Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure предоставляет широкий спектр настраиваемых параметров аудита безопасности и ведения журнала, которые помогут выявить пробелы в политиках и механизмах безопасности. В этой статье рассматривается создание, сбор и анализ журналов безопасности из служб, размещенных на Azure.
Примечание.
Выполнение некоторых рекомендаций в этой статье может привести к более интенсивному использованию данных, а также сетевых и вычислительных ресурсов, а значит, и к дополнительным затратам на лицензии или подписки.
Типы журналов в Azure
Облачные приложения являются сложными и содержат множество подвижных частей. Ведение журнала может содержать аналитические сведения о ваших приложениях и помочь:
- устранять имеющиеся проблемы и предотвращать потенциальные;
- повысить производительность приложения или улучшить обслуживание;
- автоматизировать действия, которые в противном случае требуют ручного вмешательства.
журналы Azure классифицируются по следующим типам:
Журналы управления содержат сведения Azure Resource Manager о операциях CREATE, UPDATE и DELETE. Дополнительные сведения см. в разделе журналы действий Azure.
Журналы плоскости данных предоставляют информацию о событиях, связанных с использованием ресурсов Azure. Примерами этого типа журнала являются журналы Windows системы событий, безопасности и приложений в виртуальной машине и журналы diagnostics настроенные с помощью Azure Monitor.
Сведения об обработанных событиях предоставляют информацию о проанализированных событиях и оповещениях, которые были обработаны от вашего имени. Примерами этого типа являются оповещения Microsoft Defender for Cloud, где Microsoft Defender for Cloud обрабатывает и анализирует вашу подписку и предоставляет краткие предупреждения о безопасности.
В следующей таблице перечислены наиболее важные типы журналов, доступные в Azure:
| Категория журнала | Тип журнала | Использование | Интеграция |
|---|---|---|---|
| Журналы действий | События контрольной плоскости на ресурсах Azure Resource Manager | Предоставляет информацию об операциях, которые выполнялись с ресурсами в подписке. | REST API, Azure Monitor |
| журналы ресурсов Azure | Регулярные данные о работе ресурсов в Azure Resource Manager в подписке | Информация об операциях, выполняемых самим ресурсом. | Azure Monitor |
| Отчетность Microsoft Entra ID | Журналы и отчеты. | Предоставляет сведения о действиях входа пользователей и системных действиях по управлению пользователями и группами. | Microsoft Graph |
| Виртуальные машины и облачные службы | служба журнала событий Windows и системный журнал Linux | Собирает системные данные и данные логов от виртуальных машин и передает их на указанный вами счет хранения. | Windows (с помощью хранилища Azure Diagnostics) и Linux в Azure Monitor |
| Azure Storage Analytics | Обеспечивает ведение журнала хранилища, предоставляет данные метрик для учетной записи хранения. | Предоставляет сведения о трассировке запросов, анализирует тенденции использования и диагностирует проблемы учетной записи хранения. | REST API или клиентская библиотека. |
| Журналы потоков для группы безопасности сети (NSG) | Использует формат JSON, показывает входящие и исходящие потоки на основе правил. | Позволяет просмотреть сведения о входящем и исходящем IP-трафике в группе безопасности сети. | Azure Network Watcher |
| Аналитика приложений | Журналы, исключения и пользовательские системы диагностики. | Служба наблюдения за производительностью приложений (APM) для веб-разработчиков на нескольких платформах. | REST API, Power BI |
| Обработка данных и оповещений системы безопасности | Оповещения в Microsoft Defender для облака, оповещения в журналах Azure Monitor | Предоставляет сведения о безопасности и оповещения. | Интерфейсы REST API, JSON. |
Интеграция журналов с локальными системами SIEM
Интеграция оповещений Defender для облака описывает, как синхронизировать оповещения Defender для облака, события безопасности виртуальных машин, собранные журналами диагностики Azure, и журналы аудита Azure с вашими журналами Azure Monitor или решением SIEM.
Следующие шаги
Аудит и ведение журнала. Защита данных и обеспечение видимости и быстрого реагирования на своевременные оповещения системы безопасности.
Настройка параметров аудита для семейства веб-сайтов. Являясь администратором семейства веб-сайтов, вы можете получить журнал действий конкретных пользователей, а также журнал действий за определенный диапазон дат.
Поиск журнала аудита на портале Microsoft Defender: Воспользуйтесь порталом Microsoft Defender для поиска единого журнала аудита и просмотра действий пользователей и администраторов в организации.