Azure提供了各种可配置的安全审核和日志记录选项,可帮助你识别安全策略和机制中的漏洞。 本文讨论如何从托管在 Azure 上的服务生成、收集和分析安全日志。
注释
本文中的某些建议可能会导致数据、网络或计算资源使用量增加,并增加许可证或订阅成本。
Azure 中的日志类型
云应用程序非常复杂,有许多移动部件。 日志记录数据可以提供有关应用程序的见解,并帮助你:
- 排查过去的问题或防止潜在问题
- 提高应用程序性能或可维护性
- 自动化那些本来需要人工干预的操作
Azure日志分为以下类型:
Control/management logs提供有关 Azure Resource Manager CREATE、UPDATE 和 DELETE 操作的信息。 有关详细信息,请参阅 Azure 活动日志。
数据平面日志提供有关作为 Azure 资源使用的一部分而引发的事件的信息。 此类日志的示例包括虚拟机(VM)中的 Windows 事件系统、安全性和应用程序日志,以及通过 Azure Monitor 配置的 诊断日志。
已处理的事件 提供有关已代表你处理的已分析事件/警报的信息。 此类示例包括 Microsoft Defender for Cloud 警报其中Microsoft Defender for Cloud已处理和分析订阅并提供简洁的安全警报。
下表列出了Azure中可用的最重要的日志类型:
| 日志类别 | 日志类型 | Usage | 整合 |
|---|---|---|---|
| 活动日志 | Azure Resource Manager资源上的控制平面事件 | 提供对订阅中资源执行操作的洞察。 | REST API,Azure Monitor |
| Azure 资源日志 | 有关订阅中 Azure 资源管理器资源操作的频率数据 | 提供对资源自身执行操作的见解。 | Azure Monitor |
| Microsoft Entra ID 报告 | 日志和报告 | 报告有关用户和组管理的用户登录活动和系统活动信息。 | Microsoft Graph |
| 虚拟机和云服务 | Windows 事件日志服务和 Linux Syslog | 捕获虚拟机上的系统数据和日志数据,并将这些数据传输到您选择的存储帐户中。 | Windows(在 Azure Monitor 中使用 Azure Diagnostics storage) 和 Linux |
| Azure 存储分析 | 存储日志记录,提供存储帐户的指标数据 | 提供关于跟踪请求的信息,分析使用趋势,并诊断存储帐户的问题。 | REST API 或 client 库 |
| 网络安全组(NSG)流日志 | JSON 格式,按规则显示出站和入站流 | 显示有关通过网络安全组的入口和出口 IP 流量的信息。 | Azure 网络观察程序 |
| 应用洞察 | 日志、异常和自定义诊断 | 为多个平台上的 Web 开发人员提供应用程序性能监视(APM)服务。 | REST API,Power BI |
| 处理数据/安全警报 | Microsoft Defender for Cloud警报,Azure监视日志警报 | 提供安全信息和警报。 | REST API、JSON |
与本地 SIEM 系统的日志集成
集成 Defender for Cloud 警报讨论如何将 Defender for Cloud 警报、Azure diagnostics日志收集的虚拟机安全事件以及Azure审核日志与 Azure Monitor 日志或 SIEM 解决方案同步。
后续步骤
审核和日志记录:通过保持可见性并快速响应及时的安全警报来保护数据。
为网站集配置审核设置:如果你是网站集管理员,可以获取单个用户的操作历史记录,以及在特定日期范围内执行的操作历史记录。
在 Microsoft Defender 门户中搜索审核日志:使用 Microsoft Defender 门户搜索统一的审核日志,并查看组织中的用户和管理员活动。