Назад | Перейти на главную страницу

Как я могу собрать журналы событий безопасности с виртуальной машины Azure под управлением Windows и создать на их основе оповещение?

Следующий вопрос скорее академический. Я не думаю, что в этом есть большая практическая ценность, так как есть готовые решения получше.

Вопрос

Как я могу собрать события безопасности с виртуальной машины Azure под управлением Windows и создать предупреждение поверх нее. Чтобы электронное письмо отправлялось, если их больше, скажем, 30 событий безопасности в минуту?

Take 1

Однако это не позволяет мне добавлять события безопасности (только события приложения и системы).

Этот пакет аналитики не может собирать журнал событий «Безопасность», поскольку типы событий «Успешный аудит» и «Сбой аудита» в настоящее время не поддерживаются.

Дубль 2

При запросе сейчас чего-то вроде Event или Event | where ComputerName == "vm1" результаты не возвращаются. Похоже, что этот подход отправляет в Azure Monitor только метрики, а не журналы.


редактировать

Хорошо, вот что я выяснил.

С помощью настроек диагностики виртуальной машины можно записывать события безопасности в таблицу учетной записи хранения, а затем использовать Log Analytics Workspace и добавьте учетную запись хранения в качестве источника.

Однако это по-прежнему не дает возможности запрашивать события. По крайней мере, для меня Events стол всегда был пуст. Похоже, что сначала нужно преобразовать данные через Azure Solution. Однако я не смог найти ни одного события окна преобразования.

Для сбора журналов событий безопасности, поступающих из Windows, и реагирования на них, решение будет следующим: Azure Security Center. Однако до сих пор не знаю, как создать оповещение на основе этого ... так запутанно.