Az Azure Log Integration bemutatása
Fontos
Az Azure Log integrációs funkciója 2019. 06. 15-ig megszűnik. Az AzLog-letöltések le lettek tiltva 2018. június 27-én. A továbblépéssel kapcsolatos útmutatásért tekintse át a következő bejegyzést : Az Azure Monitor használata SIEM-eszközökkel való integráláshoz
Azure Log Integration az Azure-naplók helyszíni biztonsági információ- és eseménykezelési (SIEM) rendszerrel való integrálásának leegyszerűsítése érdekében lett elérhetővé téve.
Az Azure-naplók integrálásának ajánlott módja az SIEM-szállító összekötőinek használata. Az Azure Monitor lehetővé teszi, hogy a naplókat eseményközpontokba streamelje, az SIEM-szállítók pedig összekötőket írhatnak az eseményközpont naplóinak további integrálásához az SIEM-be. Ennek működéséhez kövesse az adatesemény-központok streammonitorozásának figyelésére vonatkozó utasításokat. A cikk felsorolja azokat az SIEM-eket is, amelyekhez már elérhetők közvetlen Azure-összekötők.
Fontos
Ha az elsődleges szempont a virtuálisgép-naplók gyűjtése, a legtöbb SIEM-szállító ezt a lehetőséget is belefoglalja a megoldásba. A SIEM-szállító összekötőjének használata mindig az előnyben részesített alternatíva.
A Azure Log Integration szolgáltatás dokumentációja továbbra is megmarad, amíg el nem elavult.
További információ a Azure Log Integration funkcióról:
Azure Log Integration Windows-eseményeket gyűjt a Windows-eseménymegtekintő naplókból, az Azure-tevékenységnaplókból, Azure Security Center riasztásokból és Azure Diagnostics Naplókból az Azure-erőforrásokból. Az integráció segítségével a SIEM-megoldás egységes irányítópultot biztosít az összes eszközhöz, akár a helyszínen, akár a felhőben. Az irányítópultokkal riasztásokat fogadhat, összesíthet, korrelálhat és elemezhet a biztonsági eseményekhez.
Megjegyzés
A Azure Log Integration jelenleg csak az Azure kereskedelmi és Azure Government felhőit támogatja. Más felhők nem támogatottak.
Milyen naplókat integrálhatok?
Az Azure minden Azure-szolgáltatáshoz kiterjedt naplózást készít. A naplók három naplótípust jelölnek:
- Vezérlési/felügyeleti naplók: Betekintést nyújt az Azure Resource Manager CREATE, UPDATE és DELETE műveleteibe. Az Azure-tevékenységnapló egy példa erre a naplótípusra.
- Adatsíknaplók: Betekintést nyújt az Azure-erőforrások használatakor felmerülő eseményekbe. Ilyen típusú napló például a Windows eseménymegtekintő rendszer-, biztonsági és alkalmazáscsatornái windowsos virtuális gépeken. Egy másik példa a Azure Diagnostics naplózás, amelyet az Azure Monitoron keresztül konfigurál.
- Feldolgozott események: A feldolgozott eseményekkel és riasztásokkal kapcsolatos információk megadása. Ilyen típusú esemény például Azure Security Center riasztás. Azure Security Center feldolgozza és elemzi az előfizetést, hogy az aktuális biztonsági helyzet szempontjából releváns riasztásokat biztosítson.
Azure Log Integration támogatja az ArcSightot, a QRadart és a Splunkot. Kérdezze meg a SIEM-szállítót, hogy a szállító rendelkezik-e natív összekötővel. Ne használjon Azure Log Integration, ha elérhető natív összekötő.
Ha nincs más lehetőség, fontolja meg a Azure Log Integration használatát. Az alábbi táblázat a javaslatainkat tartalmazza:
SIEM | Az ügyfél már használja az Azure log integratort | Az ügyfél vizsgálja a SIEM-integrációs lehetőségeket |
---|---|---|
Splunk | Megkezdheti a migrálást a Splunkhoz készült Azure Monitor bővítménybe. | Használja a Splunk-összekötőt. |
QRadar | Migrálás a Stream Azure monitorozási adatainak utolsó szakaszában dokumentált QRadar-összekötőre vagy annak használatának megkezdése egy eseményközpontba külső eszköz általi felhasználás céljából. | Használja a Stream Azure monitorozási adatainak utolsó szakaszában dokumentált QRadar-összekötőt egy eseményközpontba külső eszköz általi felhasználás céljából. |
ArcSight | Folytassa az Azure log integrator használatát, amíg el nem érhető egy összekötő, majd migráljon az összekötő-alapú megoldásra. | Alternatív megoldásként fontolja meg az Azure Monitor-naplók használatát. Ne Azure Log Integration, hacsak nem hajlandó végighaladni a migrálási folyamaton, amikor az összekötő elérhetővé válik. |
Megjegyzés
Bár a Azure Log Integration egy ingyenes megoldás, a naplófájladatok tárolásához Azure-ra vonatkozó tárolási költségek társulnak.
Ha segítségre van szüksége, létrehozhat egy támogatási kérést. A szolgáltatáshoz válassza a Naplóintegráció lehetőséget.
Következő lépések
Ez a cikk bemutatta a Azure Log Integration. A Azure Log Integration és a támogatott naplótípusokról az alábbi cikkekben talál további információt:
- Ismerkedés a Azure Log Integration. Ez az oktatóanyag végigvezeti a Azure Log Integration telepítésén. Azt is ismerteti, hogyan integrálhatók a Naplók a Windows Azure Diagnostics (WAD) tárolóból, az Azure-tevékenységnaplókból, Azure Security Center riasztásokból és az Azure Active Directory auditnaplóiból.
- Azure Log Integration gyakori kérdések (GYIK). Ez a gyakori kérdések a Azure Log Integration kapcsolatos gyakori kérdésekre adnak választ.
- További információ arról, hogyan streamelheti az Azure monitorozási adatait egy eseményközpontba külső eszköz általi felhasználás céljából.