Introdução à Integração de Logs do Azure

Importante

O recurso de integração do Log do Azure será preterido até 15/06/2019. Downloads de AzLog foram desabilitados em 27 de junho de 2018. Para obter diretrizes sobre o que fazer para prosseguir com a análise da postagem Usar o Azure Monitor para a integração com ferramentas SIEM

A Integração do Logs do Azure foi disponibilizada para simplificar a tarefa de integrar registros do Azure aos seus sistemas de SIEM (Segurança da Informação e Gerenciamento de Evento) locais.

O método recomendado para a integração de logs do Azure é usar conectores do seu fornecedor de SIEM. O Azure Monitor oferece a capacidade de transmitir os logs em hubs de eventos, e os fornecedores de SIEM podem gravar conectores para integrá-los ainda mais no SIEM. Para ver uma descrição de como isso funciona, siga as instruções em Monitorar o monitoramento de transmissão para hubs de eventos de dados. O artigo também lista os SIEMs nos quais conectores diretos do Azure já estão disponíveis.

Importante

Se o seu interesse principal é coletar logs de máquina virtual, a maioria dos fornecedores de SIEM inclui essa opção em sua solução. O uso do conector do fornecedor SIEM sempre é a opção preferencial.

A documentação sobre o recurso de Integração de Logs do Azure será mantida até o recurso ser preterido.

Leia para saber mais sobre o recurso de Integração de Logs do Azure:

A Integração de Logs do Azure coleta eventos do Windows de logs do Visualizador de Eventos do Windows, Logs de atividades do Azure, Alertas da Central de Segurança do Azure e Logs de Diagnóstico do Azure de recursos do Azure. A integração ajuda a sua solução de SIEM a oferecer um painel unificado para todos os seus ativos, locais ou na nuvem. Você pode usar um painel para receber, agregar, correlacionar e analisar os alertas para eventos de segurança.

Observação

Atualmente, a Integração de Logs do Azure é compatível apenas com as nuvens do Azure comercial e Azure Governamental. Não há suporte para outras nuvens.

O processo de Integração de Logs do Azure

Quais logs posso integrar?

O Azure produz um log abrangente para cada um de seus serviço. Os logs representam três tipos de log:

  • Logs de controle/gerenciamento: fornecem visibilidade das operações CREATE, UPDATE e DELETE do Azure Resource Manager. O log de atividades do Azure é um exemplo desse tipo de log.
  • Logs de plano de dados: dão visibilidade a eventos que são criados quando você usa um recurso do Azure. Um exemplo desse tipo de log são os canais Sistema, Segurança e Aplicativo do Visualizador de Eventos do Windows em uma máquina virtual Windows. Outro exemplo é o Log de Diagnóstico do Azure que você configura por meio do Azure Monitor.
  • Eventos processados: fornecem informações de eventos e alertas que são processados para você. Um exemplo desse tipo de evento são os alertas da Central de Segurança do Azure. A Central de Segurança do Azure processa e analisa sua assinatura para fornecer alertas que são relevantes para sua postura de segurança atual.

A integração de Log do Azure dá suporte a ArcSight, QRadar e Splunk. Entre em contato com o fornecedor do SIEM para avaliar se ele tem um conector nativo. Não use a Integração de Logs do Azure se um conector nativo estiver disponível.

Se nenhuma outra opção estiver disponível, considere usar a Integração de Logs do Azure. A tabela a seguir inclui nossas recomendações:

SIEM O cliente já usa o Integrador de Logs do Azure O cliente está avaliando as opções de integração do SIEM
Splunk Comece a migrar para o complemento do Azure Monitor para Splunk. Use o conector Splunk.
QRadar Migre ou comece a usar o conector QRadar documentado na última seção Transmitir dados de monitoramento do Azure para um hub de eventos para consumo por uma ferramenta externa. Use o conector QRadar documentado na última seção Transmitir dados de monitoramento do Azure para um hub de eventos para consumo por uma ferramenta externa.
ArcSight Continue a usar o integrador de log do Azure até que um conector esteja disponível, em seguida, migre para a solução baseada no conector. Considere usar logs do Azure Monitor como alternativa. Não integre à Integração de Logs do Azure, a menos que você esteja disposto a passar pelo processo de migração quando o conector estiver disponível.

Observação

Embora a Integração do Log do Azure seja uma solução gratuita, há custos de armazenamento do Azure associados ao armazenamento de informações do arquivo de log.

Se você precisar de ajuda, pode criar uma solicitação de suporte. Para o serviço, selecione Integração de Logs.

Próximas etapas

Este artigo apresenta a Integração de Logs do Azure. Para saber mais sobre a Integração de Logs do Azure e os tipos de logs com suporte, confira os seguintes artigos: