存储在 Azure Sentinel 监视的存储帐户中的日志
Posted
技术标签:
【中文标题】存储在 Azure Sentinel 监视的存储帐户中的日志【英文标题】:Logs stored in storage account monitored by Azure Sentinel 【发布时间】:2021-08-08 21:04:20 【问题描述】:我想了解我是否将日志从日志分析工作区发送到 azure 中的存储帐户,这些日志是否有可能在使用存储连接器时由 Azure sentinel 监控,或者 azure sentinel 仅监控存储帐户日志
【问题讨论】:
【参考方案1】:听起来您希望读取 Azure 存储的内容并摄取到 Sentinel。如果是这样,您将需要custom connector。 GitHub 上有一个 Azure Function 示例here。
【讨论】:
是的,一种情况是,如果任何本地设备日志存储在 azure blob 中,sentinel 可以读取这些日志以处理任何与安全相关的事件 是的,它们可以通过自定义连接器实现。我知道上面的例子看起来很多,EvenGrid、StrQueue、AzFunction、LogA 但这只是一个例子。 EventGrid 需要在它们登陆时发送日志,如果您可以延迟一段时间,您可以将 AzFunction 配置为定期运行。以上是关于存储在 Azure Sentinel 监视的存储帐户中的日志的主要内容,如果未能解决你的问题,请参考以下文章
如何监视对 Azure 存储帐户防火墙规则所做的更改并发出警报
如何监视 Azure 存储容器/子文件夹中 Blob 的创建并触发逻辑应用发送电子邮件
ARM - 如何从存储帐户获取访问密钥,以便稍后在模板中的 AppSettings 中使用?