Použití Azure Monitor ke shromažďování a analýze protokolů zabezpečení

Použití Azure Monitor ke shromažďování a analýze protokolů zabezpečení

02/01/2025

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při používání Azure Monitor pro centralizované shromažďování a efektivní analýzu protokolů zabezpečení v prostředích Azure. V neustále se vyvíjejícím cloudovém prostředí je přehled o bezpečnostních aktivitách a událostech zásadní pro detekci hrozeb, vyšetřování incidentů, zajištění souladu a udržení robustní bezpečnostní pozice. Azure Monitor s komponentou Log Analytics poskytuje výkonnou platformu pro agregaci, ukládání, dotazování a analýzu dat protokolů z více zdrojů [1].

Úvod

Šíření služeb a prostředků v cloudu Azure generuje obrovské množství dat protokolů. Tyto protokoly obsahují zásadní informace o tom, co se děje ve vašem prostředí, od úspěšných a neúspěšných pokusů o přihlášení, změn konfigurace až po síťové aktivity a bezpečnostní události. Bez účinné strategie shromažďování a analýzy se však tyto protokoly mohou stát „datovou bažinou“, což ztěžuje identifikaci škodlivých vzorců nebo rychlou reakci na incidenty [2].

Azure Monitor je komplexní služba monitorování, která shromažďuje, analyzuje a pracuje s telemetrickými daty z vašeho Azure a místních prostředí. Jeho komponenta Log Analytics je cloudová služba úložiště protokolů, která vám umožňuje shromažďovat data protokolů a metriky z různých zdrojů, včetně prostředků Azure, hostovaných operačních systémů virtuálních počítačů, agentů monitorování a služeb zabezpečení, jako je Microsoft Defender for Cloud a Azure AD. Kusto Query Language (KQL) je nástroj používaný k interakci s těmito daty, což umožňuje komplexní dotazy a hloubkovou analýzu [3].

Tato praktická příručka se bude zabývat nastavením pracovního prostoru Log Analytics, propojením různých zdrojů bezpečnostních dat, používáním KQL k provádění bezpečnostní analýzy, vytvářením výstrah na základě vzorů protokolů a vizualizací dat prostřednictvím sešitů. Budou poskytnuty podrobné pokyny, praktické příklady a stručná vysvětlení, aby čtenář mohl tyto funkce implementovat, testovat a ověřovat. Kromě toho budou probrány bezpečnostní tipy, kontrola souladu a osvědčené postupy, které zajistí efektivní, autonomní, profesionální a spolehlivý sběr a analýzu bezpečnostních protokolů.

Proč jsou Azure Monitor a Log Analytics klíčové pro zabezpečení?

  • Centralizace protokolů: Agreguje protokoly z více Azure a místních zdrojů do jednoho umístění, což zjednodušuje analýzu událostí a korelaci.
  • Výkonná analýza: Používá Kusto Query Language (KQL), bohatý a flexibilní dotazovací jazyk, k provádění komplexní analýzy a identifikaci vzorců útoků nebo anomálií.
  • Detekce hrozeb: Umožňuje vytvářet bezpečnostní výstrahy na základě dotazů KQL, které v reálném čase upozorňují týmy na podezřelé aktivity.
  • Vyšetřování incidentů: Usnadňuje vyšetřování bezpečnostních incidentů tím, že poskytuje rychlý přístup k historickým datům a možnost korelovat události z různých zdrojů.
  • Dodržování předpisů a audit: Pomáhá plnit požadavky na dodržování předpisů tím, že poskytuje podrobné záznamy o auditu a možnost generovat zprávy o zabezpečení.
  • Vizualizace dat: Poskytuje sešity a řídicí panely pro zobrazení trendů zabezpečení, stavu dodržování předpisů a provozních metrik.

Předpoklady

Chcete-li použít Azure Monitor pro shromažďování a analýzu protokolů zabezpečení, budete potřebovat následující položky:

  1. Aktivní předplatné Azure: Předplatné Azure k vytváření a správě prostředků.
  2. Administrativní přístup: Účet s rolí Vlastník, Přispěvatel nebo Přispěvatel Log Analytics na Azure Portal (https://portal.azure.com).
  3. Stávající prostředky Azure: prostředky Azure (virtuální počítače, sítě, aplikace atd.), které chcete monitorovat.

Krok za krokem: Shromažďování a analýza protokolů zabezpečení pomocí Azure Monitor

Pojďme nastavit pracovní prostor Log Analytics a shromažďovat protokoly zabezpečení.

1. Vytvoření pracovního prostoru Log Analytics

Pracovní prostor Log Analytics je jediné prostředí pro ukládání dat protokolu.

  1. Otevřete prohlížeč a přejděte na Azure Portal: https://portal.azure.com.
  2. Přihlaste sen s účtem, který má potřebná oprávnění.
  3. Do horního vyhledávacího pole zadejte Log Analytics workspaces a vyberte jej z výsledků.

  4. Klikněte na + Vytvořit.

  5. Základy:

    • Předplatné: Vyberte své předplatné.
    • Skupina prostředků: Vytvořte novou skupinu prostředků (např. rg-loganalytics) nebo vyberte existující.
    • Název pracovního prostoru Log Analytics: Přidělte mu jedinečný název (např.: la-security-workspace).
    • Region: Vyberte region.
  6. Klikněte na „Zkontrolovat + vytvořit“ a poté na Vytvořit.

2. Připojení zdrojů bezpečnostních dat

Propojme některé běžné zdroje bezpečnostních dat s naším pracovním prostorem.

2.1. Připojení protokolů aktivity Azure (protokol aktivit Azure)

Azure Activity Log poskytuje záznam událostí řídicí roviny ve vašem předplatném Azure, včetně vytváření prostředků, aktualizací a odstraňování.

  1. Na webu Azure Portal přejděte do svého pracovního prostoru Log Analytics (la-security-workspace).
  2. V levém navigačním panelu pod Zdroje dat vyberte Diagnostické protokoly.
  3. Klikněte na +Přidat diagnostickou konfiguraci.
  4. Vyberte předplatné, které chcete sledovat.
  5. Název diagnostické konfigurace: Pojmenujte ji (např.: diag-activitylog).
  6. Kategorie protokolu: Zkontrolujte ActivityLog.
  7. Destination Details: Vyberte Send to Log Analytics workspace a zvolte svůj pracovní prostor (la-security-workspace).
  8. Klikněte na Uložit.

2.2. Připojení protokolů auditu Azure Active Directory (protokoly auditu Azure AD)

Protokoly auditu Azure AD zaznamenávají aktivity související s uživateli a adresáři, jako jsou přihlášení, změny skupin a resetování hesla.

  1. Na webu Azure Portal přejděte na Azure Active Directory.
  2. V levém navigačním panelu pod Monitoring vyberte Diagnostické protokoly.
  3. Klikněte na +Přidat diagnostickou konfiguraci.
  4. Název diagnostické konfigurace: Pojmenujte ji (např.: diag-azuread).
  5. Kategorie protokolů: Zkontrolujte položky „AuditLogs“ a „SignInLogs“.
  6. Destination Details: Vyberte Send to Log Analytics workspace a zvolte svůj pracovní prostor (la-security-workspace).
  7. Klikněte na Uložit.

2.3. Připojení protokolů prostředků Azure (virtuální počítače)

Chcete-li shromažďovat protokoly zabezpečení z virtuálních počítačů, můžete nainstalovat agenta Log Analytics.

  1. V Azure Portal přejděte na jeden ze svých virtuálních počítačů.
  2. V levém navigačním panelu pod Monitoring vyberte Diagnostic Settings.
  3. Klikněte na +Přidat diagnostickou konfiguraci.
  4. Název diagnostické konfigurace: Pojmenujte ji (např.: diag-vm-security).
  5. Protokoly: Zkontrolujte Security (pro protokoly událostí zabezpečení Windows/Linux).
  6. Destination Details: Vyberte Send to Log Analytics workspace a zvolte svůj pracovní prostor (la-security-workspace).
  7. Klikněte na Uložit.

3. Analýza protokolů zabezpečení pomocí jazyka Kusto Query Language (KQL)

KQL je jazyk používaný k dotazování na data v Log Analytics. Pojďme prozkoumat některé běžné bezpečnostní dotazy.

  1. Na webu Azure Portal přejděte do svého pracovního prostoru Log Analytics (la-security-workspace).
  2. V levém navigačním panelu vyberte Protokoly.
  3. Otevře se okno dotazu. Zde můžete začít psát své KQL dotazy.

Příklady dotazů KQL na zabezpečení:

  • Události neúspěšného přihlášení do Azure AD (za posledních 24 hodin): kusto SigninLogs | kde TimeGenerated > před (24h) | kde ResultType != 0 | sumarizovat count() podle UserDisplayName, IPAddress, ResultDescription | seřadit podle count_desc

    • Vysvětlení: Tento dotaz vyhledává všechny neúspěšné události přihlášení (ResultType != 0) za posledních 24 hodin, shrnuje je podle uživatele, IP adresy a popisu výsledku a seřadí je podle odpočítávání.

  • Kritické administrativní aktivity v Azure Activity Log (posledních 7 dní): kusto AzureActivity | kde TimeGenerated > ago(7d) | kde OperationNameValue obsahuje "WRITE" nebo OperationNameValue obsahuje "DELETE" | kde ActivityStatusValue == "Úspěch" | projekt TimeGenerated, Caller, OperationName, ResourceGroup, Resource, _ResourceId | objednávka podle TimeGenerated desc

    • Vysvětlení: Tento dotaz identifikuje operace WRITE (vytvoření/aktualizace).a DELETE soubory v protokolu aktivit Azure za posledních 7 dní s promítáním relevantních polí, jako je čas, volající a ovlivněný zdroj.

  • Události zabezpečení virtuálního počítače (neúspěšné pokusy o přihlášení v systému Windows): kusto SecurityEvent | kde EventID == 4625 // ID události pro neúspěšné pokusy o přihlášení v systému Windows | kde TimeGenerated > před (24h) | sumarizovat count() podle účtu, počítače, adresy IP | seřadit podle count_desc

    • Vysvětlení: Tento dotaz vyhledává události zabezpečení Windows s EventID 4625 (neúspěšný pokus o přihlášení) za posledních 24 hodin a shrnuje je podle účtu, počítače a IP adresy.

  • Vizualizace dat: Po spuštění dotazu můžete změnit typ vizualizace (např. „výsečový graf“, „pruhový graf“), aby byla data reprezentována srozumitelnějším způsobem.

4. Vytváření bezpečnostních upozornění

Výstrahy lze nakonfigurovat tak, aby upozornily bezpečnostní týmy, když jsou v protokolech zjištěny konkrétní vzory.

  1. Po spuštění dotazu KQL, který identifikuje událost zabezpečení, kterou chcete monitorovat, klikněte na +Nové pravidlo výstrahy v horní liště nástrojů.

  2. Podmínka: Dotaz KQL bude automaticky vyplněn. Nakonfigurujte „Logiku výstrah“ (např. „Počet výsledků“ „Větší než“ „5“ v období „5 minut“).

  3. Akce:
    • Klikněte na + Přidat skupinu akcí.
    • Vytvořte novou skupinu akcí (např. actiongroup-security) nebo vyberte existující.
    • Nakonfigurujte požadované akce, jako je E-mail/SMS/Push/Voice, Webhook, Automation (pro spuštění aplikace Logic nebo runbooku).
  4. Podrobnosti: Dejte pravidlu výstrahy název (např. Alerta_Logins_Falhos_AzureAD), popis a definujte závažnost.
  5. Klikněte na „Zkontrolovat + vytvořit“ a poté na Vytvořit.

5. Použití sešitů pro vizualizaci zabezpečení

Sešity jsou flexibilní plátna, která lze použít pro analýzu dat a vytváření vizuálních sestav.

  1. Na webu Azure Portal přejděte do svého pracovního prostoru Log Analytics (la-security-workspace).
  2. V levém navigačním panelu pod Obecné vyberte Sešity.
  3. Klikněte na + Nový.
  4. Chcete-li vytvořit interaktivní sestavu, můžete přidat Text, Queries (KQL), Metrics a Parameters.
  5. Přidejte dotaz KQL a nastavte vizualizaci na graf. Uložte sešit.

Validace a testování

Chcete-li ověřit konfiguraci, budete muset vygenerovat události zabezpečení, které spouštějí vaše dotazy a výstrahy.

  1. Scénář (neúspěšné přihlášení): Pokus o vícenásobné přihlášení k Azure Portal nebo aplikaci integrované do Azure AD s nesprávnými přihlašovacími údaji (více než limit definovaný v pravidle výstrahy).
  2. Očekávaná akce:
    • Události neúspěšného přihlášení by se měly objevit v protokolech Log Analytics (tabulka SigninLogs).
    • Mělo by se spustit nakonfigurované bezpečnostní upozornění a měli byste obdržet upozornění (e-mail, SMS atd.).
  3. Ověření:
    • Zkontrolujte protokoly v Log Analytics pomocí dotazu SigninLogs | kde TimeGenerated > ago(5m) | kde ResultType != 0.
    • Upozornění na upozornění najdete v části „Výstrahy zabezpečení“ v Azure Monitor nebo v e-mailové schránce.

Bezpečnostní tipy a doporučené postupy

  • Uchovávání dat: Nakonfigurujte uchovávání dat Log Analytics podle požadavků vaší organizace na shodu (např. 90 dní, 1 rok).
  • Řízení přístupu: Implementujte řízení přístupu na základě rolí (RBAC) pro pracovní prostor Log Analytics, abyste zajistili, že pouze oprávnění uživatelé budou mít přístup k bezpečnostním protokolům a dotazovat se na ně.
  • Integrace SIEM/SOAR: Pro pokročilé funkce detekce incidentů a odezvy integrujte Log Analytics se SIEM, jako je Microsoft Sentinel. To umožňuje korelaci událostí, automatizaci odezvy a orchestraci.
  • Optimalizace nákladů: Sledujte objem dat přijatých do Log Analytics. Používejte diagnostické filtry ke shromažďování pouze relevantních protokolů a vyhněte se shromažďování nadbytečných dat za účelem optimalizace nákladů.
  • Efektivní dotazy KQL: Naučte se a používejte KQL efektivně, abyste optimalizovali výkon dotazů a zkrátili dobu vyhledávání.
  • Sdílené sešity: Vytvářejte a sdílejte užitečné sešity se svým týmem pro společnou vizualizaci a analýzu bezpečnostních dat.
  • Nepřetržité monitorování: Pravidelně kontrolujte generovaná upozornění a podle toho upravujte pravidlanezbytné pro snížení falešných poplachů a zajištění detekce skutečných hrozeb.

Běžné odstraňování problémů

  • Protokoly se v Log Analytics nezobrazují:
    • Ověřte, že konfigurace diagnostiky pro zdroj dat je správná a ukazuje na správný pracovní prostor Log Analytics.
    • Ujistěte se, že je agent Log Analytics nainstalován a správně funguje na virtuálních počítačích, pokud je to možné.
    • Může dojít k mírnému zpoždění (několik minut), než se protokoly objeví v pracovním prostoru.
    • Zkontrolujte oprávnění identity odesílající protokoly.
  • Upozornění se nespouštějí:
    • Zkontrolujte, zda je pravidlo výstrahy „Povoleno“.
    • Ujistěte se, že dotaz KQL v pravidle výstrahy při ručním spuštění vrací očekávané výsledky.
    • Zkontrolujte „Logiku výstrah“ (práh, frekvence), abyste se ujistili, že je spouštěna událostmi, které generujete.
    • Zkontrolujte Skupinu akcí, abyste se ujistili, že jsou oznámení nastavena správně a příjemci dostávají e-maily/SMS.
  • Pomalé nebo složité dotazy KQL:
    • Optimalizujte své dotazy pomocí operátorů jako „kde“ a „projekt“ na začátku dotazu, abyste filtrovali data co nejdříve.
    • Vyhněte se nadměrnému používání operátorů join na velkých souborech dat.
    • Zvažte vytvoření funkcí KQL pro složité, opakovaně použitelné dotazy.
  • Falešně pozitivní ve výstrahách:
    • Upravte Alert Logic (zvýšení prahové hodnoty, úprava časového okna) pro snížení citlivosti.
    • Upřesněte dotaz KQL, aby byl konkrétnější a odfiltroval legitimní události.
    • Zvažte použití whitelistu v rámci dotazu k ignorování známých a bezpečných aktivit.

Závěr

Azure Monitor a jeho komponenta Log Analytics jsou nepostradatelnými nástroji pro shromažďování a analýzu protokolů zabezpečení v jakémkoli prostředí Azure. Díky centralizaci dat protokolů z více zdrojů, umožnění výkonných dotazů pomocí KQL a nabízení možností upozornění a vizualizace umožňuje Azure Monitor bezpečnostním týmům udržovat hluboký přehled o jejich prostředí. Efektivní implementace těchto schopností je zásadní pro proaktivní detekci hrozeb, efektivní vyšetřování incidentů a zajištění souladu s předpisy. S touto praktickou příručkou budou odborníci na zabezpečení a správci IT dobře vybaveni ke konfiguraci, ověřování a správě Azure Monitor a transformaci nezpracovaných dat protokolu na užitečné bezpečnostní zpravodajství, které ochrání jejich organizace.

Reference:

[1] Microsoft Learn. Přehled Azure Monitor. Dostupné na: https://learn.microsoft.com/pt-br/azure/azure-monitor/overview [2] Microsoft Learn. Osvědčené postupy pro protokoly Azure Monitor. Dostupné na: https://learn.microsoft.com/pt-br/azure/azure-monitor/logs/best-practices-logs [3] Microsoft Learn. Přehled Kusto Query Language (KQL). Dostupné na: https://learn.microsoft.com/pt-br/azure/data-explorer/kusto/query/ [4] Microsoft Learn. Shromažďujte protokoly aktivit Azure v pracovním prostoru Log Analytics. Dostupné na: https://learn.microsoft.com/pt-br/azure/azure-monitor/essentials/activity-log?tabs=azure-portal [5] Microsoft Learn. Integrace protokolů Azure AD s protokoly Azure Monitor. Dostupné na: https://learn.microsoft.com/pt-br/azure/active-directory/reports-monitoring/howto-integrate-activity-logs-with-log-analytics-with-log-analytics [6] Microsoft Learn. Shromažďujte události a čítače výkonu z virtuálních počítačů pomocí agenta Log Analytics Agent. Dostupné na: https://learn.microsoft.com/pt-br/azure/azure-monitor/agents/agent-windows [7] Microsoft Learn. Vytvářejte, zobrazujte a spravujte výstrahy protokolu pomocí Azure Monitor. Dostupné na: https://learn.microsoft.com/pt-br/azure/azure-monitor/alerts/tutorial-log-alert [8] Microsoft Learn. Sešity Azure Monitor. Dostupné na: https://learn.microsoft.com/pt-br/azure/azure-monitor/visualize/workbooks-overview