de SIEM para crear conectores que obtienen los datos de Azure Monitor en esas herramientas. Estos conectores consumen los datos que Azure Monitor enruta a Azure Event Hubs: un enfoque sencillo, escalable y fácil de administrar para entregar datos de registro a una aplicación externa, y el enfoque recomendado de Microsoft para la integración de Azure con las herramientas de SIEM en adelante.
Hemos mantenido la compatibilidad con clientes que usan la herramienta de Azure Log Integration (AzLog) para integrarse con estos mismos SIEM. AzLog se lanzó inicialmente para ayudar a los clientes a navegar por el complejo proceso de consolidación, traducción y reenvío de registros desde una variedad de servicios de Azure a una herramienta de SIEM. En ese momento, Azure Monitor no existía y había muy poca estandarización en cuanto al modo en que los servicios de Azure exponían los datos de registro a los clientes. Algunos datos volcados en una cuenta de almacenamiento, otros exponían una API, etc.
Recomendaciones de integración
En la tabla siguiente se indica lo que debe hacer en función de las herramientas de SIEM que esté usando y del estado de integración actual. A continuación, se incluyen solo las herramientas de SIEM oficialmente compatibles con AzLog.
| Herramienta de SIEM | Actualmente usa el integrador de registros | Actualmente investiga las opciones de integración de SIEM |
|---|---|---|
| Splunk | Inicie la migración al complemento de Azure Monitor para Splunk. | Use el complemento de Azure Monitor para Splunk. |
| IBM QRadar | Inicie la migración a los protocolos Microsoft Azure DSM y Microsoft Azure Event Hubs, disponibles en el sitio web de soporte técnico de IBM. | Use los protocolos Microsoft Azure DSM y Microsoft Azure Event Hubs, disponibles en el sitio web de soporte técnico de IBM. Puede obtener más información acerca de la integración con Azure. |
| ArcSight | El conector inteligente de Azure Event Hubs de ArcSight está disponible como parte de esta colección de conectores inteligentes de ArcSight. |
Hoja de ruta de integración
En la actualidad, las capacidades de integración de SIEM de Azure Monitor no pueden hacer todo lo que hace la herramienta de Azure Log Integration. A continuación, se muestra nuestra hoja de ruta para abordar brechas conocidas entre lo que puede lograr con Azure Log Integration y lo que puede lograr con Azure Monitor.
Registros de Microsoft Entra: los registros de Microsoft Entra son el único tipo de registro integrado directamente con AzLog que aún no está disponible en Azure Monitor.
Integración de registros de máquina virtual de Azure: AzLog proporcionó la opción de integrar los registros del sistema operativo invitado de la máquina virtual de Azure (por ejemplo, eventos de seguridad de Windows) con SIEM seleccionados. Azure Monitor tiene agentes disponibles para Linux y Windows que pueden enrutar registros del sistema operativo a una instancia de Azure Event Hubs, pero la integración de un extremo a otro con SIEM no es trivial.
Configuración de un extremo a otro: AzLog tiene un script que automatiza la configuración de un extremo a otro de los orígenes de registro. Aunque Azure Monitor ofrece la capacidad de crear scripts para la creación de la configuración de diagnóstico, nos asociamos con el equipo de Azure Policy para ofrecer habilitación sin problemas a través de directivas de Resource Manager que garantizan que los datos de registro se enruten desde todos los orígenes.
Integración con otras herramientas de SIEM: AzLog proporcionó una capacidad genérica para la inserción de registros de Azure estandarizados en formato JSON en el disco. Aunque las demás herramientas de SIEM no eran compatibles oficialmente con AzLog, esta opción ofrecía una manera de obtener datos de registro con facilidad en herramientas como LogRhythm. Nuestra recomendación para los clientes que usan AzLog para estas herramientas es trabajar con el productor de esa herramienta para proporcionar una integración con Azure Monitor Event Hubs.
La seguridad del entorno de Azure siempre es una de las principales prioridades en el equipo de Azure, tanto en lo que se refiere a la ingeniería de la plataforma de Azure como en relación con las capacidades que proporcionamos para proteger sus propios recursos en esa plataforma. Trasladar la integración de SIEM a Azure Monitor es un paso que le permite proteger las aplicaciones de forma segura en Azure a gran escala.