Delen via


Inleiding tot Azure-logboekintegratie

Belangrijk

De integratiefunctie van Azure-logboeken wordt afgeschaft op 06-15-2019. AzLog-downloads zijn uitgeschakeld op 27 juni 2018. Raadpleeg het bericht Azure Monitor gebruiken om te integreren met SIEM-hulpprogramma's voor hulp bij wat u moet doen

Azure Log Integration is beschikbaar gesteld om de taak van het integreren van Azure-logboeken met uw on-premises SIEM-systeem (Security Information and Event Management) te vereenvoudigen.

De aanbevolen methode voor het integreren van Azure-logboeken is het gebruik van de connectors van uw SIEM-leverancier. Azure Monitor biedt de mogelijkheid om de logboeken te streamen naar Event Hubs en SIEM-leveranciers kunnen connectors schrijven om logboeken van de Event Hub verder te integreren in de SIEM. Volg de instructies in Monitor Stream Monitoring voor data Event Hubs voor een beschrijving van hoe dit werkt. In het artikel worden ook de SIEM's vermeld waarvoor directe Azure-connectors al beschikbaar zijn.

Belangrijk

Als uw primaire interesse het verzamelen van logboeken van virtuele machines is, nemen de meeste SIEM-leveranciers deze optie op in hun oplossing. Het gebruik van de SIEM-leverancierconnector is altijd het voorkeurs alternatief.

De documentatie over de functie Azure Log Integration wordt nog steeds onderhouden totdat de functie is afgeschaft.

Lees verder voor meer informatie over de functie Azure Log Integration:

Azure Log Integration verzamelt Windows-gebeurtenissen uit Windows Logboeken-logboeken, Azure-activiteitenlogboeken, Azure Security Center waarschuwingen en Azure Diagnostics logboeken van Azure-resources. Integratie helpt uw SIEM-oplossing een geïntegreerd dashboard te bieden voor al uw assets, zowel on-premises als in de cloud. U kunt een dashboard gebruiken om waarschuwingen voor beveiligingsgebeurtenissen te ontvangen, aggregeren, correleren en analyseren.

Notitie

Momenteel ondersteunt Azure Log Integration alleen commerciële Azure- en Azure Government clouds. Andere clouds worden niet ondersteund.

Het Azure Log Integration proces

Welke logboeken kan ik integreren?

Azure produceert uitgebreide logboekregistratie voor elke Azure-service. De logboeken vertegenwoordigen drie logboektypen:

  • Beheer-/beheerlogboeken: geef inzicht in de Bewerkingen CREATE, UPDATE en DELETE van Azure Resource Manager. Een Azure-activiteitenlogboek is een voorbeeld van dit type logboek.
  • Logboeken van gegevensvlakken: geef inzicht in gebeurtenissen die worden gegenereerd wanneer u een Azure-resource gebruikt. Een voorbeeld van dit type logboek is de systeem-, beveiligings- en toepassingskanalen van Windows Logboeken op een virtuele Windows-machine. Een ander voorbeeld is Azure Diagnostics logboekregistratie, die u configureert via Azure Monitor.
  • Verwerkte gebeurtenissen: geef geanalyseerde gebeurtenis- en waarschuwingsgegevens op die voor u worden verwerkt. Een voorbeeld van dit type gebeurtenis is Azure Security Center waarschuwingen. Azure Security Center processen en analyseert uw abonnement om waarschuwingen te bieden die relevant zijn voor uw huidige beveiligingspostuur.

Azure Log Integration ondersteunt ArcSight, QRadar en Splunk. Neem contact op met uw SIEM-leverancier om te beoordelen of de leverancier een systeemeigen connector heeft. Gebruik Azure Log Integration niet als er een systeemeigen connector beschikbaar is.

Als er geen andere opties beschikbaar zijn, kunt u overwegen Azure Log Integration te gebruiken. De volgende tabel bevat onze aanbevelingen:

SIEM Klant maakt al gebruik van de Azure-logboekintegrator Klant onderzoekt SIEM-integratieopties
Splunk Begin met migreren naar de Azure Monitor-invoegtoepassing voor Splunk. Gebruik de Splunk-connector.
QRadar Migreer naar of begin met het gebruik van de QRadar-connector die wordt beschreven in het laatste gedeelte van Stream Azure-bewakingsgegevens naar een Event Hub voor gebruik door een extern hulpprogramma. Gebruik de QRadar-connector die wordt beschreven in het laatste gedeelte van Stream Azure-bewakingsgegevens naar een Event Hub voor gebruik door een extern hulpprogramma.
ArcSight Ga door met het gebruik van de Azure-logboekintegrator totdat een connector beschikbaar is en migreer vervolgens naar de connectoroplossing. Overweeg om Azure Monitor-logboeken als alternatief te gebruiken. Maak geen onboarding voor Azure Log Integration, tenzij u bereid bent om het migratieproces te doorlopen wanneer de connector beschikbaar is.

Notitie

Hoewel Azure Log Integration een gratis oplossing is, zijn er Azure-opslagkosten gekoppeld aan de opslag van logboekbestandsgegevens.

Als u hulp nodig hebt, kunt u een ondersteuningsaanvraag maken. Selecteer Logboekintegratie voor de service.

Volgende stappen

In dit artikel hebt u kennisgemaakt met Azure Log Integration. Zie de volgende artikelen voor meer informatie over Azure Log Integration en de typen logboeken die worden ondersteund: