Azure biztonsági naplózás
Az Azure számos konfigurálható biztonsági naplózási és naplózási lehetőséget kínál a biztonsági szabályzatok és mechanizmusok hiányosságainak azonosításához. Ez a cikk az Azure-ban üzemeltetett szolgáltatásokból származó biztonsági naplók létrehozásának, gyűjtésének és elemzésének ismertetését ismerteti.
Feljegyzés
A cikkben szereplő egyes javaslatok növelhetik az adatok, a hálózat vagy a számítási erőforrások használatát, és növelhetik a licenc- vagy előfizetési költségeket.
Naplótípusok az Azure-ban
A felhőalkalmazások összetettek, számos mozgó részből állnak. A naplózási adatok betekintést nyújtanak az alkalmazásokba, és segítenek:
- Korábbi problémák elhárítása vagy a lehetséges problémák megelőzése
- Az alkalmazás teljesítményének vagy karbantarthatóságának javítása
- Olyan műveletek automatizálása, amelyek egyébként manuális beavatkozást igényelnek
Az Azure-naplók a következő kategóriákba vannak sorolva:
A vezérlési/felügyeleti naplók információt nyújtanak az Azure Resource Manager CREATE, UPDATE és DELETE műveleteiről. További információért lásd: Azure tevékenységnaplók.
Az adatsík-naplók az Azure-erőforrás-használat részeként létrehozott eseményekről nyújtanak információkat. Ilyen típusú naplók például a windowsos eseményrendszer, a biztonság és az alkalmazásnaplók egy virtuális gépen (VM) és az Azure Monitoron keresztül konfigurált diagnosztikai naplók .
A feldolgozott események információt nyújtanak az Ön nevében feldolgozott elemezt eseményekről/riasztásokról. Ilyenek például Felhőhöz készült Microsoft Defender riasztások, amelyekben Felhőhöz készült Microsoft Defender feldolgozta és elemezte az előfizetését, és tömör biztonsági riasztásokat biztosít.
Az alábbi táblázat az Azure-ban elérhető legfontosabb naplótípusokat sorolja fel:
| Naplókategória | Eseménynapló típusa | Használat | Integráció |
|---|---|---|---|
| Tevékenységnaplók | Vezérlősíkos események az Azure Resource Manager-erőforrásokon | Betekintést nyújt az előfizetés erőforrásain végrehajtott műveletekbe. | REST API, Azure Monitor |
| Azure-erőforrásnaplók | Az Azure Resource Manager-erőforrások előfizetésben való működésével kapcsolatos gyakori adatok | Betekintést nyújt az erőforrás által végrehajtott műveletekbe. | Azure Monitor |
| Microsoft Entra ID jelentéskészítés | Naplók és jelentések | Felhasználói bejelentkezési tevékenységek és rendszertevékenységek adatainak jelentése a felhasználókról és a csoportkezelésről. | Microsoft Graph |
| Virtuális gépek és felhőszolgáltatások | Windows Eseménynapló szolgáltatás és Linux Syslog | Rögzíti a rendszeradatokat és a naplózási adatokat a virtuális gépeken, és ezeket az adatokat egy tetszőleges tárfiókba továbbítja. | Windows (az Azure Diagnostics Storage használatával) és Linux az Azure Monitorban |
| Azure Storage Analytics | Tárnaplózás, metrikaadatokat biztosít egy tárfiókhoz | Betekintést nyújt a nyomkövetési kérelmekbe, elemzi a használati trendeket, és diagnosztizálja a tárfiókkal kapcsolatos problémákat. | REST API vagy az ügyfélkódtár |
| Hálózati biztonsági csoport (NSG) folyamatnaplói | JSON-formátum, amely szabályonként jeleníti meg a kimenő és bejövő folyamatokat | A hálózati biztonsági csoporton keresztüli bejövő és kimenő IP-forgalomra vonatkozó információkat jeleníti meg. | Azure Network Watcher |
| Alkalmazáselemzés | Naplók, kivételek és egyéni diagnosztikák | Alkalmazásteljesítmény-monitorozási (APM) szolgáltatást biztosít webfejlesztőknek több platformon. | REST API, Power BI |
| Adatok/ biztonsági riasztások feldolgozása | Felhőhöz készült Microsoft Defender riasztások, Az Azure Monitor naplózza a riasztásokat | Biztonsági információkat és riasztásokat biztosít. | REST API-k, JSON |
Naplóintegráció helyszíni SIEM-rendszerekkel
A Felhőhöz készült Defender riasztások integrálása ismerteti, hogyan szinkronizálhatja Felhőhöz készült Defender riasztásokat, az Azure diagnosztikai naplói által gyűjtött virtuálisgép-biztonsági eseményeket, valamint az Azure-naplókat az Azure Monitor-naplókkal vagy a SIEM-megoldással.
Következő lépések
Naplózás és naplózás: Az adatok védelme a láthatóság fenntartásával és a biztonsági riasztásokra való gyors reagálással.
Webhelycsoport naplózási beállításainak konfigurálása: Ha Ön webhelycsoport-rendszergazda, kérje le az egyes felhasználók műveleteinek előzményeit és az adott dátumtartományban végrehajtott műveletek előzményeit.
Keresés a naplóban a Microsoft Defender portálon: A Microsoft Defender portál használatával kereshet az egyesített naplóban, és megtekintheti a szervezet felhasználói és rendszergazdai tevékenységeit.