Бөлісу құралы:


Ведение журнала и аудит безопасности Azure

Azure предоставляет множество настраиваемых параметров ведения журналов и аудита безопасности, которые помогают выявить недочеты в политиках и механизмах безопасности. Эта статья описывает создание, сбор и анализ журналов безопасности из служб, размещенных в Azure.

Примечание.

Выполнение некоторых рекомендаций в этой статье может привести к более интенсивному использованию данных, а также сетевых и вычислительных ресурсов, а значит, и к дополнительным затратам на лицензии или подписки.

Типы журналов в Azure

Облачные приложения являются сложными и содержат множество подвижных частей. Данные ведения журнала могут содержать аналитические сведения о приложениях и могут помочь:

  • устранять имеющиеся проблемы и предотвращать потенциальные;
  • повысить производительность приложения или улучшить обслуживание;
  • автоматизировать действия, которые в противном случае требуют ручного вмешательства.

Журналы Azure делятся по следующим категориям:

  • Журналы управления и контроля содержат информацию об операциях CREATE, UPDATE и DELETE в Azure Resource Manager. Дополнительные сведения см. в разделе Журналы действий Azure.

  • Журналы плоскости данных предоставляют информацию о событиях, возникших при использовании ресурсов Azure. К этому типу относятся, например, журналы системы событий Windows, журналы безопасности и журналы приложений на виртуальной машине, а также журналы диагностики, настроенные с помощью Azure Monitor.

  • Журналы обработанных событий предоставляют сведения о проанализированных событиях и оповещениях, которые были обработаны от вашего имени. Примерами этого типа являются оповещения Microsoft Defender для облака, в которых Microsoft Defender для облака обработал и проанализировал вашу подписку и предоставил краткие оповещения безопасности.

В следующей таблице перечислены наиболее важные типы журналов, доступных в Azure:

Категория журнала Тип журнала Использование Интеграция
Журналы действий События уровня управления с ресурсами Azure Resource Manager. Предоставляет информацию об операциях, которые выполнялись с ресурсами в подписке. REST API, Azure Monitor
Журналы ресурсов Azure Своевременные данные об операциях с ресурсами Azure Resource Manager в подписке. Информация об операциях, выполняемых самим ресурсом. Azure Monitor
Отчеты идентификатора Microsoft Entra Журналы и отчеты. Предоставляет сведения о действиях входа пользователей и системных действиях по управлению пользователями и группами. Microsoft Graph
Виртуальные машины и облачные службы Служба журнала событий Windows и системный журнал Linux Собирают системные данные и данные журналов, поступающие от виртуальных машин, и передает их в указанную вами учетную запись хранения. Windows (с помощью хранилища Диагностика Azure) и Linux в Azure Monitor
Аналитика службы хранилища Azure Обеспечивает ведение журнала хранилища, предоставляет данные метрик для учетной записи хранения. Предоставляет сведения о трассировке запросов, анализирует тенденции использования и диагностирует проблемы учетной записи хранения. REST API или клиентская библиотека.
Журналы потоков для группы безопасности сети (NSG) Использует формат JSON, показывает входящие и исходящие потоки на основе правил. Позволяет просмотреть сведения о входящем и исходящем IP-трафике в группе безопасности сети. Наблюдатель за сетями Azure
Application insight Журналы, исключения и пользовательские системы диагностики. Служба наблюдения за производительностью приложений (APM) для веб-разработчиков на нескольких платформах. REST API, Power BI.
Обработка данных и оповещений системы безопасности Оповещения Microsoft Defender для облака, журналы оповещений Azure Monitor Предоставляет сведения о безопасности и оповещения. Интерфейсы REST API, JSON.

Интеграция журналов с локальными системами SIEM

Интеграция оповещений Defender для облака показывает, как синхронизировать оповещения Defender для облака, а также события безопасности виртуальных машин, собранные журналами диагностики Azure и журналами аудита Azure с журналами Azure Monitor или решением SIEM.

Следующие шаги