檢視次數:
啟用 Azure 活動日誌的雲端偵測,以獲得對您 Azure 雲端環境中使用者、服務和資源活動的可行性洞察。此功能提供全面的日誌攝取和進階 XDR 偵測,適用於 Azure 審核日誌、Azure VNET 流量日誌和 Azure AI 服務。
您可以在Cloud Accounts中為新的和現有的 Azure 訂閱啟用 Azure 活動記錄的雲端偵測。關於雲端 XDR 的詳細資訊,請參閱關於雲端XDR
注意
注意
若要啟用此功能,您必須在 Azure 中被指派金鑰密碼保險箱機密管理員角色。此角色在部署期間需要用於在 Azure 密碼保險箱中建立和管理機密。

步驟

  2. 為新的或現有的 Azure 訂閱啟用 Microsoft Azure 活動日誌的雲端偵測:
    1. 前往Cloud SecurityCloud Accounts
    2. 點擊 Azure 標籤。
    3. 點擊Add Subscription或從列表中選擇一個 Azure 訂閱。
    4. 在功能和權限頁面(如果您正在新增訂閱),或資源更新標籤(如果您正在配置現有訂閱),啟用「Cloud Detections for Azure Activity Logs」
  3. 儲存您的變更。如果您正在新增 Azure 訂閱,請完成新增訂閱的步驟。詳細資訊請參閱 新增 Azure 訂閱
  4. 將 Azure 配置為將活動日誌匯出至 Trend Vision One。
    1. 登入 Azure 入口網站。
    2. 前往Monitor > Activity log
    3. 點擊Export Activity Logs
    4. 訂閱清單中,選擇您想要匯出活動記錄的訂閱。
    5. 點擊Add diagnostic setting
    6. 為診斷設定提供一個名稱。
    7. Logs區域中,選擇Administrative
    8. 選擇Stream to an event hub,然後輸入以下內容:
      • 訂閱: {subscriptionID}
      • 事件中樞命名空間: aml-eventhub-ns-{訂閱ID的前8個字元}
      • 事件中心名稱:azure-activity-log
      • 事件中心策略名稱:RootManageSharedAccessKey
  5. 按一下「儲存」。