Azure 安全性記錄與稽核
Azure 提供了廣泛的可設定安全性稽核和記錄選項,以協助識別安全性原則和機制間的落差。 本文討論如何從 Azure 上所裝載的服務產生、收集及分析安全性記錄。
注意
本文的某些建議可能會導致資料、網路或計算資源使用量增加,並可能增加授權或訂用帳戶成本。
Azure 的記錄類型
雲端應用程式相當複雜,且具有許多移動組件。 記錄資料可以提供應用程式的見解,並協助您:
- 針對過去的問題進行疑難排解,或防止可能的問題
- 改善應用程式效能或可維護性
- 自動化可能需要手動介入的動作
Azure 記錄可分為下列幾種類型:
控制/管理記錄提供有關 Azure Resource Manager 建立、更新與刪除作業的相關資訊。 如需詳細資訊,請參閱 Azure 活動記錄。
資料平面記錄提供發生事件的相關資訊,以作為 Azure 資源使用方式的一部分。 這個記錄類型的範例是虛擬機器 (VM) 中的 Windows 事件系統、安全性和應用程式記錄,以及透過 Azure 監視器設定的診斷記錄。
已處理的事件提供分析已代替您處理之事件/警示的相關資訊。 這類型的範例包括適用於雲端的 Microsoft Defender 警示,其中適用於雲端的 Microsoft Defender 已處理和分析您的訂用帳戶,並提供簡潔的安全性警示。
下列資料表列出了 Azure 中可用記錄最重要的類型:
| 記錄類別 | 記錄類型 | 使用方式 | 整合 |
|---|---|---|---|
| 活動記錄 | Azure Resource Manager 資源上的控制平面事件。 | 提供見解,以利您瞭解訂用帳戶中已在資源執行的作業。 | REST API、Azure 監視器 |
| Azure 資源記錄 | 關於訂用帳戶中 Azure Resource Manager 作業的經常性資料 | 提供見解,以利您瞭解資源自己執行的作業。 | Azure 監視器 |
| Microsoft Entra ID 報告 | 記錄和報告 | 報告使用者登入活動,以及使用者和群組管理相關的系統活動資訊。 | Microsoft Graph |
| 虛擬機器與雲端服務 | Windows 事件記錄檔服務與 Linux Syslog | 擷取虛擬機器的系統資料和記錄資料,並將該資料傳入至所選的儲存體帳戶。 | Windows (使用 Azure 診斷 記憶體)和 Azure 監視器中的 Linux |
| AAzure 儲存體分析 | 儲存體記錄,提供儲存體帳戶的計量資料 | 提供見解,以利您追蹤要求、分析使用趨勢,以及診斷儲存體帳戶的問題。 | REST API 或用戶端程式庫 |
| 網路安全性群組 (NSG) 流量記錄 | JSON 格式,顯示每個規則顯示輸出和輸入流量。 | 顯示透過網路安全性群組進行輸入與輸出的 IP 流量相關資訊。 | Azure 網路監看員 |
| 應用程式見解 | 記錄、例外狀況和自訂診斷 | 提供適合網頁開發人員的應用程式效能監視 (APM) 服務,可在多個平台上使用。 | REST API、Power BI |
| 處理資料/安全性警示 | 適用於雲端的 Microsoft Defender 警示、Azure 監視器記錄警示 | 提供安全性資訊和警示。 | REST API、JSON |
與內部部署之 SIEM 系統整合的記錄
整合適用於雲端的 Defender 警示討論如何同步處理適用於雲端的 Defender 警示、Azure 診斷記錄所收集的虛擬機器安全性事件,以及 Azure 稽核記錄與您的 Azure 監視器記錄或 SIEM 解決方案。
下一步
稽核與記錄:藉由保持可見度並快速回應即時安全性警示來保護資料。
設定網站集合的稽核設定:如果您是網站集合管理員,請擷取個別使用者的動作歷程記錄,以及特定日期範圍內所採取的動作歷程記錄。
在 Microsoft Defender 入口網站中搜尋稽核記錄:使用 Microsoft Defender 入口網站來搜尋統一的稽核記錄,以及檢視組織中的使用者和系統管理員活動。