Ведение журнала и аудит безопасности Azure
Azure предоставляет множество настраиваемых параметров ведения журналов и аудита безопасности, которые помогают выявить недочеты в политиках и механизмах безопасности. Эта статья описывает создание, сбор и анализ журналов безопасности из служб, размещенных в Azure.
Примечание.
Выполнение некоторых рекомендаций в этой статье может привести к более интенсивному использованию данных, а также сетевых и вычислительных ресурсов, а значит, и к дополнительным затратам на лицензии или подписки.
Типы журналов в Azure
Облачные приложения являются сложными и содержат множество подвижных частей. Данные ведения журнала могут содержать аналитические сведения о приложениях и могут помочь:
- устранять имеющиеся проблемы и предотвращать потенциальные;
- повысить производительность приложения или улучшить обслуживание;
- автоматизировать действия, которые в противном случае требуют ручного вмешательства.
Журналы Azure делятся по следующим категориям:
Журналы управления и контроля содержат информацию об операциях CREATE, UPDATE и DELETE в Azure Resource Manager. Дополнительные сведения см. в разделе Журналы действий Azure.
Журналы плоскости данных предоставляют информацию о событиях, возникших при использовании ресурсов Azure. К этому типу относятся, например, журналы системы событий Windows, журналы безопасности и журналы приложений на виртуальной машине, а также журналы диагностики, настроенные с помощью Azure Monitor.
Журналы обработанных событий предоставляют сведения о проанализированных событиях и оповещениях, которые были обработаны от вашего имени. Примерами этого типа являются оповещения Microsoft Defender для облака, в которых Microsoft Defender для облака обработал и проанализировал вашу подписку и предоставил краткие оповещения безопасности.
В следующей таблице перечислены наиболее важные типы журналов, доступных в Azure:
| Категория журнала | Тип журнала | Использование | Интеграция |
|---|---|---|---|
| Журналы действий | События уровня управления с ресурсами Azure Resource Manager. | Предоставляет информацию об операциях, которые выполнялись с ресурсами в подписке. | REST API, Azure Monitor |
| Журналы ресурсов Azure | Своевременные данные об операциях с ресурсами Azure Resource Manager в подписке. | Информация об операциях, выполняемых самим ресурсом. | Azure Monitor |
| Отчеты идентификатора Microsoft Entra | Журналы и отчеты. | Предоставляет сведения о действиях входа пользователей и системных действиях по управлению пользователями и группами. | Microsoft Graph |
| Виртуальные машины и облачные службы | Служба журнала событий Windows и системный журнал Linux | Собирают системные данные и данные журналов, поступающие от виртуальных машин, и передает их в указанную вами учетную запись хранения. | Windows (с помощью хранилища Диагностика Azure) и Linux в Azure Monitor |
| Аналитика службы хранилища Azure | Обеспечивает ведение журнала хранилища, предоставляет данные метрик для учетной записи хранения. | Предоставляет сведения о трассировке запросов, анализирует тенденции использования и диагностирует проблемы учетной записи хранения. | REST API или клиентская библиотека. |
| Журналы потоков для группы безопасности сети (NSG) | Использует формат JSON, показывает входящие и исходящие потоки на основе правил. | Позволяет просмотреть сведения о входящем и исходящем IP-трафике в группе безопасности сети. | Наблюдатель за сетями Azure |
| Application insight | Журналы, исключения и пользовательские системы диагностики. | Служба наблюдения за производительностью приложений (APM) для веб-разработчиков на нескольких платформах. | REST API, Power BI. |
| Обработка данных и оповещений системы безопасности | Оповещения Microsoft Defender для облака, журналы оповещений Azure Monitor | Предоставляет сведения о безопасности и оповещения. | Интерфейсы REST API, JSON. |
Интеграция журналов с локальными системами SIEM
Интеграция оповещений Defender для облака показывает, как синхронизировать оповещения Defender для облака, а также события безопасности виртуальных машин, собранные журналами диагностики Azure и журналами аудита Azure с журналами Azure Monitor или решением SIEM.
Следующие шаги
Аудит и ведение журнала. Защита данных и обеспечение видимости и быстрого реагирования на своевременные оповещения системы безопасности.
Настройка параметров аудита для семейства веб-сайтов. Являясь администратором семейства веб-сайтов, вы можете получить журнал действий конкретных пользователей, а также журнал действий за определенный диапазон дат.
Выполните поиск по журналу аудита на портале Microsoft Defender: используйте портал Microsoft Defender для поиска единого журнала аудита и просмотра действий пользователей и администраторов в организации.