- Вопрос или проблема
- Ответ или решение
- Сбор журналов безопасности и создание оповещений для Windows-VM в Azure
- 1. Создание рабочей области Log Analytics
- Шаги:
- 2. Установка агента на виртуальную машину
- Шаги:
- 3. Настройка сбора журналов безопасности
- Шаги:
- 4. Проверка собранных данных
- Пример запроса:
- 5. Создание оповещений
- Шаги:
- Пример правила оповещения:
- Заключение
Вопрос или проблема
Следующее больше похоже на академический вопрос. Я не думаю, что в нем есть практическая ценность, так как есть более простые решения этой задачи.
Вопрос
Как я могу собрать события безопасности с виртуальной машины на базе Windows в Azure и создать на их основе оповещение? Чтобы на электронную почту высылается сообщение, если за минуту возникает больше 30 событий безопасности?
Вариант 1
- Создать рабочую область Log Analytics
- Добавить виртуальную машину в качестве источника данных (Источники данных рабочей области > Виртуальные машины)
- Настроить данные, которые должны быть собраны (Расширенные настройки > Данные > Журналы событий Windows)
Однако это не позволяет мне добавить события безопасности (только события приложения и системы).
Журнал событий “Безопасность” не может быть собран этим пакетом интеллекта, так как типы событий “Успешный аудит” и “Неудачный аудит” в настоящее время не поддерживаются.
Вариант 2
- На самой виртуальной машине включите настройки диагностики и в “Журналах” убедитесь, что выбраны “Успешный аудит” и “Неудачный аудит”.
- Включите “Azure Monitor” в качестве источника данных
Теперь, при запросе чего-либо вроде Event или Event | where ComputerName == "vm1", результаты не возвращаются. Похоже, что этот подход отправляет только метрики, но не журналы в Azure Monitor.
Редактирование
Хорошо, вот что я выяснил на данный момент.
С помощью настроек диагностики VM можно записать события безопасности в таблицу учетной записи хранения, а затем позже использовать Log Analytics Workspace и добавить учетную запись хранения в качестве источника.
Однако это все еще не дает возможности запрашивать события. По крайней мере, для меня таблица Events всегда была пустой. Похоже, данные сначала нужно преобразовать с помощью Azure Solution. Однако я не смог найти решения, которое бы трансформировало события Windows.
Чтобы собрать и отреагировать на журналы событий безопасности, поступающие из Windows, лучшим решением будет Azure Security Center. Хотя я все еще не знаю, как создать оповещение на его основе… так запутано.
Я предполагаю, что вы уже нашли ответ, но для тех, кто не знает:
(и да, я согласен, это запутано, поскольку Microsoft предоставляет ссылки на несколько мест, где это можно сделать, и они переместили меню конфигурации. По моему мнению, они должны скрывать нетипичные настройки или помечать их как ‘расширенные’)
Перейдите в свою рабочую область Log Analytics.
Откройте ‘Управление агентами’.
Скачайте и установите агент Windows.
Вот и все, теперь вы собираете все события безопасности Windows.
Совет: вам НЕ нужно входить в расширенный раздел аналитики журналов и настраивать какие-либо дополнительные типы журналов событий для Windows, если вы не делаете что-то вне типичного сбора журналов, связанных с ID события.
Чтобы увидеть события, выполните этот запрос:
SecurityEvent
Или если хотите что-то, относящееся ко времени:
SecurityEvent
| where TimeGenerated > ago(24h)
| limit 10
Ответ или решение
Сбор журналов безопасности и создание оповещений для Windows-VM в Azure
Сбор журналов безопасности с Windows-VM в Azure и создание оповещений – это задача, которая требует понимания функциональности Azure, работы с Log Analytics и настройки механизмов мониторинга. В данном ответе мы рассмотрим пошаговую инструкцию, как достичь данной цели, беря во внимание специфические сложности, которые могут возникнуть.
1. Создание рабочей области Log Analytics
Первый шаг заключается в создании рабочей области Log Analytics, которая будет служить для хранения и анализа собранных данных из вашей виртуальной машины.
Шаги:
- Перейдите в Azure Portal.
- Нажмите «Создать ресурс» и выберите «Log Analytics».
- Заполните необходимые поля и создайте рабочую область.
2. Установка агента на виртуальную машину
Чтобы обеспечить сбор журналов безопасности, вам необходимо установить агент на вашем Windows-VM.
Шаги:
- Внутри созданной рабочей области Log Analytics перейдите в «Управление агентами».
- Скачайте и установите агент для Windows на вашем виртуальном компьютере.
- После установки агент автоматически начнет переносить события безопасности в Log Analytics.
3. Настройка сбора журналов безопасности
Теперь, когда агент установлен, вам необходимо убедиться, что он настроен для сбора необходимых журналов.
Шаги:
- В разделе «Параметры конфигурации» рабочей области нужно перейти к «Настройка данных».
- Включите сбор журналов безопасности. Обратите внимание, что дополнительные действия не требуются, если вы не хотите расширять стандартный набор событий.
4. Проверка собранных данных
Вы можете убедиться, что журналы безопасности собираются корректно, используя KQL (Kusto Query Language) в Log Analytics.
Пример запроса:
SecurityEvent
| where TimeGenerated > ago(24h)
| limit 10Этот запрос вернет последние 10 событий безопасности за последние 24 часа.
5. Создание оповещений
Для того чтобы создавать оповещения на основе собранных данных, вам нужно использовать Alerts в Log Analytics.
Шаги:
- Перейдите в свою рабочую область Log Analytics.
- В левом меню выберите «Alerts».
- Нажмите на кнопку «+ New Alert Rule».
- Установите критерии для оповещения (например, количество событий).
Пример правила оповещения:
- В качестве условия выберите
SecurityEvent. - Установите условие «Количество > 30», где период времени равен 1 минуте.
- Настройте действие для отправки уведомления по электронной почте (необходимо будет указать адрес получателя и настроить группу действий).
Заключение
Сбор журналов безопасности с Windows-VM в Azure и создание соответствующих оповещений – это многоуровневый процесс, требующий правильно настроенных компонентов Azure. Следуя вышеизложенным шагам, вы сможете наладить надежный механизм мониторинга, который поможет своевременно реагировать на подозрительные события в вашей системе.
Таким образом, вы обеспечите безопасность своей инфраструктуры в облаке, используя мощные средства, предоставляемые Azure. Если у вас возникли сложности на каком-либо этапе, рекомендуется обратиться к официальной документации Azure или сообществу для получения дополнительной информации и поддержки.