Azure 提供了各种可配置的安全审核和日志记录选项,可帮助你识别安全策略和机制中的差距。 本文讨论如何从 Azure 上托管的服务生成、收集和分析安全日志。
注释
本文中的某些建议可能会导致数据、网络或计算资源使用量增加,并增加许可证或订阅成本。
Azure 中的日志类型
云应用程序非常复杂,有许多移动部件。 日志记录数据可以提供有关应用程序的见解,并帮助你:
- 排查过去的问题或防止潜在问题
- 提高应用程序性能或可维护性
- 自动化那些本来需要人工干预的操作
Azure 日志分为以下类型:
控制/管理日志 提供有关 Azure 资源管理器 CREATE、UPDATE 和 DELETE 操作的信息。 有关详细信息,请参阅 Azure 活动日志。
数据平面日志 提供有关作为 Azure 资源使用情况的一部分引发的事件的信息。 此类日志的示例包括虚拟机(VM)中的 Windows 事件系统、安全性和应用程序日志,以及通过 Azure Monitor 配置的 诊断日志 。
已处理的事件 提供有关已代表你处理的已分析事件/警报的信息。 此类示例包括 Microsoft Defender for Cloud 警报,其中Microsoft Defender for Cloud 已对您的订阅进行了处理和分析,并提供了简洁的安全警报。
下表列出了 Azure 中可用的最重要的日志类型:
| 日志类别 | 日志类型 | Usage | 整合 |
|---|---|---|---|
| 活动日志 | Azure 资源管理器资源上的控制平面事件 | 提供对订阅中资源执行操作的洞察。 | REST API、 Azure Monitor |
| Azure 资源日志 | 有关订阅中 Azure 资源管理器资源操作的频繁更新数据 | 提供对资源自身执行操作的见解。 | Azure Monitor |
| Microsoft Entra ID 报告功能 | 日志和报告 | 报告有关用户和组管理的用户登录活动和系统活动信息。 | Microsoft Graph |
| 虚拟机和云服务 | Windows 事件日志服务和 Linux Syslog | 捕获虚拟机上的系统数据和日志记录数据,并将该数据传输到所选的存储帐户中。 | Windows (在 Azure Monitor 中使用 Azure 诊断 存储)和 Linux |
| Azure 存储分析 | 存储日志记录,为存储帐户提供指标数据 | 提供对跟踪请求、分析使用情况趋势和诊断存储帐户问题的见解。 | REST API 或 客户端库 |
| 网络安全组(NSG)流日志 | JSON 格式,按规则显示出站和入站流 | 显示有关通过网络安全组的入口和出口 IP 流量的信息。 | Azure 网络观察程序 |
| 应用洞察 | 日志、异常和自定义诊断 | 为多个平台上的 Web 开发人员提供应用程序性能监视(APM)服务。 | REST API、 Power BI |
| 处理数据/安全警报 | Microsoft Defender for Cloud 警报、Azure Monitor 日志警报 | 提供安全信息和警报。 | REST API、JSON |
与本地 SIEM 系统的日志集成
集成 Defender for Cloud 警报 讨论如何将 Defender for Cloud 警报、Azure 诊断日志收集的虚拟机安全事件以及 Azure 审核日志与 Azure Monitor 日志或 SIEM 解决方案同步。
后续步骤
审核和日志记录:通过保持可见性并快速响应及时的安全警报来保护数据。
为网站集配置审核设置:如果你是网站集管理员,可以获取单个用户的操作历史记录,以及在特定日期范围内执行的操作历史记录。
在 Microsoft Defender 门户中搜索审核日志:使用 Microsoft Defender 门户搜索统一审核日志,并查看组织中的用户和管理员活动。