Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
La funzionalità di integrazione dei log di Azure sarà deprecata entro il 15/06/2019. I download di AzLog sono stati disabilitati il 27 giugno 2018. Per indicazioni su come procedere, vedere il post Usare Monitoraggio di Azure per l'integrazione con gli strumenti SIEM
Integrazione log di Azure è stata resa disponibile per semplificare l'integrazione dei log di Azure con il sistema SIEM (Security Information and Event Management) locale.
Il metodo consigliato per l'integrazione dei log di Azure consiste nell'usare i connettori del fornitore SIEM. Monitoraggio di Azure offre la possibilità di trasmettere i log negli hub degli eventi e i fornitori SIEM possono scrivere connettori per un'ulteriore integrazione dei log dall'hub degli eventi nel SIEM. Per una descrizione di come funziona, seguire le istruzioni in Monitoraggio flusso per gli hub eventi dati. L'articolo elenca anche i SIEM per i quali sono già disponibili connettori diretti di Azure.
Importante
Se l'interesse principale è la raccolta dei log delle macchine virtuali, la maggior parte dei fornitori SIEM include questa opzione nella soluzione. L'uso del connettore del fornitore SIEM è sempre l'alternativa preferita.
La documentazione sulla funzionalità di integrazione dei log di Azure continua a essere mantenuta finché la funzionalità non verrà ritirata.
Per altre informazioni sulla funzionalità integrazione log di Azure, vedere:
Integrazione log di Azure raccoglie gli eventi di Windows dai log del Visualizzatore eventi di Windows, dai log attività di Azure, dagli avvisi del Centro sicurezza di Azure e dai log di Diagnostica di Azure dalle risorse di Azure. L'integrazione consente alla soluzione SIEM di fornire un dashboard unificato per tutti gli asset, sia in locale che nel cloud. È possibile usare un dashboard per ricevere, aggregare, correlare e analizzare gli avvisi per gli eventi di sicurezza.
Annotazioni
Attualmente, Integrazione log di Azure supporta solo cloud commerciali di Azure e di Azure per enti pubblici. Altre piattaforme cloud non sono supportate.
Quali log è possibile integrare?
Azure produce una registrazione estesa per ogni servizio di Azure. I log rappresentano tre tipi di log:
- Log di controllo/gestione: offre visibilità sulle operazioni CREATE, UPDATE e DELETE di Azure Resource Manager . Un log attività di Azure è un esempio di questo tipo di log.
- Log del piano dati: fornire visibilità sugli eventi generati quando si usa una risorsa di Azure. Un esempio di questo tipo di log è costituito dai canali System, Security e Application del Visualizzatore eventi di Windows in una macchina virtuale Windows. Un altro esempio è la registrazione delle Diagnostiche di Azure, che si configura tramite Azure Monitor.
- Eventi elaborati: forniscono informazioni su eventi e avvisi analizzati per te. Un esempio di questo tipo di evento è costituito da avvisi del Centro sicurezza di Azure. Il Centro sicurezza di Azure elabora e analizza la sottoscrizione per fornire avvisi rilevanti per il comportamento di sicurezza corrente.
Integrazione log di Azure supporta ArcSight, QRadar e Splunk. Rivolgersi al fornitore SIEM per valutare se il fornitore ha un connettore nativo. Non usare Integrazione log di Azure se è disponibile un connettore nativo.
Se non sono disponibili altre opzioni, è consigliabile usare Integrazione log di Azure. La tabella seguente include le raccomandazioni:
| SIEM (Gestione delle Informazioni e degli Eventi di Sicurezza) | Il cliente usa già l'integratore di log di Azure | Il cliente sta esaminando le opzioni di integrazione SIEM |
|---|---|---|
| Splunk | Iniziare la migrazione al componente aggiuntivo Monitoraggio di Azure per Splunk. | Usare il connettore Splunk. |
| QRadar | Eseguire la migrazione o iniziare a usare il connettore QRadar documentato nell'ultima sezione di Trasmettere i dati di monitoraggio di Azure a un hub eventi per l'utilizzo da parte di uno strumento esterno. | Usare il connettore QRadar documentato nell'ultima sezione di Trasmettere i dati di monitoraggio di Azure a un hub eventi per l'utilizzo da parte di uno strumento esterno. |
| ArcSight | Continuare a usare l'integratore di log di Azure fino a quando non è disponibile un connettore e quindi eseguire la migrazione alla soluzione basata su connettore. | Prendere in considerazione l'uso dei log di Monitoraggio di Azure come alternativa. Non procedere con l'onboarding all'Integrazione log di Azure, a meno che non si sia disposti a eseguire il processo di migrazione una volta che il connettore sarà disponibile. |
Annotazioni
Anche se l'integrazione dei log di Azure è una soluzione gratuita, esistono costi di archiviazione di Azure associati all'archiviazione delle informazioni sui file di log.
Se è necessaria assistenza, è possibile creare una richiesta di supporto. Per selezionare il servizio, scegli Integrazione log.
Passaggi successivi
Questo articolo ha illustrato l'integrazione dei log di Azure. Per altre informazioni sull'integrazione dei log di Azure e sui tipi di log supportati, vedere gli articoli seguenti:
- Introduzione all'integrazione dei log di Azure. Questa guida ti accompagna nell'installazione di integrazione dei log di Azure. Descrive anche come integrare i log dall'archiviazione diagnostica di Microsoft Azure, dai log attività di Azure, dagli avvisi del Centro sicurezza di Azure e dai log di controllo di Azure Active Directory.
- Domande frequenti su Integrazione log di Azure. Queste domande frequenti rispondono alle domande comuni sull'integrazione dei log di Azure.
- Altre informazioni su come trasmettere i dati di monitoraggio di Azure a un hub eventi per l'utilizzo da parte di uno strumento esterno.