Integrazione dei log di Azure con la registrazione dei log di Diagnostica di Azure e l'inoltro degli eventi di Windows

Importante

La funzionalità di integrazione dei log di Azure sarà deprecata entro il 15/06/2019. I download di AzLog sono stati disabilitati il 27 giugno 2018. Per indicazioni su come procedere, vedere il post Usare Monitoraggio di Azure per l'integrazione con gli strumenti SIEM

È consigliabile usare l'integrazione dei log di Azure solo se un connettore di Monitoraggio di Azure non è disponibile dal fornitore siem (Security Incident and Event Management).

Integrazione log di Azure rende disponibili i log di Azure per il sistema SIEM in modo da poter creare un dashboard di sicurezza unificato per tutti gli asset. Per altre informazioni sullo stato di un connettore di Monitoraggio di Azure, contattare il fornitore SIEM.

Importante

Se l'interesse principale è la raccolta dei log delle macchine virtuali, la maggior parte dei fornitori SIEM include questa opzione nella soluzione. L'uso del connettore del fornitore SIEM è sempre l'alternativa preferita.

Questo articolo illustra come iniziare a usare Integrazione log di Azure. Si concentra sull'installazione del servizio Integrazione log di Azure e sull'integrazione del servizio con Diagnostica di Azure. Il servizio Integrazione log di Azure raccoglie quindi le informazioni del registro eventi di Windows dal canale eventi di sicurezza di Windows dalle macchine virtuali distribuite in un'infrastruttura distribuita come servizio di Azure. Questo è simile all'inoltro di eventi che è possibile usare in un sistema locale.

Annotazioni

L'integrazione dell'output di Azure Log Integration con un SIEM viene eseguita dal SIEM stesso. Per ulteriori informazioni, vedere Integrare l'integrazione dei log di Azure con il SIEM locale.

Il servizio Integrazione log di Azure viene eseguito in un computer fisico o virtuale che esegue Windows Server 2008 R2 o versione successiva (è preferibile Windows Server 2016 o Windows Server 2012 R2).

Un computer fisico può essere utilizzato in locale o su un sito di hosting. Se si sceglie di eseguire il servizio Integrazione log di Azure in una macchina virtuale, la macchina virtuale può trovarsi in locale o in un cloud pubblico, ad esempio in Microsoft Azure.

La macchina virtuale o fisica che esegue il servizio Integrazione log di Azure richiede la connettività di rete al cloud pubblico di Azure. Questo articolo fornisce informazioni dettagliate sulla configurazione richiesta.

Prerequisiti

L'installazione di Integrazione log di Azure richiede almeno gli elementi seguenti:

• Una sottoscrizione di Azure. Se non ne hai uno, puoi iscriverti per un account gratuito .

• Un account di archiviazione che può essere usato per il logging della diagnostica di Microsoft Azure. È possibile usare un account di archiviazione preconfigurato o creare un nuovo account di archiviazione. Più avanti in questo articolo viene descritto come configurare l'account di archiviazione.

  Annotazioni

  A seconda dello scenario, potrebbe non essere necessario un account di archiviazione. Per lo scenario di Diagnostica di Azure descritto in questo articolo, è necessario un account di archiviazione.

• Due sistemi:

  • Un computer che esegue il servizio Integrazione log di Azure. Questo computer raccoglie tutte le informazioni di log importate in un secondo momento nel sistema SIEM. Questo sistema:
    • Può essere locale o ospitato in Microsoft Azure.
    • Deve eseguire una versione x64 di Windows Server 2008 R2 SP1 o versione successiva e avere installato Microsoft .NET 4.5.1. Per determinare la versione di .NET installata, vedere Determinare le versioni di .NET Framework installate.
    • Deve avere connettività all'account di archiviazione di Azure usato per la registrazione diagnostica di Azure. Più avanti in questo articolo viene descritto come confermare la connettività.
  • Un computer da monitorare. Si tratta di una macchina virtuale in esecuzione come macchina virtuale di Azure. Le informazioni di registrazione da questo computer vengono inviate al computer del servizio Integrazione log di Azure.

Per una rapida dimostrazione di come creare una macchina virtuale usando il portale di Azure, vedere il video seguente:

Considerazioni sulla distribuzione

Durante i test, è possibile usare qualsiasi sistema che soddisfi i requisiti minimi del sistema operativo. Per un ambiente di produzione, il carico potrebbe richiedere di pianificare l'aumento della capacità o lo scalare orizzontalmente.

È possibile eseguire più istanze del servizio Integrazione log di Azure. Tuttavia, è possibile eseguire una sola istanza del servizio per ogni macchina fisica o virtuale. È anche possibile bilanciare il carico degli account di archiviazione di Diagnostica di Azure per WAD. Il numero di sottoscrizioni da fornire alle istanze è basato sulla tua capacità.

Annotazioni

Attualmente non sono disponibili raccomandazioni specifiche su quando aumentare le istanze dei computer di Integrazione log di Azure, ovvero i computer che eseguono il servizio Integrazione log di Azure, o per gli account di archiviazione o le sottoscrizioni. Prendere decisioni di ridimensionamento in base alle osservazioni sulle prestazioni in ognuna di queste aree.

Per migliorare le prestazioni, è anche possibile aumentare le prestazioni del servizio Integrazione log di Azure. Le metriche delle prestazioni seguenti consentono di ridimensionare i computer scelti per eseguire il servizio Integrazione log di Azure:

• In un computer a 8 processori (core) una singola istanza di Integrazione log di Azure può elaborare circa 24 milioni di eventi al giorno (circa 1 milione di eventi all'ora).
• In un computer a 4 processori (core) una singola istanza di Integrazione log di Azure può elaborare circa 1,5 milioni di eventi al giorno (circa 62.500 eventi all'ora).

Installare l'integrazione dei log di Azure

Eseguire la routine di configurazione. Scegliere se fornire informazioni di telemetria a Microsoft.

Il servizio Integrazione log di Azure raccoglie i dati di telemetria dal computer in cui è installato.

I dati di telemetria raccolti includono quanto segue:

• Eccezioni che si verificano durante l'esecuzione dell'integrazione dei log di Azure.
• Metriche sul numero di query ed eventi elaborati.
• Statistiche sulle Azlog.exe opzioni della riga di comando usate.

Annotazioni

È consigliabile consentire a Microsoft di raccogliere dati di telemetria. È possibile disattivare la raccolta di dati di telemetria deselezionando la casella di controllo Consenti a Microsoft di raccogliere dati di telemetria .

Il processo di installazione è illustrato nel video seguente:

Passaggi successivi all'installazione e alla convalida

Dopo aver completato la configurazione di base, è possibile eseguire i passaggi di post-installazione e convalida:

1. Aprire PowerShell come amministratore. Passare quindi a C:\Programmi\Integrazione log di Microsoft Azure.

2. Importare i cmdlet di Integrazione Log di Azure. Per importare i cmdlet, eseguire lo script LoadAzlogModule.ps1. Immettere .\LoadAzlogModule.ps1e quindi premere INVIO (si noti l'uso di .\ in questo comando). Verrà visualizzato un aspetto simile a quello visualizzato nella figura seguente:

   Screenshot dell'output del comando LoadAzlogModule.ps1

3. Configurare quindi Integrazione log di Azure per l'uso di un ambiente Azure specifico. Un ambiente di Azure è il tipo di data center cloud di Azure che si vuole usare. Anche se esistono diversi ambienti Azure, attualmente le opzioni pertinenti sono AzureCloud o AzureUSGovernment. Eseguire PowerShell come amministratore, assicurarsi di essere in C:\Programmi\Integrazione log di Microsoft Azure. Eseguire quindi questo comando:

   Set-AzlogAzureEnvironment -Name AzureCloud (per AzureCloud)

   Se si vuole usare il cloud di Azure per enti pubblici degli Stati Uniti, usare AzureUSGovernment per la variabile -Name . Attualmente, altri cloud di Azure non sono supportati.

   Annotazioni

   Quando il comando ha esito positivo, non si ricevono commenti e suggerimenti.

4. Prima di poter monitorare un sistema, è necessario il nome dell'account di archiviazione usato per Diagnostica di Azure. Nel portale di Azure passare a Macchine virtuali. Cercare una macchina virtuale Windows che verrà monitorata. Nella sezione Proprietà selezionare Impostazioni di diagnostica. Quindi, selezionare Agente. Prendere nota del nome dell'account di archiviazione specificato. Questo nome account è necessario per un passaggio successivo.

   

   

   Annotazioni

   Se il monitoraggio non è stato abilitato al momento della creazione della macchina virtuale, è possibile abilitarlo come illustrato nell'immagine precedente.

5. Ora, torna alla macchina di integrazione log di Azure. Verificare di avere connettività all'account di archiviazione dal sistema in cui è stata installata l'integrazione log di Azure. Il computer che esegue il servizio Integrazione log di Azure deve accedere all'account di archiviazione per recuperare le informazioni registrate da Diagnostica di Azure in ognuno dei sistemi monitorati. Per verificare la connettività:

   1. Scaricare Azure Storage Explorer.
   2. Completare l'installazione.
   3. Al termine dell'installazione, selezionare Avanti. Lasciare selezionata la casella di controllo Avvia Microsoft Azure Storage Explorer .
   4. Accedere ad Azure.
   5. Verificare che sia possibile visualizzare l'account di archiviazione configurato per Diagnostica di Azure:

   

   1. Alcune opzioni vengono visualizzate in Account di archiviazione. In Tabelle dovrebbe essere visualizzata una tabella denominata WADWindowsEventLogsTable.

   Se il monitoraggio non è stato abilitato al momento della creazione della macchina virtuale, è possibile abilitarlo, come descritto in precedenza.

Integrare i log delle macchine virtuali Windows

In questo passaggio viene configurato il computer che esegue il servizio Integrazione log di Azure per connettersi all'account di archiviazione che contiene i file di log.

Per completare questo passaggio, sono necessari alcuni aspetti:

• FriendlyNameForSource: Un nome descrittivo che puoi applicare all'account di archiviazione che hai configurato per la macchina virtuale per archiviare le informazioni provenienti da Diagnostica di Azure.
• StorageAccountName: nome dell'account di archiviazione specificato durante la configurazione di Diagnostica di Azure.
• StorageKey: chiave di archiviazione per l'account di archiviazione in cui vengono archiviate le informazioni di Diagnostica di Azure per questa macchina virtuale.

Per ottenere la chiave di archiviazione, seguire questa procedura:

1. Vai al portale di Azure .

2. Nel riquadro di spostamento selezionare Tutti i servizi.

3. Nella casella Filtro immettere Archiviazione. Selezionare quindi Account di archiviazione.

   

4. Viene visualizzato un elenco di account di archiviazione. Fare doppio clic sull'account assegnato all'archiviazione dei log.

   

5. In Impostazioni selezionare Chiavi di accesso.

   

6. Copiare key1 e quindi salvarlo in una posizione sicura a cui è possibile accedere per il passaggio seguente.

7. Sul server dove hai installato Azure Log Integration, apri una finestra del prompt dei comandi come amministratore. Assicurarsi di aprire una finestra del prompt dei comandi come amministratore e non aprire PowerShell.

8. Passare a C:\Programmi\Integrazione log di Microsoft Azure.

9. Eseguire questo comando: Azlog source add <FriendlyNameForTheSource> WAD <StorageAccountName> <StorageKey>.

   Esempio:

   Azlog source add Azlogtest WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

   Se si vuole che l'ID della sottoscrizione sia visualizzato nel codice XML dell'evento, aggiungere l'ID della sottoscrizione al nome descrittivo:

   Azlog source add <FriendlyNameForTheSource>.<SubscriptionID> WAD <StorageAccountName> <StorageKey>

   Esempio:

   Azlog source add Azlogtest.YourSubscriptionID WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

Annotazioni

Attendere fino a 60 minuti e quindi visualizzare gli eventi estratti dall'account di archiviazione. Per visualizzare gli eventi, in Integrazione log di Azure, selezionare Visualizzatore eventi>Registri di Windows>Eventi inoltrati.

Il video seguente illustra i passaggi precedenti:

Se i dati non vengono visualizzati nella cartella Eventi inoltrati

Se i dati non vengono visualizzati nella cartella Eventi inoltrati dopo un'ora, completare questi passaggi:

1. Controllare il computer che esegue il servizio Integrazione log di Azure. Verificare che possa accedere ad Azure. Per testare la connettività, in un browser provare a passare al portale di Azure.
2. Assicurarsi che l'account utente Azlog disponga dell'autorizzazione di scrittura per la cartella users\Azlog.
   1. Apri Esplora file.
   2. Passare a C:\users.
   3. Fare clic con il pulsante destro del mouse su C:\users\Azlog.
   4. Selezionare Sicurezza.
   5. Selezionare NT Service\Azlog. Controllare le autorizzazioni per l'account. Se l'account non è presente in questa scheda o se le autorizzazioni appropriate non vengono visualizzate, è possibile concedere le autorizzazioni dell'account in questa scheda.
3. Quando si esegue il comando Azlog source list, assicurarsi che l'account di archiviazione aggiunto nel comando Azlog source add sia elencato nell'output.
4. Per verificare se vengono segnalati errori dal servizio Integrazione log di Azure, andare a Visualizzatore eventi>Registri eventi di Windows>Applicazione.

Se si verificano problemi durante l'installazione e la configurazione, è possibile creare una richiesta di supporto. Per il servizio selezionare Integrazione log.

Un'altra opzione di supporto è il forum MSDN sull'integrazione dei log di Azure. Nel forum MSDN, la community può fornire supporto rispondendo a domande e condividendo suggerimenti e consigli su come sfruttare al meglio l'integrazione dei log di Azure. Il team di integrazione log di Azure monitora anche questo forum. Aiutano ogni volta che possono.

Integrare i log attività di Azure

Il log attività di Azure è un log delle sottoscrizioni che fornisce informazioni dettagliate sugli eventi a livello di sottoscrizione che si sono verificati in Azure. Sono inclusi un intervallo di dati, dai dati operativi di Azure Resource Manager agli aggiornamenti sugli eventi di integrità dei servizi. Anche gli avvisi del Centro sicurezza di Azure sono inclusi in questo log.

Annotazioni

Prima di provare i passaggi descritti in questo articolo, è necessario esaminare l'articolo Introduzione e completare i passaggi descritti in questo articolo.

Procedura per integrare i log attività di Azure

1. Aprire il prompt dei comandi ed eseguire questo comando: cd c:\Program Files\Microsoft Azure Log Integration

2. Eseguire questo comando: azlog createazureid

   Questo comando richiede l'accesso ad Azure. Il comando crea quindi un'entità servizio di Azure Active Directory nei tenant di Azure AD che ospitano le sottoscrizioni di Azure in cui l'utente connesso è un amministratore, un coamministratore o un proprietario. Il comando avrà esito negativo se l'utente connesso è solo un utente guest nel tenant di Azure AD. L'autenticazione in Azure viene eseguita tramite Azure AD. La creazione di un principale del servizio per Azure Log Integration genera l'identità di Azure AD necessaria per concedere l'accesso in lettura alle sottoscrizioni di Azure.

3. Esegui il comando seguente per autorizzare il principale del servizio Integrazione log di Azure, creato nel passaggio precedente, ad accedere alla lettura del Log Attività per la sottoscrizione. Per eseguire il comando, è necessario essere titolare dell'abbonamento.

   Azlog.exe authorize subscriptionId Esempio:

   AZLOG.exe authorize ba2c2367-d24b-4a32-17b5-4443234859

4. Controllare le cartelle seguenti per verificare che i file JSON del log di controllo di Azure Active Directory siano stati creati:

   • C:\Users\azlog\AzureResourceManagerJson
   • C:\Users\azlog\AzureResourceManagerJsonLD

Annotazioni

Per istruzioni specifiche sull'inserimento delle informazioni nei file JSON nel sistema SIEM (Security Information and Event Management), contattare il fornitore SIEM.

L'assistenza della community è disponibile tramite il forum MSDN sull'integrazione dei log di Azure. Questo forum consente agli utenti della community di Integrazione log di Azure di supportarsi tra loro con domande, risposte, suggerimenti e consigli. Inoltre, il team di integrazione log di Azure monitora questo forum e aiuta ogni volta che può.

È anche possibile aprire una richiesta di supporto. Selezionare Integrazione log come servizio per cui si richiede il supporto.

Passaggi successivi

Per altre informazioni sull'integrazione dei log di Azure, vedere gli articoli seguenti: Prima di provare la procedura descritta in questo articolo, è necessario esaminare l'articolo Introduzione e completare i passaggi descritti in questo articolo.

• Introduzione all'integrazione dei log di Azure. Questo articolo presenta l'integrazione dei log di Azure, le funzionalità principali e il relativo funzionamento.
• Passaggi di configurazione per i partner. Questo post di blog illustra come configurare Integrazione log di Azure per lavorare con le soluzioni partner Splunk, HP ArcSight e IBM QRadar. Descrive le linee guida correnti su come configurare i componenti SIEM. Per altri dettagli, rivolgersi al fornitore SIEM.
• Domande frequenti su Integrazione log di Azure. Queste domande frequenti rispondono alle domande comuni sull'integrazione dei log di Azure.
• Integrazione degli avvisi del Centro sicurezza di Azure con Integrazione log di Azure. Questo articolo illustra come sincronizzare gli avvisi del Centro sicurezza e gli eventi di sicurezza delle macchine virtuali raccolti da Diagnostica di Azure e dai log attività di Azure. È possibile sincronizzare i log usando i log di Monitoraggio di Azure o la soluzione SIEM.
• Nuove funzionalità per Diagnostica di Azure e log di controllo di Azure. Questo post di blog presenta i log di controllo di Azure e altre funzionalità che consentono di ottenere informazioni dettagliate sulle operazioni delle risorse di Azure.