Microsoft a publié un outil permettant d’intégrer les journaux générés par Microsoft Azure dans votre SIEM (Security Information and Event Management). Le but est de vous donner un tableau de bord unique avec vos assets On-Premises ou dans le Cloud afin d’agréger, corréler, analyser et alerter des problèmes de sécurité de vos applications.
Pour intégrer les journaux des machines virtuelles, vous devez :
- Vous assurer que vous collectez bien les journaux dans votre compte de stockage Windows Azure Diagnostics
- Ouvrir l’invite de commande depuis C:\Program Files\Microsoft Azure Log Integration et exécuter azlog source add 'FriendlyNameForTheSource' WAD 'Storage account Name' 'StorageKey'
- Ouvrir l’invite de commande depuis C:\Program Files\Microsoft Azure Log Integration et exécuter :
- azlog createazureid
- azlog authorize 'Subscription Name'
- Les logs sont collectés dans Microsoft Azure et écrit dans les journaux d’évènements : Windows Event log –> Forwarded Events sur Azlog Integrator
- Vous pouvez ensuite collecter ces événements avec un connecteur vers votre SIEM (ex : Splunk Universal Forwarder or ArcSight Windows Event Smart Collector or QRadar WinCollect)
Prérequis : Windows Server 2012, Windows Server 2012 R2
Plus d’informations sur : https://blogs.msdn.microsoft.com/azuresecurity/2016/07/21/microsoft-azure-log-integration-preview/
Télécharger Microsoft Azure Log Integration for Azure logs (Preview)