Общие сведения о службе "Интеграция журналов данных Azure"
Важно!
Функция интеграции журналов Azure будет нерекомендуема к 06.15.2019. Файлы для скачивания AzLog недоступны с 27 июня 2018 г. Сведения о том, что делать дальше, см. в блоге Используйте Azure-монитор для интеграции с инструментами SIEM
Служба "Интеграции журналов данных Azure" позволила упростить задачи интеграции журналов Azure из ресурсов Azure с локальной системой SIEM (Управление информационной безопасностью и событиями безопасности).
Для интеграции журналов данных Azure рекомендуется использовать соединители поставщика SIEM. Azure Monitor позволяет передавать журналы в концентраторы событий, а поставщики SIEM могут создавать соединители для дальнейшей интеграции журналов из концентратора событий в SIEM. Чтобы узнать, как это работает, следуйте инструкциям из статьи Потоковая передача данных мониторинга Azure в концентратор событий для потребления внешним инструментом. В статье также перечисляются системы Siem, для которых уже доступны прямые соединители Azure.
Важно!
Если вас интересует сбор журналов виртуальных машин, обращайтесь к поставщикам SIEM, так как большинство из них включают эту возможность в свое решение. Использование соединителя от поставщика SIEM всегда должно быть предпочтительным вариантом.
Документация компонента интеграции журналов данных Azure по-прежнему сохраняется, пока эта функция не устареет.
Дополнительные сведения о компонентах интеграции журналов данных Azure:
Служба "Интеграция журналов данных Azure" собирает события из журналов средства просмотра событий Windows, журналов действий Azure, оповещений центра безопасности Azure и журналов диагностики Azure, которые поступают из ресурсов Azure. Эта интеграция позволит создать в решении SIEM единую панель мониторинга для всех локальных и облачных ресурсов. Панели мониторинга можно использовать для получения, статистической обработки, сопоставления и анализа предупреждений о событиях безопасности.
Примечание
Сейчас служба "Интеграция журналов данных Azure" поддерживает только коммерческие облака Azure и облака Azure для государственных организаций. Другие облака не поддерживаются.
Какие журналы можно интегрировать?
Azure создает подробные журналы для каждой службы Azure. Существуют журналы трех типов.
- Журналы управления и контроля содержат информацию об операциях CREATE, UPDATE и DELETE в Azure Resource Manager. К этому типу относятся, например, журналы действий Azure.
- Журналы плоскости данных содержат информацию о событиях, возникающих при использовании ресурсов Azure. Примерами журнала этого типа являются каналы средства просмотра событий Windows System, Security и Application на виртуальной машине Windows. Другой пример — журнал системы диагностики Azure, который настраивается в Azure Monitor.
- Журналы обработанных событий содержат обработанную аналитическую информацию о событиях и оповещениях. В качестве примера для этого типа можно назвать оповещения центра безопасности Azure. Центр безопасности Azure обрабатывает и анализирует подписки, создавая оповещения в соответствии с текущим уровнем безопасности.
Интеграция журналов Azure поддерживает ArcSight, QRadar и Splunk. Обратитесь к поставщику SIEM и узнайте, есть ли у него собственный соединитель. Если такой соединитель доступен, не используйте службу "Интеграция журналов данных Azure".
Рекомендуем применять службу "Интеграция журналов данных Azure" только в том случае, если нет других вариантов. В следующей таблице собраны наши рекомендации.
| SIEM | Клиент уже использует интегратор журналов Azure | Клиент изучает варианты интеграции SIEM |
|---|---|---|
| Splunk | Начните миграцию в надстройку Azure Monitor для Splunk. | Используйте соединитель Splunk. |
| QRadar | Начните использовать соединитель QRadar, как описано в последнем разделе статьи Потоковая передача данных мониторинга Azure в концентратор событий для потребления внешним инструментом. | Используйте соединитель QRadar, который описан в последнем разделе статьи Потоковая передача данных мониторинга Azure в концентратор событий для потребления внешним инструментом. |
| ArcSight | Продолжайте использовать интегратор журналов Azure до тех пор, пока не будет доступен соединитель, а затем перейдите на решение на основе соединителя. | Рассмотрите возможность использования журналов Azure Monitor в качестве альтернативы. Не подключайтесь к службе "Интеграция журналов данных Azure", если вы не готовы выполнить миграцию при появлении соответствующего соединителя. |
Примечание
Хотя сама служба "Интеграция журналов данных Azure" предоставляется бесплатно, мы взимаем плату за хранение файлов журналов в службе хранилища Azure.
Если вам нужна помощь, создайте запрос в службу поддержки. Для этой службы выберите Интеграция журнала.
Дальнейшие действия
Из этой статьи вы узнаете о службе "Интеграция журналов данных Azure". Чтобы узнать больше об этой службе и поддерживаемых типах журналов, ознакомьтесь с указанными ниже статьями.
- Интеграция журналов Azure с ведением журнала системы диагностики Azure и пересылкой событий Windows. Это руководство содержит пошаговые инструкции по установке службы "Интеграция журналов данных Azure". Также в нем описана интеграция журналов из хранилища Диагностики Azure для Windows (WAD), журналов действий Azure, оповещений центра безопасности Azure и журналов аудита Azure Active Directory.
- Часто задаваемые вопросы об интеграции журналов Azure. Эта статья содержит ответы на часто задаваемые вопросы о службе "Интеграция журналов данных Azure".
- Потоковая передача данных мониторинга Azure в концентратор событий для потребления внешним инструментом.