Azure güvenliğini günlüğe kaydetme ve denetleme
Azure, güvenlik ilkelerinizdeki ve mekanizmalarınızdaki boşlukları belirlemenize yardımcı olmak için çok çeşitli yapılandırılabilir güvenlik denetimi ve günlüğe kaydetme seçenekleri sunar. Bu makalede Azure'da barındırılan hizmetlerden güvenlik günlükleri oluşturma, toplama ve analiz etme konuları ele alınmaktadır.
Not
Bu makaledeki bazı öneriler veri, ağ veya işlem kaynağı kullanımının artmasına ve lisans veya abonelik maliyetlerinizin artmasına neden olabilir.
Azure'da günlük türleri
Bulut uygulamaları birçok hareketli parça ile karmaşıktır. Günlük verileri, uygulamalarınız hakkında içgörüler sağlayabilir ve size yardımcı olabilir:
- Geçmiş sorunları giderme veya olası sorunları önleme
- Uygulama performansını veya sürdürülebilirliğini geliştirme
- Aksi takdirde el ile müdahale gerektiren eylemleri otomatikleştirme
Azure günlükleri aşağıdaki türlerde kategorilere ayrılır:
Denetim/yönetim günlükleri Azure Resource Manager CREATE, UPDATE ve DELETE işlemleri hakkında bilgi sağlar. Daha fazla bilgi için bkz. Azure etkinlik günlükleri.
Veri düzlemi günlükleri , Azure kaynak kullanımının bir parçası olarak tetiklenen olaylar hakkında bilgi sağlar. Bu günlük türüne örnek olarak bir sanal makinedeki (VM) Windows olay sistemi, güvenlik ve uygulama günlükleri ve Azure İzleyici aracılığıyla yapılandırılan tanılama günlükleri verilebilir.
İşlenen olaylar , sizin yerinize işlenen analiz edilen olaylar/uyarılar hakkında bilgi sağlar. Bu türe örnek olarak, Bulut için Microsoft Defender aboneliğinizi işleyip analiz ettiği ve kısa güvenlik uyarıları sağladığı Bulut için Microsoft Defender uyarılar verilebilir.
Aşağıdaki tabloda Azure'da kullanılabilen en önemli günlük türleri listelenmiştir:
Günlük kategorisi | Günlükleri türü | Kullanım | Tümleştirme |
---|---|---|---|
Etkinlik günlükleri | Azure Resource Manager kaynaklarında denetim düzlemi olayları | Aboneliğinizdeki kaynaklar üzerinde gerçekleştirilen işlemler hakkında içgörü sağlar. | REST API, Azure İzleyici |
Azure Kaynak günlükleri | Abonelikte Azure Resource Manager kaynaklarının işleyişi hakkında sık kullanılan veriler | Kaynağınızın gerçekleştirdiği işlemler hakkında içgörü sağlar. | Azure İzleyici |
Microsoft Entra Id raporlama | Günlükler ve raporlar | Kullanıcı oturum açma etkinliklerini ve kullanıcılar ve grup yönetimi hakkındaki sistem etkinliği bilgilerini raporlar. | Microsoft Graph |
Sanal makineler ve bulut hizmetleri | Windows Olay Günlüğü hizmeti ve Linux Syslog | Sanal makinelerde sistem verilerini ve günlük verilerini yakalar ve bu verileri istediğiniz bir depolama hesabına aktarır. | Azure İzleyici'de Windows (Azure Tanılama depolama kullanarak) ve Linux |
Azure Depolama Analizi | Depolama günlüğü, depolama hesabı için ölçüm verileri sağlar | İzleme istekleri hakkında içgörü sağlar, kullanım eğilimlerini analiz eder ve depolama hesabınızla ilgili sorunları tanılar. | REST API veya istemci kitaplığı |
Ağ güvenlik grubu (NSG) akış günlükleri | JSON biçimi, giden ve gelen akışları kural temelinde gösterir | Ağ Güvenlik Grubu üzerinden giriş ve çıkış IP trafiği hakkındaki bilgileri görüntüler. | Azure Ağ İzleyicisi |
Uygulama içgörüleri | Günlükler, özel durumlar ve özel tanılamalar | Birden çok platformdaki web geliştiricileri için bir uygulama performansı izleme (APM) hizmeti sağlar. | REST API, Power BI |
Verileri işleme / güvenlik uyarıları | Uyarıları Bulut için Microsoft Defender, Azure İzleyici uyarıları günlüğe kaydeder | Güvenlik bilgileri ve uyarılar sağlar. | REST API'leri, JSON |
Şirket içi SIEM sistemleriyle günlük tümleştirmesi
Bulut için Defender uyarılarını tümleştirme, Bulut için Defender uyarılarının, Azure tanılama günlükleri tarafından toplanan sanal makine güvenlik olaylarının ve Azure denetim günlüklerinin Azure İzleyici günlüklerinizle veya SIEM çözümünüzle nasıl eşitleneceğini açıklar.
Sonraki adımlar
Denetim ve günlüğe kaydetme: Görünürlüğü koruyarak ve zamanında güvenlik uyarılarına hızla yanıt vererek verileri koruyun.
Bir site koleksiyonu için denetim ayarlarını yapılandırma: Site koleksiyonu yöneticisiyseniz, tek tek kullanıcıların eylemlerinin geçmişini ve belirli bir tarih aralığı boyunca yapılan eylemlerin geçmişini alın.
Microsoft Defender Portalı'nda denetim günlüğünde arama yapma: Birleşik denetim günlüğünde arama yapmak ve kuruluşunuzdaki kullanıcı ve yönetici etkinliğini görüntülemek için Microsoft Defender Portalını kullanın.