Azure Günlük Tümleştirmesi’ne giriş

Önemli

Azure Log tümleştirme özelliği 15.06.2019'da kullanımdan kaldırılacaktır. AzLog indirmeleri 27 Haziran 2018'de devre dışı bırakıldı. İleriye doğru yapmanız gerekenler hakkında yönergeler için SIEM araçlarıyla tümleştirmek için Azure izleyicisini kullanma gönderisini gözden geçirin

Azure Günlük Tümleştirmesi, Azure günlüklerini şirket içi Güvenlik Bilgileri ve Olay Yönetimi (SIEM) sisteminizle tümleştirme görevini basitleştirmek için kullanıma sunulmuştur.

Azure günlüklerini tümleştirmek için önerilen yöntem, SIEM satıcınızın bağlayıcılarını kullanmaktır. Azure İzleyici günlükleri olay hub'larına akışla aktarma olanağı sağlar ve SIEM satıcıları, olay hub'ından SIEM'e günlükleri daha fazla tümleştirmek için bağlayıcılar yazabilir. Bunun nasıl çalıştığına ilişkin bir açıklama için Veri olay hub'ları için akış izlemeyi izleme başlığı altında yer alan yönergeleri izleyin. Makalede doğrudan Azure bağlayıcılarının zaten kullanılabildiği SIEM'ler de listelenmektedir.

Önemli

Birincil ilgi alanınız sanal makine günlüklerini toplamaksa, çoğu SIEM satıcısı çözümüne bu seçeneği ekler. SIEM satıcısının bağlayıcısını kullanmak her zaman tercih edilen alternatiftir.

Azure Günlük Tümleştirmesi özelliğiyle ilgili belgeler, özellik kullanım dışı bırakılana kadar korunmaya devam etmektedir.

Azure Günlük Tümleştirmesi özelliği hakkında daha fazla bilgi edinmek için daha fazla bilgi edinin:

Azure Günlük Tümleştirmesi Windows Olay Görüntüleyicisi günlüklerinden, Azure etkinlik günlüklerinden, Azure Güvenlik Merkezi uyarılarından ve Azure kaynaklarından Azure Tanılama günlüklerinden Windows olaylarını toplar. Tümleştirme, SIEM çözümünüzün şirket içinde veya bulutta tüm varlıklarınız için birleşik bir pano sağlamasına yardımcı olur. Güvenlik olaylarıyla ilgili uyarıları almak, toplamak, ilişkilendirmek ve analiz etmek için bir pano kullanabilirsiniz.

Not

Şu anda Azure Günlük Tümleştirmesi yalnızca Azure ticari ve Azure Kamu bulutlarını desteklemektedir. Diğer bulutlar desteklenmez.

Azure Günlük Tümleştirmesi işlemi

Hangi günlükleri tümleştirebilirim?

Azure, her Azure hizmeti için kapsamlı günlük kaydı oluşturur. Günlükler üç günlük türünü temsil etti:

  • Denetim/yönetim günlükleri: Azure Resource Manager CREATE, UPDATE ve DELETE işlemlerine görünürlük sağlayın. Azure etkinlik günlüğü, bu günlük türüne bir örnektir.
  • Veri düzlemi günlükleri: Bir Azure kaynağı kullandığınızda ortaya çıkarılan olaylara görünürlük sağlayın. Bu günlük türüne örnek olarak Windows sanal makinesindeki Windows Olay Görüntüleyicisi Sistem, Güvenlik ve Uygulama kanalları örnek olarak verilmiştir. Bir diğer örnek de Azure İzleyici aracılığıyla yapılandırdığınız Azure Tanılama günlüğüdür.
  • İşlenen olaylar: Sizin için işlenen analiz edilmiş olay ve uyarı bilgilerini sağlayın. Bu tür bir olaya örnek olarak uyarı Azure Güvenlik Merkezi. Azure Güvenlik Merkezi, geçerli güvenlik duruşunuzla ilgili uyarılar sağlamak için aboneliğinizi işler ve analiz eder.

Azure Günlük Tümleştirmesi ArcSight, QRadar ve Splunk'u destekler. Satıcının yerel bağlayıcısı olup olmadığını değerlendirmek için SIEM satıcınıza danışın. Yerel bağlayıcı varsa Azure Günlük Tümleştirmesi kullanmayın.

Başka seçenek yoksa Azure Günlük Tümleştirmesi kullanmayı göz önünde bulundurun. Aşağıdaki tablo önerilerimizi içerir:

SIEM Müşteri zaten Azure günlük tümleştiricisini kullanıyor Müşteri SIEM tümleştirme seçeneklerini araştırıyor
Splunk Splunk için Azure İzleyici eklentisine geçiş yapmaya başlayın. Splunk bağlayıcısını kullanın.
QRadar Azure izleme verilerinin bir dış araç tarafından kullanılmak üzere bir olay hub'ına akışının son bölümünde belgelenen QRadar bağlayıcısına geçiş yapın veya kullanmaya başlayın. Azure izleme verilerini bir dış araç tarafından kullanılmak üzere bir olay hub'ına akışla aktarmanın son bölümünde belgelenen QRadar bağlayıcısını kullanın.
ArcSight Bir bağlayıcı kullanılabilir olana kadar Azure günlük tümleştiricisini kullanmaya devam edin ve ardından bağlayıcı tabanlı çözüme geçin. Alternatif olarak Azure İzleyici günlüklerini kullanmayı göz önünde bulundurun. Bağlayıcı kullanılabilir olduğunda geçiş işlemini yapmak istemiyorsanız Azure Günlük Tümleştirmesi eklemeyin.

Not

Azure Günlük Tümleştirmesi ücretsiz bir çözüm olsa da, günlük dosyası bilgi depolamasıyla ilişkili Azure depolama maliyetleri vardır.

Yardıma ihtiyacınız varsa bir destek isteği oluşturabilirsiniz. Hizmet için Günlük Tümleştirmesi'ni seçin.

Sonraki adımlar

Bu makalede Azure Günlük Tümleştirmesi tanıtıldı. Azure Günlük Tümleştirmesi ve desteklenen günlük türleri hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın: