सुरक्षा लॉग एकत्र करने और उनका विश्लेषण करने के लिए एज़्योर मॉनिटर का उपयोग करना

सुरक्षा लॉग एकत्र करने और उनका विश्लेषण करने के लिए एज़्योर मॉनिटर का उपयोग करना

02/01/2025

इस तकनीकी और शैक्षिक लेख का उद्देश्य सुरक्षा विश्लेषकों, आईटी प्रशासकों और सिस्टम इंजीनियरों को Azure वातावरण में सुरक्षा लॉग के केंद्रीकृत संग्रह और प्रभावी विश्लेषण के लिए Azure मॉनिटर का उपयोग करने में मार्गदर्शन करना है। लगातार विकसित हो रहे क्लाउड परिदृश्य में, खतरों का पता लगाने, घटनाओं की जांच करने, अनुपालन सुनिश्चित करने और एक मजबूत सुरक्षा स्थिति बनाए रखने के लिए सुरक्षा गतिविधियों और घटनाओं में दृश्यता महत्वपूर्ण है। Azure मॉनिटर, अपने लॉग एनालिटिक्स घटक के साथ, कई स्रोतों से लॉग डेटा को एकत्र करने, संग्रहीत करने, क्वेरी करने और विश्लेषण करने के लिए एक शक्तिशाली मंच प्रदान करता है [1]।

परिचय

Azure क्लाउड में सेवाओं और संसाधनों का प्रसार भारी मात्रा में लॉग डेटा उत्पन्न करता है। इन लॉग में सफल और असफल लॉगिन प्रयासों, कॉन्फ़िगरेशन परिवर्तन से लेकर नेटवर्क गतिविधि और सुरक्षा घटनाओं तक, आपके वातावरण में क्या हो रहा है, इसके बारे में महत्वपूर्ण जानकारी होती है। हालाँकि, एक प्रभावी संग्रह और विश्लेषण रणनीति के बिना, ये लॉग "डेटा दलदल" बन सकते हैं, जिससे दुर्भावनापूर्ण पैटर्न की पहचान करना या घटनाओं पर तुरंत प्रतिक्रिया देना मुश्किल हो जाता है [2]।

Azure मॉनिटर एक व्यापक निगरानी सेवा है जो आपके Azure और ऑन-प्रिमाइसेस वातावरण से टेलीमेट्री डेटा एकत्र करती है, उसका विश्लेषण करती है और उस पर कार्य करती है। इसका लॉग एनालिटिक्स घटक एक क्लाउड-आधारित लॉग स्टोरेज सेवा है जो आपको विभिन्न स्रोतों से लॉग डेटा और मेट्रिक्स एकत्र करने की अनुमति देता है, जिसमें एज़्योर संसाधन, वर्चुअल मशीन गेस्ट ऑपरेटिंग सिस्टम, मॉनिटरिंग एजेंट और क्लाउड और एज़्योर एडी के लिए माइक्रोसॉफ्ट डिफेंडर जैसी सुरक्षा सेवाएं शामिल हैं। कुस्टो क्वेरी लैंग्वेज (KQL) एक उपकरण है जिसका उपयोग इस डेटा के साथ इंटरैक्ट करने, जटिल प्रश्नों और गहन विश्लेषण को सक्षम करने के लिए किया जाता है [3]।

इस व्यावहारिक मार्गदर्शिका में लॉग एनालिटिक्स कार्यक्षेत्र स्थापित करना, विभिन्न सुरक्षा डेटा स्रोतों को जोड़ना, सुरक्षा विश्लेषण करने के लिए केक्यूएल का उपयोग करना, लॉग पैटर्न के आधार पर अलर्ट बनाना और वर्कबुक के माध्यम से डेटा को विज़ुअलाइज़ करना शामिल होगा। चरण-दर-चरण निर्देश, व्यावहारिक उदाहरण और संक्षिप्त स्पष्टीकरण प्रदान किए जाएंगे ताकि पाठक इन सुविधाओं को लागू, परीक्षण और मान्य कर सकें। इसके अतिरिक्त, प्रभावी, स्वायत्त, पेशेवर और विश्वसनीय सुरक्षा लॉग संग्रह और विश्लेषण सुनिश्चित करने के लिए सुरक्षा युक्तियों, अनुपालन जांच और सर्वोत्तम प्रथाओं पर चर्चा की जाएगी।

एज़्योर मॉनिटर और लॉग एनालिटिक्स सुरक्षा के लिए महत्वपूर्ण क्यों हैं?

  • लॉग केंद्रीकरण: एकाधिक एज़्योर और स्थानीय स्रोतों से लॉग को एक ही स्थान पर एकत्रित करता है, जिससे घटना विश्लेषण और सहसंबंध सरल हो जाता है।
  • शक्तिशाली विश्लेषण: जटिल विश्लेषण करने और हमले के पैटर्न या विसंगतियों की पहचान करने के लिए, एक समृद्ध और लचीली क्वेरी भाषा, कुस्टो क्वेरी लैंग्वेज (KQL) का उपयोग करता है।
  • खतरे का पता लगाना: केक्यूएल प्रश्नों के आधार पर सुरक्षा अलर्ट बनाने की अनुमति देता है, जो वास्तविक समय में टीमों को संदिग्ध गतिविधियों के बारे में सूचित करता है।
  • घटना जांच: ऐतिहासिक डेटा तक त्वरित पहुंच और विभिन्न स्रोतों से घटनाओं को सहसंबंधित करने की क्षमता प्रदान करके सुरक्षा घटनाओं की जांच की सुविधा प्रदान करता है।
  • अनुपालन और ऑडिटिंग: विस्तृत ऑडिट ट्रेल्स और सुरक्षा रिपोर्ट तैयार करने की क्षमता प्रदान करके अनुपालन आवश्यकताओं को पूरा करने में मदद करता है।
  • डेटा विज़ुअलाइज़ेशन: सुरक्षा रुझान, अनुपालन स्थिति और परिचालन मेट्रिक्स देखने के लिए कार्यपुस्तिकाएं और डैशबोर्ड प्रदान करता है।

पूर्वावश्यकताएँ

सुरक्षा लॉग संग्रह और विश्लेषण के लिए Azure मॉनिटर का उपयोग करने के लिए, आपको निम्नलिखित वस्तुओं की आवश्यकता होगी:

  1. सक्रिय Azure सदस्यता: संसाधन बनाने और प्रबंधित करने के लिए एक Azure सदस्यता।
  2. प्रशासनिक पहुंच: Azure पोर्टल (https://portal.azure.com) में मालिक, योगदानकर्ता या लॉग एनालिटिक्स योगदानकर्ता की भूमिका वाला एक खाता।
  3. मौजूदा एज़्योर संसाधन: एज़्योर संसाधन (वर्चुअल मशीन, नेटवर्क, एप्लिकेशन आदि) जिनकी आप निगरानी करना चाहते हैं।

चरण दर चरण: एज़्योर मॉनिटर के साथ सुरक्षा लॉग का संग्रह और विश्लेषण

आइए एक लॉग एनालिटिक्स कार्यक्षेत्र स्थापित करें और सुरक्षा लॉग एकत्र करें।

1. लॉग एनालिटिक्स वर्कस्पेस बनाना

लॉग एनालिटिक्स कार्यक्षेत्र लॉग डेटा संग्रहीत करने के लिए एक एकल वातावरण है।

  1. अपना ब्राउज़र खोलें और Azure पोर्टल पर जाएँ: https://portal.azure.com
  2. लॉग इन करेंn ऐसे खाते के साथ जिसके पास आवश्यक अनुमतियाँ हैं।
  3. शीर्ष खोज फ़ील्ड में, लॉग एनालिटिक्स वर्कस्पेस टाइप करें और परिणामों से इसे चुनें।

  4. + बनाएँ पर क्लिक करें।

  5. बुनियादी बातें:

    • सदस्यता: अपनी सदस्यता चुनें।
    • संसाधन समूह: एक नया संसाधन समूह बनाएं (उदाहरण के लिए rg-loganalytics) या किसी मौजूदा का चयन करें।
    • लॉग एनालिटिक्स वर्कस्पेस नाम: इसे एक अद्वितीय नाम दें (उदाहरण: ला-सिक्योरिटी-वर्कस्पेस)।
    • क्षेत्र: क्षेत्र का चयन करें।
  6. 'समीक्षा + बनाएं' पर क्लिक करें और फिर बनाएं पर क्लिक करें।

2. सुरक्षा डेटा स्रोतों को जोड़ना

आइए कुछ सामान्य सुरक्षा डेटा स्रोतों को अपने कार्यक्षेत्र से जोड़ें।

2.1. Azure गतिविधि लॉग कनेक्ट करना (Azure गतिविधि लॉग)

Azure गतिविधि लॉग आपके Azure सदस्यता में संसाधन निर्माण, अद्यतन और विलोपन सहित नियंत्रण विमान घटनाओं का रिकॉर्ड प्रदान करता है।

  1. Azure पोर्टल में, अपने लॉग एनालिटिक्स कार्यक्षेत्र (la-security-workspace) पर नेविगेट करें।
  2. बाएं नेविगेशन फलक में, डेटा स्रोत के अंतर्गत, डायग्नोस्टिक लॉग चुनें।
  3. +डायग्नोस्टिक कॉन्फ़िगरेशन जोड़ें पर क्लिक करें।
  4. वह सदस्यता चुनें जिसकी आप निगरानी करना चाहते हैं।
  5. डायग्नोस्टिक कॉन्फ़िगरेशन नाम: इसे एक नाम दें (उदा: डायग-एक्टिविटीलॉग)।
  6. लॉग श्रेणियाँ: एक्टिविटीलॉग जांचें।
  7. गंतव्य विवरण: लॉग एनालिटिक्स वर्कस्पेस पर भेजें चुनें और अपना वर्कस्पेस चुनें (ला-सिक्योरिटी-वर्कस्पेस)।
  8. सहेजें पर क्लिक करें।

2.2. Azure सक्रिय निर्देशिका ऑडिट लॉग कनेक्ट करना (Azure AD ऑडिट लॉग)

Azure AD ऑडिट लॉग उपयोगकर्ता और निर्देशिका-संबंधी गतिविधियों जैसे लॉगिन, समूह परिवर्तन और पासवर्ड रीसेट को रिकॉर्ड करता है।

  1. Azure पोर्टल में, Azure सक्रिय निर्देशिका पर जाएँ।
  2. बाएँ नेविगेशन फलक में, निगरानी के अंतर्गत, डायग्नोस्टिक लॉग चुनें।
  3. +डायग्नोस्टिक कॉन्फ़िगरेशन जोड़ें पर क्लिक करें।
  4. डायग्नोस्टिक कॉन्फ़िगरेशन नाम: इसे एक नाम दें (उदा: diag-azuread)।
  5. लॉग श्रेणियाँ: ऑडिटलॉग्स और साइनइनलॉग्स की जाँच करें।
  6. गंतव्य विवरण: लॉग एनालिटिक्स वर्कस्पेस पर भेजें चुनें और अपना वर्कस्पेस चुनें (ला-सिक्योरिटी-वर्कस्पेस)।
  7. सहेजें पर क्लिक करें।

2.3. Azure संसाधन लॉग कनेक्ट करना (वर्चुअल मशीनें)

वर्चुअल मशीनों से सुरक्षा लॉग एकत्र करने के लिए, आप लॉग एनालिटिक्स एजेंट स्थापित कर सकते हैं।

  1. Azure पोर्टल में, अपनी वर्चुअल मशीनों में से किसी एक पर नेविगेट करें।
  2. बाएं नेविगेशन फलक में, निगरानी के अंतर्गत, डायग्नोस्टिक सेटिंग्स चुनें।
  3. +डायग्नोस्टिक कॉन्फ़िगरेशन जोड़ें पर क्लिक करें।
  4. डायग्नोस्टिक कॉन्फ़िगरेशन नाम: इसे एक नाम दें (उदा: diag-vm-security)।
  5. लॉग: सुरक्षा जांचें (विंडोज/लिनक्स सुरक्षा इवेंट लॉग के लिए)।
  6. गंतव्य विवरण: लॉग एनालिटिक्स वर्कस्पेस पर भेजें चुनें और अपना वर्कस्पेस चुनें (ला-सिक्योरिटी-वर्कस्पेस)।
  7. सहेजें पर क्लिक करें।

3. कुस्टो क्वेरी लैंग्वेज (KQL) के साथ सुरक्षा लॉग का विश्लेषण

KQL लॉग एनालिटिक्स में डेटा क्वेरी करने के लिए उपयोग की जाने वाली भाषा है। आइए कुछ सामान्य सुरक्षा प्रश्नों का पता लगाएं।

  1. Azure पोर्टल में, अपने लॉग एनालिटिक्स कार्यक्षेत्र (la-security-workspace) पर नेविगेट करें।
  2. बाएँ नेविगेशन फलक में, लॉग चुनें।
  3. क्वेरी विंडो खुल जाएगी. आप यहां अपनी KQL क्वेरी टाइप करना शुरू कर सकते हैं।

सुरक्षा के लिए KQL क्वेरीज़ के उदाहरण:

  • Azure AD विफल लॉगिन इवेंट (पिछले 24 घंटे): कुस्टो साइनइनलॉग्स | जहां टाइमजेनरेटेड > पहले (24 घंटे) | जहां परिणाम प्रकार != 0 | UserDisplayName, IPAddress, ResultDescription द्वारा गिनती() को सारांशित करें | count_desc द्वारा ऑर्डर करें

    • स्पष्टीकरण: यह क्वेरी पिछले 24 घंटों में सभी असफल लॉगिन ईवेंट (परिणाम प्रकार! = 0) की खोज करती है, उन्हें उपयोगकर्ता, आईपी पते और परिणाम विवरण के आधार पर सारांशित करती है, और उन्हें उलटी गिनती के अनुसार क्रमबद्ध करती है।

  • एज़्योर एक्टिविटी लॉग में महत्वपूर्ण प्रशासनिक गतिविधियाँ (पिछले 7 दिन): कुस्टो AzureActivity | जहां टाइमजेनरेटेड > पहले(7 दिन) | जहां ऑपरेशननामवैल्यू में "लिखें" या ऑपरेशननामवैल्यू में "हटाएं" शामिल है | जहां ActivityStatusValue == "सफलता" | प्रोजेक्ट टाइमजेनरेटेड, कॉलर, ऑपरेशननाम, रिसोर्सग्रुप, रिसोर्स, _ResourceId | टाइमजेनरेटेड विवरण द्वारा आदेश

    • स्पष्टीकरण: यह क्वेरी WRITE (बनाएं/अपडेट करें) संचालन की पहचान करती हैऔर पिछले 7 दिनों में Azure गतिविधि लॉग में फ़ाइलों को हटाएँ, समय, कॉलर और प्रभावित संसाधन जैसे प्रासंगिक फ़ील्ड पेश करते हुए।

  • वीएम सुरक्षा घटनाएँ (विंडोज़ पर विफल लॉगिन प्रयास)*: कुस्टो सुरक्षा घटना | जहां इवेंट आईडी == 4625 // विंडोज पर असफल लॉगऑन प्रयासों के लिए इवेंट आईडी | जहां टाइमजेनरेटेड > पहले (24 घंटे) | खाता, कंप्यूटर, आईपीएड्रेस द्वारा गिनती() को सारांशित करें | count_desc द्वारा ऑर्डर करें

    • स्पष्टीकरण: यह क्वेरी पिछले 24 घंटों में इवेंटआईडी 4625 (विफल लॉगिन प्रयास) के साथ विंडोज सुरक्षा घटनाओं की खोज करती है, जो खाते, कंप्यूटर और आईपी पते के आधार पर सारांशित होती है।

  • डेटा विज़ुअलाइज़ेशन: क्वेरी चलाने के बाद, आप डेटा को अधिक समझने योग्य तरीके से प्रस्तुत करने के लिए विज़ुअलाइज़ेशन प्रकार (जैसे पाई चार्ट, बार चार्ट) को बदल सकते हैं।

4. सुरक्षा अलर्ट बनाना

लॉग में विशिष्ट पैटर्न का पता चलने पर सुरक्षा टीमों को सूचित करने के लिए अलर्ट कॉन्फ़िगर किया जा सकता है।

  1. एक KQL क्वेरी चलाने के बाद जो एक सुरक्षा घटना की पहचान करती है जिसे आप मॉनिटर करना चाहते हैं, शीर्ष टूलबार में +नया अलर्ट नियम पर क्लिक करें।

  2. शर्त: KQL क्वेरी स्वचालित रूप से पॉप्युलेट हो जाएगी। 'अलर्ट लॉजिक' कॉन्फ़िगर करें (उदाहरण के लिए 'परिणामों की संख्या' '5 मिनट की अवधि में' '5' से अधिक)।

  3. क्रियाएँ:
    • + एक्शन ग्रुप जोड़ें पर क्लिक करें।
    • एक नया एक्शन ग्रुप बनाएं (उदाहरण के लिए एक्शनग्रुप-सिक्योरिटी) या किसी मौजूदा को चुनें।
    • वांछित क्रियाओं को कॉन्फ़िगर करें, जैसे ईमेल/एसएमएस/पुश/वॉयस, वेबहुक, ऑटोमेशन (लॉजिक ऐप या रनबुक को ट्रिगर करने के लिए)।
  4. विवरण: चेतावनी नियम को एक नाम दें (उदाहरण: Alerta_Logins_Falhos_AzureAD), एक विवरण और गंभीरता को परिभाषित करें।
  5. 'समीक्षा + बनाएं' पर क्लिक करें और फिर बनाएं पर क्लिक करें।

5. सुरक्षा विज़ुअलाइज़ेशन के लिए कार्यपुस्तिकाओं का उपयोग करना

कार्यपुस्तिकाएँ लचीले कैनवस हैं जिनका उपयोग डेटा का विश्लेषण करने और दृश्य रिपोर्ट बनाने के लिए किया जा सकता है।

  1. Azure पोर्टल में, अपने लॉग एनालिटिक्स कार्यक्षेत्र (la-security-workspace) पर नेविगेट करें।
  2. बाएँ नेविगेशन फलक में, सामान्य के अंतर्गत, कार्यपुस्तिकाएँ चुनें।
  3. +नया पर क्लिक करें।
  4. इंटरैक्टिव रिपोर्ट बनाने के लिए आप टेक्स्ट, क्वेरीज़ (केक्यूएल), मेट्रिक्स और पैरामीटर्स जोड़ सकते हैं।
  5. एक KQL क्वेरी जोड़ें और विज़ुअलाइज़ेशन को एक ग्राफ़ पर सेट करें। कार्यपुस्तिका सहेजें.

सत्यापन और परीक्षण

कॉन्फ़िगरेशन को सत्यापित करने के लिए, आपको सुरक्षा ईवेंट उत्पन्न करने की आवश्यकता होगी जो आपके प्रश्नों और अलर्ट को ट्रिगर करते हैं।

  1. परिदृश्य (विफल लॉगिन): Azure पोर्टल या Azure AD-एकीकृत एप्लिकेशन में गलत क्रेडेंशियल (आपके अलर्ट नियम में परिभाषित सीमा से अधिक) के साथ कई बार लॉग इन करने का प्रयास करें।
  2. अपेक्षित कार्रवाई:
    • विफल लॉगिन ईवेंट लॉग एनालिटिक्स लॉग ('साइनइनलॉग्स' तालिका) में दिखाई देने चाहिए।
    • कॉन्फ़िगर किया गया सुरक्षा अलर्ट ट्रिगर होना चाहिए, और आपको एक अधिसूचना (ईमेल, एसएमएस, आदि) प्राप्त होनी चाहिए।
  3. सत्यापन:
    • लॉग एनालिटिक्स में 'साइनइनलॉग्स |' क्वेरी के साथ लॉग की जांच करें जहां टाइमजेनरेटेड > पहले(5मी) | जहां परिणाम प्रकार != 0` है।
    • अलर्ट अधिसूचना के लिए एज़्योर मॉनिटर या अपने ईमेल इनबॉक्स में 'सुरक्षा अलर्ट' अनुभाग देखें।

सुरक्षा युक्तियाँ और सर्वोत्तम प्रथाएँ

  • डेटा प्रतिधारण: अपने संगठन की अनुपालन आवश्यकताओं (उदाहरण के लिए 90 दिन, 1 वर्ष) के अनुसार लॉग एनालिटिक्स डेटा प्रतिधारण कॉन्फ़िगर करें।
  • एक्सेस कंट्रोल: लॉग एनालिटिक्स कार्यक्षेत्र के लिए भूमिका-आधारित एक्सेस कंट्रोल (आरबीएसी) लागू करें ताकि यह सुनिश्चित किया जा सके कि केवल अधिकृत उपयोगकर्ता ही सुरक्षा लॉग तक पहुंच और क्वेरी कर सकें।
  • SIEM/SOAR एकीकरण: उन्नत घटना का पता लगाने और प्रतिक्रिया क्षमताओं के लिए, लॉग एनालिटिक्स को Microsoft सेंटिनल जैसे SIEM के साथ एकीकृत करें। यह घटना सहसंबंध, प्रतिक्रिया स्वचालन और ऑर्केस्ट्रेशन को सक्षम बनाता है।
  • लागत अनुकूलन: लॉग एनालिटिक्स में शामिल डेटा की मात्रा की निगरानी करें। केवल प्रासंगिक लॉग एकत्र करने के लिए डायग्नोस्टिक फ़िल्टर का उपयोग करें और लागतों को अनुकूलित करने के लिए अत्यधिक डेटा एकत्र करने से बचें।
  • कुशल KQL क्वेरीज़: क्वेरी प्रदर्शन को अनुकूलित करने और खोज समय को कम करने के लिए KQL को कुशलतापूर्वक सीखें और उपयोग करें।
  • साझा कार्यपुस्तिकाएँ: सुरक्षा डेटा के सहयोगात्मक विज़ुअलाइज़ेशन और विश्लेषण के लिए अपनी टीम के साथ उपयोगी कार्यपुस्तिकाएँ बनाएँ और साझा करें।
  • निरंतर निगरानी: उत्पन्न अलर्ट की नियमित रूप से समीक्षा करें और तदनुसार नियमों को समायोजित करेंझूठी सकारात्मकता को कम करने और यह सुनिश्चित करने के लिए आवश्यक है कि वास्तविक खतरों का पता लगाया जाए।

सामान्य समस्या निवारण

  • लॉग एनालिटिक्स में लॉग दिखाई नहीं दे रहे हैं:
    • सत्यापित करें कि डेटा स्रोत के लिए डायग्नोस्टिक्स कॉन्फ़िगरेशन सही है और सही लॉग एनालिटिक्स कार्यक्षेत्र की ओर इशारा कर रहा है।
    • सुनिश्चित करें कि लॉग एनालिटिक्स एजेंट स्थापित है और यदि लागू हो तो वीएम पर सही ढंग से काम कर रहा है।
    • कार्यक्षेत्र में लॉग प्रदर्शित होने में थोड़ी देरी (कुछ मिनट) हो सकती है।
    • लॉग भेजने वाली पहचान की अनुमतियों की जाँच करें।
  • अलर्ट ट्रिगर नहीं किए जा रहे हैं*:
    • जांचें कि क्या अलर्ट नियम सक्षम है।
    • पुष्टि करें कि चेतावनी नियम में KQL क्वेरी मैन्युअल रूप से चलाने पर अपेक्षित परिणाम दे रही है।
    • 'अलर्ट लॉजिक' (थ्रेसहोल्ड, फ्रीक्वेंसी) की जांच करें ताकि यह सुनिश्चित हो सके कि यह आपके द्वारा उत्पन्न की जा रही घटनाओं से ट्रिगर हो रहा है।
    • यह सुनिश्चित करने के लिए 'एक्शन ग्रुप' की जाँच करें कि सूचनाएं सही ढंग से सेट की गई हैं और प्राप्तकर्ता ईमेल/एसएमएस प्राप्त कर रहे हैं।
  • धीमी या जटिल KQL क्वेरी:
    • जितनी जल्दी हो सके डेटा को फ़िल्टर करने के लिए क्वेरी की शुरुआत में कहां और प्रोजेक्ट जैसे ऑपरेटरों का उपयोग करके अपनी क्वेरी को अनुकूलित करें।
    • बड़े डेटा सेट पर `ज्वाइन' ऑपरेटरों के अत्यधिक उपयोग से बचें।
    • जटिल, पुन: प्रयोज्य प्रश्नों के लिए KQL फ़ंक्शन बनाने पर विचार करें।
  • चेतावनी में गलत सकारात्मक बातें:
    • संवेदनशीलता को कम करने के लिए अलर्ट लॉजिक को समायोजित करें (सीमा बढ़ाएँ, समय विंडो समायोजित करें)।
    • KQL क्वेरी को अधिक विशिष्ट बनाने के लिए परिष्कृत करें और वैध घटनाओं को फ़िल्टर करें।
    • ज्ञात और सुरक्षित गतिविधियों को अनदेखा करने के लिए क्वेरी के भीतर एक श्वेतसूची का उपयोग करने पर विचार करें।

निष्कर्ष

Azure मॉनिटर और इसके लॉग एनालिटिक्स घटक किसी भी Azure वातावरण में सुरक्षा लॉग एकत्र करने और उनका विश्लेषण करने के लिए अपरिहार्य उपकरण हैं। कई स्रोतों से लॉग डेटा को केंद्रीकृत करके, KQL के साथ शक्तिशाली क्वेरी को सक्षम करके, और अलर्टिंग और विज़ुअलाइज़ेशन क्षमताओं की पेशकश करके, Azure मॉनिटर सुरक्षा टीमों को अपने वातावरण में गहरी दृश्यता बनाए रखने के लिए सशक्त बनाता है। खतरों का सक्रिय रूप से पता लगाने, घटनाओं की कुशलता से जांच करने और नियामक अनुपालन सुनिश्चित करने के लिए इन क्षमताओं को प्रभावी ढंग से लागू करना महत्वपूर्ण है। इस व्यावहारिक मार्गदर्शिका के साथ, सुरक्षा पेशेवर और आईटी प्रशासक अपने संगठनों की सुरक्षा के लिए कच्चे लॉग डेटा को कार्रवाई योग्य सुरक्षा खुफिया में बदलने, एज़्योर मॉनिटर को कॉन्फ़िगर करने, मान्य करने और प्रबंधित करने के लिए अच्छी तरह से सुसज्जित होंगे।

संदर्भ:

[1] माइक्रोसॉफ्ट लर्न। एज़्योर मॉनिटर का अवलोकन। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/azure-monitor/overview [2] माइक्रोसॉफ्ट लर्न। एज़्योर मॉनिटर लॉग के लिए सर्वोत्तम अभ्यास। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/azure-monitor/logs/best-practices-logs [3] माइक्रोसॉफ्ट लर्न। कुस्टो क्वेरी लैंग्वेज (KQL) का अवलोकन। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/data-explorer/kusto/query/ [4] माइक्रोसॉफ्ट लर्न। लॉग एनालिटिक्स कार्यक्षेत्र में Azure गतिविधि लॉग एकत्र करें। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/azure-monitor/essentials/activity-log?tabs=azure-portal [5] माइक्रोसॉफ्ट लर्न। Azure AD लॉग को Azure मॉनिटर लॉग के साथ एकीकृत करें। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/active-directory/reports-monitoring/howto-integrate-activity-logs-with-log-analytics [6] माइक्रोसॉफ्ट लर्न। लॉग एनालिटिक्स एजेंट के साथ वर्चुअल मशीनों से इवेंट और प्रदर्शन काउंटर एकत्र करें। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/azure-monitor/agents/agent-windows [7] माइक्रोसॉफ्ट लर्न। Azure मॉनिटर का उपयोग करके लॉग अलर्ट बनाएं, देखें और प्रबंधित करें। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/azure-monitor/alerts/tutorial-log-alert [8] माइक्रोसॉफ्ट लर्न। एज़्योर मॉनिटर वर्कबुक। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/azure-monitor/visualize/workbooks-overview