Ekspor log ke informasi keamanan pihak ketiga dan sistem manajemen acara
Sejak pengenalan Azure Monitor, langkah signifikan telah dibuat untuk mengkonsolidasikan layanan Azure ke dalam satu alur pengelogan. Sebagian besar layanan Azure teratas, termasuk Azure Resource Manager dan Microsoft Defender untuk Cloud, telah terintegrasi ke Azure Monitor dan menghasilkan log keamanan yang relevan.
Proses integrasi juga telah disederhanakan dengan kemampuan utama seperti informasi keamanan dan alat manajemen peristiwa (SIEM), seperti merutekan data ke satu Azure Event Hubs dan mengaktifkan beberapa pengaturan diagnostik per sumber daya. Bekerja dengan proses bersamaan akan memudahkan pengaturan dan pengelolaan perutean log di lingkungan Azure yang besar.
Azure juga telah bermitra dengan mitra SIEM teratas untuk membangun konektor yang mendapatkan data dari Azure Monitor ke dalam alat tersebut. Konektor ini menggunakan data yang dirutekan ke Azure Event Hubs oleh Azure Monitor – pendekatan yang sederhana, dapat diskalakan, dan dapat dikelola untuk mengirimkan data log ke aplikasi eksternal, dan pendekatan yang direkomendasikan Microsoft untuk mengintegrasikan Azure dengan alat SIEM di masa mendatang.
Kami terus mendukung pelanggan yang menggunakan alat Integrasi Log Azure (AzLog) untuk berintegrasi dengan SIEM yang sama ini. AzLog awalnya dirilis untuk membantu pelanggan menavigasi proses kompleks dalam mengkonsolidasikan, menerjemahkan, dan meneruskan log dari berbagai layanan Azure ke alat SIEM. Pada saat itu, Azure Monitor belum ada, dan sangat sedikit standarisasi dalam hal bagaimana layanan Azure mengekspos data log ke pelanggan. Beberapa membuang data ke akun penyimpanan, yang lain mengekspos API, dll.
Rekomendasi integrasi
Tabel di bawah menunjukkan apa yang harus Anda lakukan berdasarkan alat SIEM yang Anda gunakan dan status integrasi Anda saat ini. Hanya alat SIEM yang secara resmi didukung oleh AzLog yang disertakan di bawah ini.
| Alat SIEM | Saat ini menggunakan integrator log | Sedang menyelidiki opsi integrasi SIEM |
|---|---|---|
| Splunk | Mulai migrasi ke Add-On Azure Monitor untuk Splunk. | Gunakan Add-On Azure Monitor untuk Splunk. |
| IBM QRadar | Mulai migrasi ke Microsoft Azure DSM dan Microsoft Azure Event Hubs Protocol, tersedia dari situs web dukungan IBM. | Gunakan Microsoft Azure DSM dan Microsoft Azure Event Hubs Protocol, tersedia dari situs web dukungan IBM. Anda dapat mempelajari lebih lanjut tentang integrasi dengan Azure. |
| ArcSight | Konektor cerdas ArcSight Azure Event Hubs tersedia sebagai bagian dari koleksi konektor cerdas ArcSight. |
Peta jalan integrasi
Saat ini, kemampuan integrasi Azure Monitor SIEM tidak dapat melakukan semua yang dapat dilakukan oleh alat Azure Log Integration. Di bawah ini adalah peta jalan kami untuk mengatasi kesenjangan yang diketahui antara apa yang dapat Anda capai dengan Azure Log Integration dan apa yang dapat Anda capai dengan Azure Monitor.
Log Microsoft Entra – Log Microsoft Entra adalah satu-satunya jenis log yang terintegrasi langsung dengan AzLog yang belum tersedia di Azure Monitor.
Integrasikan log Azure VM – AzLog menyediakan opsi untuk mengintegrasikan log sistem operasi tamu Azure VM Anda (misalnya, Peristiwa Keamanan Windows) dengan SIEM tertentu. Azure Monitor memiliki agen yang tersedia untuk Linux dan Windows yang mampu merutekan log OS ke Azure Event Hubs, tetapi integrasi ujung ke ujung dengan SIEM tidak sepele.
Pengaturan end-to-end – AzLog memiliki skrip yang mengotomatiskan pengaturan end-to-end sumber-sumber log. Sementara Azure Monitor menawarkan kemampuan untuk membuat skrip pembuatan pengaturan diagnostik, kami bermitra dengan tim Kebijakan Azure untuk memberikan pengaktifan tanpa batas melalui kebijakan Resource Manager yang memastikan data log dirutekan dari semua sumber.
Integrasi dengan alat SIEM lainnya – AzLog menyediakan kemampuan generik untuk mendorong log Azure standar dalam format JSON ke disk. Sementara alat SIEM lainnya tidak secara resmi didukung oleh AzLog, ini menawarkan cara untuk dengan mudah memasukkan data log ke alat seperti LogRhythm. Rekomendasi kami untuk pelanggan yang menggunakan AzLog untuk alat ini adalah bekerja sama dengan produsen alat tersebut untuk menyediakan integrasi Hub Peristiwa Azure Monitor.
Keamanan lingkungan Azure Anda selalu menjadi prioritas utama di tim Azure, baik dalam hal bagaimana kami merekayasa platform Azure dan dalam hal kemampuan yang kami sediakan untuk Anda untuk mengamankan aset Anda sendiri di platform tersebut. Memindahkan integrasi SIEM ke Azure Monitor adalah langkah untuk memungkinkan Anda mengamankan aplikasi Anda secara terkendali di Azure dalam skala besar.