在 Azure 的安全运维实践中,高效的日志分析是实现威胁检测与合规审计的基石。通过整合 Azure Monitor、Log Analytics 以及 Azure Sentinel,可以构建一个集中化的日志收集与分析平台,从而全面掌控来自虚拟机、网络、身份系统等多源的安全数据。
一、理解Azure安全日志架构与核心组件
1.1 Azure Monitor 与 Log Analytics 核心概念
Azure Monitor 是 Azure 平台的综合监控服务,负责收集、分析并响应来自云端和本地环境的遥测数据。其核心组件 Log Analytics 工作区是日志数据的逻辑存储容器,所有数据以表的形式组织,并支持使用强大的 Kusto 查询语言(KQL)进行深度分析。
数据通过代理(如 Azure Monitor Agent)从虚拟机和应用程序等资源推送到工作区中。一个典型的性能查询示例如下:
Perf
| where ObjectName == “Processor” and CounterName == “% Processor Time”
| where CounterValue > 80
| summarize avg(CounterValue) by Computer
该查询从 Perf 表中筛选出过去一段时间内 CPU 使用率超过 80% 的服务器,并按计算机进行聚合,便于快速定位性能瓶颈。
1.2 配置诊断设置捕获关键事件
启用并正确配置诊断设置是获取安全可见性的第一步。你需要为关键资源(如虚拟机、Azure AD)配置诊断日志,将事件输出到 Log Analytics 工作区。
典型的配置流程包括:
- 选择目标资源。
- 在“诊断设置”中启用日志收集。
- 指定目标(如 Log Analytics 工作区)。
- 选择需要捕获的日志类别(例如
SecurityEvent、AuditEvent)。
以下 JSON 配置示例展示了如何启用安全事件日志并设置保留策略:
{
“logs”: [
{
“category”: “SecurityEvent”,
“enabled”: true,
“retentionPolicy”: {
“days”: 90,
“enabled”: true
}
}
]
}
参数 category 定义了日志类型,enabled 控制是否激活收集,而 retentionPolicy 则用于数据生命周期管理,这对于满足合规性要求至关重要。
二、使用Kusto查询语言(KQL)进行威胁狩猎
KQL 是查询和分析日志数据的核心语言,其链式语法(通过管道符 | 连接)非常直观,能够实现复杂的数据过滤与转换。
2.1 KQL基础与安全查询
一个基础的KQL查询通常从指定表开始。例如,查询过去7天内的成功登录事件:
SecurityEvent
| where TimeGenerated > ago(7d)
| where EventID == 4624
| project TimeGenerated, Computer, User
where:用于条件过滤。project:选择要输出的特定列。
在安全分析中,parse、split 等函数常用于从非结构化日志中提取关键信息,而 ipv4_is_in_range() 函数则可以直接判断IP地址是否属于已知的威胁范围。
2.2 识别异常登录行为实战
通过编写高效的KQL查询,可以快速从海量登录日志中识别可疑行为。例如,检测短时间内来自同一用户的高频失败登录尝试,这可能是暴力破解攻击的迹象:
SigninLogs
| where TimeGenerated > ago(24h)
| where ResultType != “0” // 筛选出非成功的登录
| summarize FailedAttempts = count(), DistinctIPs = dcount(IPAddress) by UserPrincipalName, bin(TimeGenerated, 1h)
| where FailedAttempts > 10 // 设定阈值
| order by FailedAttempts desc
此查询按用户和小时窗口聚合,找出过去24小时内失败登录超过10次的账户,并统计了涉及的独立IP数量,为安全分析提供了重要上下文。
2.3 关键日志类别与用途
了解不同日志表的用途是有效分析的前提。下表列出了常见的安全相关日志类别:
| 日志类型 |
主要用途 |
| Azure Activity Log |
记录订阅级别的资源管理操作(创建、删除、修改)。 |
| SigninLogs |
包含所有用户和应用程序的身份验证活动记录。 |
| SecurityEvent |
来自 Windows 虚拟机的操作系统级安全事件(如登录、权限变更)。 |
| AzureMetrics |
提供资源性能指标,辅助行为异常分析。 |
三、构建自动化响应与告警机制
高效的安全运维/DevOps不仅在于发现威胁,更在于快速响应。通过自动化可以显著缩短平均修复时间(MTTR)。
3.1 创建自定义告警规则
在 Log Analytics 或 Azure Sentinel 中,你可以基于 KQL 查询创建自定义告警规则。当查询结果满足特定条件(如返回行数大于0)时,系统便会触发告警。
例如,可以创建一个规则,用于监控是否有人尝试访问高度敏感的存储账户:
StorageBlobLogs
| where OperationName == “GetBlob” and StatusCode == 403 // 记录访问被拒的请求
| where Uri contains “confidential-data”
| summarize Attempts = count() by CallerIpAddress, bin(TimeGenerated, 5m)
| where Attempts > 5
3.2 集成 Azure Logic Apps 实现自动化流程
告警触发后,可以联动 Azure Logic Apps 等自动化工具执行预定义的响应动作。Logic Apps 提供可视化设计器,可以轻松构建包含条件判断和多项操作的工作流。
一个典型的自动化响应流程可能包括:
- 触发:接收来自 Sentinel 或 Monitor 的高严重性安全告警。
- 判断:检查告警实体(如可疑IP或用户)。
- 执行:
- 调用 Microsoft Graph API 临时禁用高风险用户账户。
- 在 IT 服务管理(ITSM)工具(如 ServiceNow)中自动创建紧急工单。
- 向安全团队的 Microsoft Teams 频道发送即时通知。
- 记录:将所有响应操作记录到审计日志中。
3.3 使用 Sentinel Playbook 进行 SOAR 编排
Azure Sentinel 将上述自动化流程封装为 Playbook。Playbook 本质上是由 Logic Apps 驱动的预定义响应剧本,可以实现更复杂的安全/渗透事件响应编排(SOAR)。
例如,可以创建一个 Playbook,专门处理“检测到恶意软件”这类告警。其自动化步骤可能包括:隔离受感染的虚拟机、拉取文件样本进行沙箱分析、并更新内部威胁情报库。
四、总结与最佳实践
有效的 Azure 安全日志管理是一个持续的过程,遵循以下最佳实践可以帮助你构建更稳固的防御体系:
- 全面接入:确保所有关键资源(计算、网络、身份、数据)的日志都已接入 Log Analytics 工作区。
- 查询优化:编写高效的 KQL 查询,善用时间范围和聚合函数,避免查询过于消耗资源。
- 分层告警:根据告警严重性(高、中、低)设置不同的通知渠道和响应流程,避免告警疲劳。
- 定期演练:定期测试自动化响应 Playbook,确保其在真实安全事件发生时能够按预期工作。
- 持续学习:云威胁 landscape 不断变化,需要持续关注新的攻击模式并更新你的检测规则。
通过掌握从日志采集、KQL 分析到自动化响应的完整链条,你将能够构建一个主动、智能的 Azure 安全运维体系,真正实现从“被动响应”到“主动防御”的转变。
发表于 7 天前
|
查看: 23|
回复: 0
