Ansichten:
Aktivieren Sie Cloud-Erkennungen für Azure-Aktivitätsprotokolle, um umsetzbare Einblicke in Benutzer-, Dienst- und Ressourcenaktivitäten in Ihren Azure-Cloud-Umgebungen zu gewinnen. Diese Funktion bietet umfassende Protokollaufnahme und erweiterte XDR-Erkennungen für Azure-Audit-Protokolle, Azure-VNET-Flussprotokolle und Azure-KI-Dienste.
Sie können Cloud-Erkennungen für Azure-Aktivitätsprotokolle sowohl bei neuen als auch bei bestehenden Azure-Abonnements in Cloud Accounts aktivieren. Weitere Informationen zu XDR für Cloud finden Sie unter Über XDR für Cloud
Hinweis
Hinweis
Um diese Funktion zu aktivieren, müssen Sie die Rolle Key Vault Secrets Officer in Azure zugewiesen haben. Diese Rolle ist erforderlich, um während der Bereitstellung Geheimnisse im Azure Key Vault zu erstellen und zu verwalten.

Prozedur

  2. Cloud-Erkennungen für Microsoft Azure-Aktivitätsprotokolle für ein neues oder bestehendes Azure-Abonnement aktivieren:
    1. Gehe zu Cloud SecurityCloud Accounts.
    2. Klicken Sie auf die Registerkarte Azure.
    3. Klicken Sie auf Add Subscription oder wählen Sie ein Azure-Abonnement aus der Liste aus.
    4. Auf der Seite Funktionen und Berechtigungen (wenn Sie ein neues Abonnement hinzufügen) oder auf der Registerkarte Ressourcenaktualisierung (wenn Sie ein bestehendes Abonnement konfigurieren), aktivieren Sie Cloud Detections for Azure Activity Logs.
  3. Speichern Sie Ihre Änderungen. Wenn Sie ein neues Azure-Abonnement hinzufügen, führen Sie die Schritte zum Hinzufügen des Abonnements aus. Weitere Informationen finden Sie unter Hinzufügen eines Azure-Abonnements.
  4. Konfigurieren Sie Azure, um Aktivitätsprotokolle an Trend Vision One zu exportieren.
    1. Melden Sie sich beim Azure-Portal an.
    2. Gehe zu Überwachen > Activity log.
    3. Klicken Sie auf Export Activity Logs.
    4. Wählen Sie aus der Subscription-Liste das Abonnement aus, für das Sie Aktivitätsprotokolle exportieren möchten.
    5. Klicken Sie auf Add diagnostic setting.
    6. Geben Sie einen Namen für die Diagnoseeinstellung an.
    7. Im Bereich Protokolle wählen Sie Administrative aus.
    8. Wählen Sie Stream to an event hub aus und geben Sie dann Folgendes ein:
      • Abonnement: {subscriptionID}
      • Ereignis-Hub-Namespace: aml-eventhub-ns-{first 8 characters of subscriptionID}
      • Ereignis-Hub-Name: azure-activity-log
      • Ereignis-Hub-Richtlinienname: RootManageSharedAccessKey
  5. Klicken Sie auf Save.