Log de segurança e auditoria do Azure

O Azure fornece uma ampla gama de opções de registro de log e auditoria de segurança configuráveis para ajudá-lo a identificar lacunas em seus mecanismos e políticas de segurança. Este artigo discute a geração, a coleta e a análise de logs de segurança de serviços hospedados no Azure.

Observação

Determinadas recomendações neste artigo podem resultar em maior uso de recursos de computação, rede ou dados e aumentar os custos de licença ou assinatura.

Tipos de logs no Azure

Os aplicativos em nuvem são complexos com muitas partes móveis. Os dados de registro de log podem fornecer insights sobre seus aplicativos e ajudar você a:

  • Solucionar problemas anteriores ou evitar problemas potenciais
  • Melhorar o desempenho ou a facilidade de manutenção do aplicativo
  • Automatizar ações que, de outra forma, exigem intervenção manual

Os logs do Azure são categorizados nos seguintes tipos:

  • Logs de controle/gerenciamento fornecem informações sobre as operações CREATE, UPDATE e DELETE do Azure Resource Manager. Para obter mais informações, confira Logs de atividades do Azure.

  • Os logs de plano de dados fornecem informações sobre eventos gerados como parte de uso de recursos do Azure. Exemplos desse tipo de log são os logs do aplicativo, de segurança e do sistema de eventos do Windows em uma VM (máquina virtual) e os logs de diagnóstico que são configurados por meio do Azure Monitor.

  • Os eventos processados fornecem informações sobre os eventos/alertas analisados que foram processados em seu nome. Exemplos desse tipo são os Alertas do Microsoft Defender para Nuvem, nos quais o Microsoft Defender para Nuvem processou e analisou sua assinatura e fornece alertas de segurança concisos.

A tabela a seguir lista os tipos mais importantes de logs disponíveis no Azure:

Categoria do log Tipo de log Uso Integração
Logs de atividade Eventos de plano de controle nos recursos do Azure Resource Manager Fornecem informações sobre as operações executadas em recursos de sua assinatura. API REST, Azure Monitor
Logs de Recursos do Azure Dados frequentes sobre a operação de recursos do Azure Resource Manager na assinatura Fornecem informações sobre as operações que o recurso executou por conta própria. Azure Monitor
Relatório da ID do Microsoft Entra Logs e relatórios Relata atividades de conexão do usuário e informações de atividades do sistema sobre gerenciamento de usuários e grupos. Microsoft Graph
Máquinas virtuais e serviços de nuvem Serviço de log de eventos do Windows e syslog do Linux Capturam dados do sistema e dados de logs nas máquinas virtuais e transferem os dados para uma conta de armazenamento de sua escolha. Windows (usando o armazenamento do Diagnóstico do Azure) e Linux no Azure Monitor
Análise do Armazenamento do Azure Log de armazenamento, fornece dados de métrica de uma conta de armazenamento Fornece informações das solicitações de rastreamento, analisa tendências de uso e diagnostica problemas com a conta de armazenamento. API REST ou biblioteca de cliente
Logs de fluxo do NSG (Grupo de Segurança de Rede) Formato JSON, mostra os fluxos de entrada e saída por regra Exibe informações sobre o tráfego IP de entrada e saída por meio de um Grupo de Segurança de Rede. Observador de Rede do Azure
Application Insights Logs, exceções e diagnóstico personalizado Fornece um serviço APM (monitoramento de desempenho de aplicativos) para desenvolvedores da Web em várias plataformas. API REST, Power BI
Dados do processo/alertas de segurança Alertas do Microsoft Defender para Nuvem, alertas de logs do Azure Monitor Fornece informações e alertas de segurança. APIs REST, JSON

Integração de log com sistemas SIEM locais

Integração dos alertas do Defender para Nuvem discute como sincronizar os alertas do Defender para Nuvem, os eventos de segurança da máquina virtual coletados pelos logs de diagnósticos do Azure e os logs de auditoria do Azure com seus logs do Azure Monitor ou solução SIEM.

Próximas etapas