首页
学习
活动
专区
圈层
工具
发布
社区首页 >问答首页 >如何从基于windows的Azure收集安全事件日志并在其之上创建警报?

如何从基于windows的Azure收集安全事件日志并在其之上创建警报?
EN

Server Fault用户
提问于 2020-07-23 12:33:34
回答 1查看 4.2K关注 0票数 2

以下是一个学术性的问题。我不认为它有多少实际价值,因为它有更好的开箱即用的解决方案。

问题

如何从基于windows的Azure虚拟机收集安全事件并在其之上创建警报。这样,如果有更多的安全事件,比如每分钟30个安全事件,就会发出一封电子邮件?

采取1

  • 创建日志分析工作区
  • 添加虚拟机作为数据源(工作区数据源>虚拟机)
  • 配置应该收集的数据(高级设置>数据> Windows事件日志)

但是,这不允许我添加安全事件(只有应用程序和系统事件)。

此智能包无法收集“安全性”事件日志,因为当前不支持“审核成功”和“审核失败”事件类型。

采取2

  • 从VM本身启用诊断设置和从“日志”中选择“审核成功”和“审计失败”。
  • 在数据接收器下启用"Azure Monitor“

现在查询EventEvent | where ComputerName == "vm1"之类的内容时,不会返回任何结果。这种方法似乎只向Azure Monitor发送度量,而不发送日志

编辑

好的,这是我到目前为止所发现的。

通过使用VM诊断设置,可以将安全事件写入存储帐户表,然后使用Log Analytics Workspace并将存储帐户添加为源。

然而,这仍然不能提供查询事件的能力。至少对我来说,Events表总是空的。数据似乎首先需要通过Azure Solution进行转换。然而,我找不到一个转换窗口事件。

要收集来自Windows的安全事件日志并对其作出反应,解决方案将是Azure Security Center。仍然不知道如何根据这个来创建一个警报.太让人困惑了。

EN

回答 1

Server Fault用户

发布于 2020-11-17 21:47:16

我想你找到了答案,但对于那些不知道的人:

(是的,我同意这是令人困惑的,因为微软有指向几个位置的链接,在那里可以实现这一点,并且他们已经移动了配置菜单。)他们应该隐藏非典型的设置或者贴上“高级”的标签)

进入您的日志分析工作区。

打开“代理管理”。

下载并安装Windows代理。

就是这样,现在您正在收集所有与安全性相关的windows事件。

提示:您不需要进入日志分析高级部分并为windows配置任何附加的事件日志类型,除非您在事件ID相关日志的典型集合之外执行一些操作。

若要查看这些事件,请运行此查询:

SecurityEvent

或者如果你想要时间相关的东西:

SecurityEvent

TimeGenerated >ago(24小时)

\x{e76f} 10

票数 0
EN
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://serverfault.com/questions/1026419

复制
相关文章

相似问题

领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档