AZURE LOG INTEGRATION FAQ

Este artigo responde a perguntas mais frequentes (FAQ) sobre Azure Log Integration.

Importante

A funcionalidade de integração do Registo do Azure será preterida até 15/06/2019. As transferências do AzLog foram desativadas a 27 de junho de 2018. Para obter orientações sobre o que fazer para avançar, reveja a mensagem Utilizar o monitor do Azure para integrar com ferramentas SIEM

Azure Log Integration é um serviço do sistema operativo Windows que pode utilizar para integrar registos não processados dos seus recursos do Azure nos seus sistemas de gestão de eventos e informações de segurança no local (SIEM). Esta integração fornece um dashboard unificado para todos os seus recursos, no local ou na cloud. Em seguida, pode agregar, correlacionar, analisar e alertar para eventos de segurança associados às suas aplicações.

O método preferencial para integrar registos do Azure é utilizar o conector do Azure Monitor do fornecedor do SIEM e seguir estas instruções. No entanto, se o fornecedor do SIEM não fornecer um conector ao Azure Monitor, poderá utilizar Azure Log Integration como solução temporária (se o SIEM for suportado por Azure Log Integration) até que esse conector esteja disponível.

Nota

Recomendamos que utilize o módulo do Azure Az PowerShell para interagir com o Azure. Veja Instalar o Azure PowerShell para começar. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.

O software Azure Log Integration é gratuito?

Sim. O software Azure Log Integration não é cobrado.

Onde está Azure Log Integration disponível?

Está atualmente disponível no Azure Commercial e Azure Government e não está disponível na China ou na Alemanha.

Como posso ver as contas de armazenamento a partir das quais Azure Log Integration está a solicitar registos de VMs do Azure?

Execute o comando lista de origem do AzLog.

Como posso saber de que subscrição são provenientes os registos de Azure Log Integration?

No caso dos registos de auditoria que são colocados nos diretórios do AzureResourcemanagerJson , o ID da subscrição está no nome do ficheiro de registo. Isto também se aplica aos registos na pasta AzureSecurityCenterJson . Por exemplo:

20170407T070805_2768037.0000000023. 1111e5ee-1111-111b-a11e-1e111e1111dc.json

Os registos de auditoria do Azure Active Directory incluem o ID do inquilino como parte do nome.

Os registos de diagnóstico lidos a partir de um hub de eventos não incluem o ID da subscrição como parte do nome. Em vez disso, incluem o nome amigável especificado como parte da criação da origem do hub de eventos.

Como posso atualizar a configuração do proxy?

Se a definição de proxy não permitir o acesso ao armazenamento do Azure diretamente, abra o ficheiro deAZLOG.EXE.CONFIG em c:\Programas\Microsoft Azure Log Integration. Atualize o ficheiro para incluir a secção defaultProxy com o endereço proxy da sua organização. Após a conclusão da atualização, pare e inicie o serviço com os comandos net stop AzLog e net start AzLog.

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <system.net>
    <connectionManagement>
      <add address="*" maxconnection="400" />
    </connectionManagement>
    <defaultProxy>
      <proxy usesystemdefault="true"
      proxyaddress="http://127.0.0.1:8888"
      bypassonlocal="true" />
    </defaultProxy>
  </system.net>
  <system.diagnostics>
    <performanceCounters filemappingsize="20971520" />
  </system.diagnostics>   

Como posso ver as informações da subscrição em eventos do Windows?

Acrescente o ID da subscrição ao nome amigável ao adicionar a origem:

Azlog source add <sourcefriendlyname>.<subscription id> <StorageName> <StorageKey>  

O XML do evento tem os seguintes metadados, incluindo o ID da subscrição:

Mensagens de erro

Quando executo o comando AzLog createazureid, por que motivo recebo o seguinte erro?

Erro:

Falha ao criar a Aplicação do AAD - Inquilino 72f988bf-86f1-41af-91ab-2d7cd011db37 - Reason = 'Proibido' - Mensagem = 'Privilégios insuficientes para concluir a operação'.

O comando azlog createazureid tenta criar um principal de serviço em todos os inquilinos do Azure AD para as subscrições às quais o início de sessão do Azure tem acesso. Se o início de sessão do Azure for apenas um utilizador convidado nesse inquilino Azure AD, o comando falha com "Privilégios insuficientes para concluir a operação". Peça ao administrador do inquilino para adicionar a sua conta como utilizador no inquilino.

Quando executo o comando azlog authorize, por que motivo recebo o seguinte erro?

Erro:

Aviso ao criar a Atribuição de Função – AuthorizationFailed: O cliente janedo@microsoft.com" com o id de objeto 'fe9e03e4-4dad-4328-910f-fd24a9660bd2' não tem autorização para realizar a ação "Microsoft.Authorization/roleAssignments/write" sobre o âmbito "/subscriptions/70d95299-d689-4c97-b971-0d8ff00000000".

O comando azlog authorize atribui a função de leitor ao principal de serviço Azure AD (criado com o azlog createazureid) às subscrições fornecidas. Se o início de sessão do Azure não for um coadministrador ou um proprietário da subscrição, falha com uma mensagem de erro "Falha na Autorização". O Azure Role-Based Controlo de Acesso (RBAC) do coadministrador ou proprietário é necessário para concluir esta ação.

Onde posso encontrar a definição das propriedades no registo de auditoria?

Veja:

• Operações de auditoria com o Azure Resource Manager
• Listar os eventos de gestão numa subscrição na API REST do Azure Monitor

Onde posso encontrar detalhes sobre alertas de Centro de Segurança do Azure?

Veja Gerir e responder a alertas de segurança no Centro de Segurança do Azure.

Como posso modificar o que é recolhido com diagnósticos de VM?

Para obter detalhes sobre como obter, modificar e definir a configuração do Diagnóstico do Azure, veja Utilizar o PowerShell para ativar Diagnóstico do Azure numa máquina virtual com o Windows.

O exemplo seguinte obtém a configuração Diagnóstico do Azure:

Get-AzVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient
$publicsettings = (Get-AzVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient).PublicSettings
$encodedconfig = (ConvertFrom-Json -InputObject $publicsettings).xmlCfg
$xmlconfig = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($encodedconfig))
Write-Host $xmlconfig

$xmlconfig | Out-File -Encoding utf8 -FilePath "d:\WADConfig.xml"

O exemplo seguinte modifica a configuração do Diagnóstico do Azure. Nesta configuração, apenas o ID do evento 4624 e o ID do evento 4625 são recolhidos do registo de eventos de segurança. Microsoft Antimalware para eventos do Azure são recolhidos a partir do registo de eventos do sistema. Para obter detalhes sobre a utilização de expressões XPath, veja Consumir Eventos.

<WindowsEventLog scheduledTransferPeriod="PT1M">
    <DataSource name="Security!*[System[(EventID=4624 or EventID=4625)]]" />
    <DataSource name="System!*[System[Provider[@Name='Microsoft Antimalware']]]"/>
</WindowsEventLog>

O exemplo seguinte define a configuração do Diagnóstico do Azure:

$diagnosticsconfig_path = "d:\WADConfig.xml"
Set-AzVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient -DiagnosticsConfigurationPath $diagnosticsconfig_path -StorageAccountName log3121 -StorageAccountKey <storage key>

Depois de fazer alterações, verifique a conta de armazenamento para garantir que os eventos corretos são recolhidos.

Se tiver problemas durante a instalação e configuração, abra um pedido de suporte. Selecione Integração de Registos como o serviço para o qual está a pedir suporte.

Posso utilizar Azure Log Integration para integrar Observador de Rede registos no meu SIEM?

O Azure Observador de Rede gera grandes quantidades de informações de registo. Estes registos não devem ser enviados para um SIEM. O único destino suportado para Observador de Rede registos é uma conta de armazenamento. Azure Log Integration não suporta a leitura destes registos e a disponibilização para um SIEM.