Inleiding tot Azure-logboekintegratie
Belangrijk
De integratiefunctie van Azure-logboeken wordt afgeschaft op 06-15-2019. AzLog-downloads zijn uitgeschakeld op 27 juni 2018. Raadpleeg het bericht Azure Monitor gebruiken om te integreren met SIEM-hulpprogramma's voor hulp bij wat u moet doen
Azure Log Integration is beschikbaar gesteld om de taak van het integreren van Azure-logboeken met uw on-premises SIEM-systeem (Security Information and Event Management) te vereenvoudigen.
De aanbevolen methode voor het integreren van Azure-logboeken is het gebruik van de connectors van uw SIEM-leverancier. Azure Monitor biedt de mogelijkheid om de logboeken te streamen naar Event Hubs en SIEM-leveranciers kunnen connectors schrijven om logboeken van de Event Hub verder te integreren in de SIEM. Volg de instructies in Monitor Stream Monitoring voor data Event Hubs voor een beschrijving van hoe dit werkt. In het artikel worden ook de SIEM's vermeld waarvoor directe Azure-connectors al beschikbaar zijn.
Belangrijk
Als uw primaire interesse het verzamelen van logboeken van virtuele machines is, nemen de meeste SIEM-leveranciers deze optie op in hun oplossing. Het gebruik van de SIEM-leverancierconnector is altijd het voorkeurs alternatief.
De documentatie over de functie Azure Log Integration wordt nog steeds onderhouden totdat de functie is afgeschaft.
Lees verder voor meer informatie over de functie Azure Log Integration:
Azure Log Integration verzamelt Windows-gebeurtenissen uit Windows Logboeken-logboeken, Azure-activiteitenlogboeken, Azure Security Center waarschuwingen en Azure Diagnostics logboeken van Azure-resources. Integratie helpt uw SIEM-oplossing een geïntegreerd dashboard te bieden voor al uw assets, zowel on-premises als in de cloud. U kunt een dashboard gebruiken om waarschuwingen voor beveiligingsgebeurtenissen te ontvangen, aggregeren, correleren en analyseren.
Notitie
Momenteel ondersteunt Azure Log Integration alleen commerciële Azure- en Azure Government clouds. Andere clouds worden niet ondersteund.
Welke logboeken kan ik integreren?
Azure produceert uitgebreide logboekregistratie voor elke Azure-service. De logboeken vertegenwoordigen drie logboektypen:
- Beheer-/beheerlogboeken: geef inzicht in de Bewerkingen CREATE, UPDATE en DELETE van Azure Resource Manager. Een Azure-activiteitenlogboek is een voorbeeld van dit type logboek.
- Logboeken van gegevensvlakken: geef inzicht in gebeurtenissen die worden gegenereerd wanneer u een Azure-resource gebruikt. Een voorbeeld van dit type logboek is de systeem-, beveiligings- en toepassingskanalen van Windows Logboeken op een virtuele Windows-machine. Een ander voorbeeld is Azure Diagnostics logboekregistratie, die u configureert via Azure Monitor.
- Verwerkte gebeurtenissen: geef geanalyseerde gebeurtenis- en waarschuwingsgegevens op die voor u worden verwerkt. Een voorbeeld van dit type gebeurtenis is Azure Security Center waarschuwingen. Azure Security Center processen en analyseert uw abonnement om waarschuwingen te bieden die relevant zijn voor uw huidige beveiligingspostuur.
Azure Log Integration ondersteunt ArcSight, QRadar en Splunk. Neem contact op met uw SIEM-leverancier om te beoordelen of de leverancier een systeemeigen connector heeft. Gebruik Azure Log Integration niet als er een systeemeigen connector beschikbaar is.
Als er geen andere opties beschikbaar zijn, kunt u overwegen Azure Log Integration te gebruiken. De volgende tabel bevat onze aanbevelingen:
| SIEM | Klant maakt al gebruik van de Azure-logboekintegrator | Klant onderzoekt SIEM-integratieopties |
|---|---|---|
| Splunk | Begin met migreren naar de Azure Monitor-invoegtoepassing voor Splunk. | Gebruik de Splunk-connector. |
| QRadar | Migreer naar of begin met het gebruik van de QRadar-connector die wordt beschreven in het laatste gedeelte van Stream Azure-bewakingsgegevens naar een Event Hub voor gebruik door een extern hulpprogramma. | Gebruik de QRadar-connector die wordt beschreven in het laatste gedeelte van Stream Azure-bewakingsgegevens naar een Event Hub voor gebruik door een extern hulpprogramma. |
| ArcSight | Ga door met het gebruik van de Azure-logboekintegrator totdat een connector beschikbaar is en migreer vervolgens naar de connectoroplossing. | Overweeg om Azure Monitor-logboeken als alternatief te gebruiken. Maak geen onboarding voor Azure Log Integration, tenzij u bereid bent om het migratieproces te doorlopen wanneer de connector beschikbaar is. |
Notitie
Hoewel Azure Log Integration een gratis oplossing is, zijn er Azure-opslagkosten gekoppeld aan de opslag van logboekbestandsgegevens.
Als u hulp nodig hebt, kunt u een ondersteuningsaanvraag maken. Selecteer Logboekintegratie voor de service.
Volgende stappen
In dit artikel hebt u kennisgemaakt met Azure Log Integration. Zie de volgende artikelen voor meer informatie over Azure Log Integration en de typen logboeken die worden ondersteund:
- Ga aan de slag met Azure Log Integration. In deze zelfstudie wordt u begeleid bij de installatie van Azure Log Integration. Ook wordt beschreven hoe u logboeken integreert vanuit Windows Azure Diagnostics (WAD)-opslag, Azure-activiteitenlogboeken, Azure Security Center waarschuwingen en Azure Active Directory-auditlogboeken.
- Azure Log Integration veelgestelde vragen (FAQ). In deze veelgestelde vragen vindt u antwoorden op veelgestelde vragen over Azure Log Integration.
- Meer informatie over het streamen van Azure-bewakingsgegevens naar een Event Hub voor gebruik door een extern hulpprogramma.