Esportare i log in un sistema SIEM di terze parti
Dall'introduzione di Monitoraggio di Azure sono stati apportati miglioramenti significativi per consolidare i servizi di Azure in una singola pipeline di registrazione. È stato eseguito l'onboarding in Monitoraggio di Azure della maggior parte dei principali servizi di Azure, tra cui Azure Resource Manager e Microsoft Defender per il cloud, che stanno producendo log di sicurezza pertinenti.
Il processo di integrazione è stato inoltre semplificato con funzionalità chiave come gli strumenti SIEM (Security Information and Event Management), tra cui il routing dei dati a un singolo Hub eventi di Azure e l'abilitazione di più impostazioni di diagnostica per ogni risorsa. Il lavoro in corso faciliterà la configurazione e la gestione del routing dei log in ambienti Azure di grandi dimensioni.
Inoltre, in collaborazione con i principali partner SIEM, Azure ha sviluppato connettori in grado di ottenere i dati da Monitoraggio di Azure e inserirli in questi strumenti. Questi connettori utilizzano i dati indirizzati a Hub eventi di Azure da Monitoraggio di Azure, un approccio semplice, scalabile e gestibile per la distribuzione di dati di log a un'applicazione esterna, consigliato da Microsoft per l'integrazione di Azure con gli strumenti SIEM in futuro.
Microsoft ha continuato a supportare i clienti che usano lo strumento Integrazione log di Microsoft Azure (AzLog) per l'integrazione con questi stessi strumenti SIEM. AzLog è stato inizialmente rilasciato per aiutare i clienti nel complesso processo di consolidamento, conversione e invio dei log da un'ampia gamma di servizi di Azure a uno strumento SIEM. All'epoca Monitoraggio di Azure non esisteva e la standardizzazione era molto limitata in termini di modalità di esposizione dei dati di log ai clienti da parte dei servizi di Azure. Alcuni scaricavano i dati in un account di archiviazione, altri esponevano un'API e così via.
Suggerimenti sull'integrazione
La tabella seguente indica le operazioni da eseguire in base agli strumenti SIEM in uso e all'attuale stato di integrazione. Nella tabella sono inclusi solo gli strumenti SIEM ufficialmente supportati da AzLog.
| Strumento SIEM | Cliente che usa attualmente uno strumento di integrazione dei log | Cliente che sta esplorando le opzioni di integrazione SIEM |
|---|---|---|
| Splunk | Iniziare con la migrazione al componente aggiuntivo di Monitoraggio di Azure per Splunk. | Usare il componente aggiuntivo di Monitoraggio di Azure per Splunk. |
| IBM QRadar | Iniziare con la migrazione a Microsoft Azure DSM and Microsoft Azure Event Hubs Protocol, disponibili nel sito Web del supporto IBM. | Usare Microsoft Azure DSM e Microsoft Azure Event Hub Protocol, disponibili nel sito Web del supporto IBM. È possibile ottenere altre informazioni sull'integrazione con Azure. |
| ArcSight | Il connettore intelligente dell'Hub eventi di Azure per ArcSight è disponibile nella raccolta di connettori intelligenti ArcSight. |
Roadmap di integrazione
Attualmente le funzionalità di integrazione SIEM di Monitoraggio di Azure non possono eseguire tutte le operazioni eseguite dallo strumento Integrazione log di Azure. Di seguito è riportata la roadmap per colmare il divario tra le attività che è possibile eseguire con Integrazione log di Azure e quelle che è possibile eseguire con Monitoraggio di Azure.
Log di Microsoft Entra: i log di Microsoft Entra sono l'unico tipo di log direttamente integrato con AzLog che non è ancora disponibile in Monitoraggio di Azure.
Integrazione dei log delle VM di Azure: AzLog fornisce un'opzione per integrare i log del sistema operativo guest delle VM di Azure (ad esempio Eventi di sicurezza di Windows) con strumenti SIEM. Monitoraggio di Azure include agenti disponibili per Linux e Windows in grado di indirizzare i log del sistema operativo a un Hub eventi di Azure, ma l'integrazione end-to-end con gli strumenti SIEM non è semplice.
Configurazione end-to-end: AzLog offre uno script che consente di automatizzare la configurazione end-to-end delle origini dei log. Mentre Monitoraggio di Azure offre la possibilità di creare tramite script le impostazioni di diagnostica, Microsoft sta collaborando con il team di Criteri di Azure per facilitare l'abilitazione tramite criteri di Resource Manager che assicurano che i dati dei log vengano instradati da tutte le origini.
Integrazione con altri strumenti SIEM: AzLog fornisce una funzionalità generica per eseguire il push dei log di Azure standardizzati in formato JSON su disco. Sebbene altri strumenti SIEM non fossero ufficialmente supportati da AzLog, questa funzionalità offriva un modo per ottenere facilmente i dati di log in strumenti come LogRhythm. Il suggerimento per i clienti che usano AzLog per questi strumenti è collaborare con il produttore di tali strumenti per offrire un'integrazione con Hub eventi di Monitoraggio di Azure.
La sicurezza dell'ambiente Azure dei clienti è sempre prioritaria per il team di Azure, sia in termini di modalità di progettazione della piattaforma Azure sia in termini di funzionalità offerte ai clienti per la protezione delle risorse su tale piattaforma. L'integrazione degli strumenti SIEM in Monitoraggio di Azure è un passo avanti verso la possibilità di proteggere in modo gestibile le applicazioni in Azure su larga scala.