Exporter les journaux vers un système de gestion des événements et des informations de sécurité tiers
Depuis l’introduction d’Azure Monitor, des Strides significatives ont été apportés pour consolider les services Azure sur un pipeline de journalisation unique. La plupart des principaux services Azure, y compris Azure Resource Manager et Microsoft Defender pour le cloud, ont été intégrés à Azure Monitor et produisent des journaux de sécurité pertinents.
Le processus d’intégration a également été simplifié avec des fonctionnalités clés telles que les outils SIEM, le routage des données vers Azure Event Hubs et l’activation de plusieurs paramètres de diagnostic par ressource. Le travail en vol facilite l’installation et la gestion du routage des journaux dans les environnements Azure volumineux.
Azure est également partenaire des principaux partenaires SIEM pour créer des connecteurs qui obtiennent les données d’Azure Monitor dans ces outils. Ces connecteurs consomment les données qui sont routées vers Azure Event Hubs par Azure Monitor. Il s’agit d’une approche simple, scalable et gérable pour la transmission des données de journal à une application externe, et donc de l’approche recommandée par Microsoft pour l’intégration d’Azure aux outils SIEM.
Nous avons continué à prendre en charge les clients qui utilisent l’outil Azure Log Integration (AzLog) pour s’intégrer à ces mêmes SIEM. AzLog a été initialement publié pour aider les clients à naviguer dans le processus complexe de consolidation, de traduction et de transfert des journaux d’un large éventail de services Azure à un outil SIEM. À l’époque, Azure Monitor n’existait pas et il y avait très peu de normalisation en ce qui concerne la façon dont les services Azure exposaient les données de journal aux clients. Certaines données vidées dans un compte de stockage, d’autres à exposer une API, etc.
Recommandations en matière d’intégration
Le tableau ci-dessous indique ce que vous devez faire en fonction des outils SIEM que vous utilisez et de l’état actuel de l’intégration. Seuls les outils SIEM qui étaient officiellement pris en charge par AzLog sont inclus ci-dessous.
| Outil SIEM | Intégrateur de journaux en cours d’utilisation | Examen des options d’intégration SIEM en cours |
|---|---|---|
| Splunk | Commencez à effectuer une migration vers le module complémentaire Azure Monitor pour Splunk. | Utilisez le module complémentaire Azure Monitor pour Splunk. |
| IBM QRadar | Commencez la migration vers Microsoft Azure DSM et le protocole Microsoft Azure Event Hubs, qui sont disponibles au téléchargement sur le site web du support IBM. | Utilisez Microsoft Azure DSM et le protocole Microsoft Azure Event Hubs, qui sont disponibles au téléchargement sur le site web du support IBM. Vous pouvez en savoir plus sur l’intégration à Azure. |
| ArcSight | Le connecteur intelligent ArcSight d’Azure Event Hubs est disponible dans la collection de connecteurs intelligents ArcSight. |
Guide d’intégration
Aujourd’hui, les fonctionnalités d’intégration SIEM d’Azure Monitor ne peuvent pas faire tout ce que l’outil Azure Log Integration peut faire. Voici notre feuille de route pour traiter les lacunes connues entre ce que vous pourriez faire avec Azure Log Integration et ce que vous pouvez accomplir avec Azure Monitor.
Journaux Microsoft Entra : les journaux Microsoft Entra sont le seul type de journal directement intégré à AzLog, sans être encore disponibles dans Azure Monitor.
Intégrer les journaux des machines virtuelles Azure : AzLog a fourni l’option permettant d’intégrer les journaux du système d’exploitation invité de votre machine virtuelle Azure (par exemple, les événements de sécurité Windows) avec SELECT Siems. Azure Monitor comprend des agents disponibles pour Linux et Windows. Ces agents sont capables de router les journaux du système d’exploitation vers Azure Event Hubs, cependant, l’intégration de bout en bout aux outils SIEM est une tâche conséquente.
Configuration de bout en bout : AzLog a un script qui automatise la configuration de bout en bout des sources de journaux. Bien que Azure Monitor offre la possibilité de générer un script pour la création de paramètres de diagnostic, nous travaillons en collaboration avec l’équipe Azure Policy pour fournir une activation transparente via des stratégies de Gestionnaire des ressources qui garantissent que les données de journal sont acheminées à partir de toutes les sources.
Intégration à d’autres outils Siem : AzLog a fourni une fonctionnalité générique permettant d’envoyer des journaux Azure standardisés au format JSON sur disque. Alors que les autres outils SIEM n’étaient pas officiellement pris en charge par AzLog, cela offrait un moyen d’obtenir facilement des données de journal dans des outils tels que LogRhythm. Notre recommandation pour les clients qui utilisent AzLog pour ces outils est de collaborer avec le producteur de cet outil pour fournir une intégration Azure Monitor Event Hubs.
La sécurité de votre environnement Azure est toujours prioritaire sur l’équipe Azure, à la fois en termes de conception de la plateforme Azure et de fonctionnalités que nous vous proposons pour sécuriser vos propres ressources sur cette plateforme. Le déplacement de l’intégration SIEM vers Azure Monitor est une étape vers laquelle vous pouvez sécuriser vos applications sur Azure à l’échelle.