Следующий вопрос скорее академический. Я не думаю, что в этом есть большая практическая ценность, так как есть готовые решения получше.
Вопрос
Как я могу собрать события безопасности с виртуальной машины Azure под управлением Windows и создать предупреждение поверх нее. Чтобы электронное письмо отправлялось, если их больше, скажем, 30 событий безопасности в минуту?
Take 1
Однако это не позволяет мне добавлять события безопасности (только события приложения и системы).
Этот пакет аналитики не может собирать журнал событий «Безопасность», поскольку типы событий «Успешный аудит» и «Сбой аудита» в настоящее время не поддерживаются.
Дубль 2
При запросе сейчас чего-то вроде Event
или Event | where ComputerName == "vm1"
результаты не возвращаются. Похоже, что этот подход отправляет в Azure Monitor только метрики, а не журналы.
редактировать
Хорошо, вот что я выяснил.
С помощью настроек диагностики виртуальной машины можно записывать события безопасности в таблицу учетной записи хранения, а затем использовать Log Analytics Workspace
и добавьте учетную запись хранения в качестве источника.
Однако это по-прежнему не дает возможности запрашивать события. По крайней мере, для меня Events
стол всегда был пуст. Похоже, что сначала нужно преобразовать данные через Azure Solution
. Однако я не смог найти ни одного события окна преобразования.
Для сбора журналов событий безопасности, поступающих из Windows, и реагирования на них, решение будет следующим: Azure Security Center
. Однако до сих пор не знаю, как создать оповещение на основе этого ... так запутанно.