Registrazione e controllo di sicurezza di Azure
Azure offre un'ampia gamma di opzioni di controllo e registrazione della sicurezza configurabili che consentono di identificare eventuali lacune nei criteri e nei meccanismi di sicurezza. Questo articolo offre informazioni per la generazione, la raccolta e l'analisi dei log di protezione di servizi ospitati in Azure.
Nota
Alcune indicazioni incluse in questo articolo potrebbero comportare un maggiore utilizzo delle risorse di dati, rete o calcolo e un aumento dei costi di licenza o di sottoscrizione.
Tipi di log in Azure
Le applicazioni cloud sono complesse e hanno molte parti mobili. I dati di registrazione possono fornire informazioni dettagliate sulle applicazioni e consentono di:
- Risolvere i problemi esistenti o prevenirne altri
- Migliorare le prestazioni o la gestibilità delle applicazioni
- Automatizzare le azioni che altrimenti richiederebbero un intervento manuale
I log di Azure sono suddivisi nei tipi seguenti:
Log di gestione/controllo, che offrono informazioni sulle operazioni CREATE, UPDATE e DELETE di Azure Resource Manager. Per altre informazioni, vedere la Log attività di Azure.
Log del piano dati, che offrono informazioni sugli eventi generati durante l'utilizzo di una risorsa di Azure. Sono esempi di questo tipo il registro eventi di sistema di Windows, il log di sicurezza, il log applicazioni di una macchina virtuale e i log di diagnostica configurati tramite Monitoraggio di Azure.
Eventi elaborati, che offrono informazioni sugli eventi o avvisi analizzati dopo essere stati elaborati per conto dell'utente. Esempi di questo tipo sono Microsoft Defender per il cloud avvisi in cui Microsoft Defender per il cloud ha elaborato e analizzato la sottoscrizione e fornisce avvisi di sicurezza concisi.
La tabella seguente elenca i più importanti tipi di log disponibili in Azure.
| Categoria di log | Tipo di registro | Utilizzo | Integrazione |
|---|---|---|---|
| Log attività | Gli eventi del piano di controllo sulle risorse di Azure Resource Manager | Offrono informazioni dettagliate sulle operazioni eseguite sulle risorse nella sottoscrizione. | API REST e Monitoraggio di Azure |
| Log delle risorse di Azure | Dati frequenti sul funzionamento delle risorse di Azure Resource Manager nella sottoscrizione | Offrono informazioni dettagliate sulle operazioni eseguite dalla risorsa stessa. | Monitoraggio di Azure |
| Creazione di report di Microsoft Entra ID | Log e report | Segnalano attività di accesso dell'utente e informazioni sulle attività di sistema riguardo alla gestione di utenti e gruppi. | Microsoft Graph |
| Macchine virtuali e servizi cloud | Servizio Registro eventi di Windows e Syslog Linux | Acquisisce i dati di sistema e i dati di registrazione nelle macchine virtuali e li trasferisce all'account di archiviazione desiderato. | Windows (usando Diagnostica di Azure] archiviazione) e Linux in Monitoraggio di Azure |
| Analisi archiviazione di Azure | Esegue la registrazione di archiviazione e offre i dati delle metriche per un account di archiviazione | Offre informazioni dettagliate per tenere traccia delle richieste, analizzare le tendenze d'uso e diagnosticare i problemi relativi al proprio account di archiviazione. | API REST o libreria client |
| Log dei flussi del gruppo di sicurezza di rete | Formato JSON, mostra i flussi in ingresso e in uscita in base a ciascuna regola | Visualizza le informazioni sul traffico IP in entrata e in uscita tramite un gruppo di sicurezza di rete. | Azure Network Watcher |
| Application Insights | Log, eccezioni e diagnostica personalizzata | Offre un servizio di monitoraggio delle prestazioni delle applicazioni per sviluppatori Web su più piattaforme. | API REST, Power BI |
| Elaborare dati/avvisi di sicurezza | Avvisi di Microsoft Defender per il cloud, avvisi dei log di Monitoraggio di Azure | Offre informazioni e avvisi sulla sicurezza. | API REST, JSON |
Integrazione dei log con i sistemi SIEM locali
L'integrazione degli avvisi di Defender per il cloud illustra come sincronizzare gli avvisi Defender per il cloud, gli eventi di sicurezza delle macchine virtuali raccolti dai log di diagnostica di Azure e i log di controllo di Azure con i log di Monitoraggio di Azure o la soluzione SIEM.
Passaggi successivi
Controllo e registrazione: proteggere i dati mantenendo la visibilità e rispondendo rapidamente agli avvisi di sicurezza tempestivi.
Configurare le impostazioni di controllo per una raccolta siti: gli amministratori di raccolte siti possono recuperare la cronologia delle azioni di singoli utenti e di quelle eseguite durante un intervallo di date specifico.
Cercare il log di controllo nel portale di Microsoft Defender: usare il portale di Microsoft Defender per cercare il log di controllo unificato e visualizzare l'attività utente e amministratore nell'organizzazione.