Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln innehåller instruktioner för att distribuera Azure Monitor på ett säkert sätt och förklarar hur Microsoft skyddar Azure Monitor.
Logginmatning och lagring
Bevilja åtkomst till data på arbetsytan baserat på behov
- Ange åtkomstkontrollläget för arbetsytan till Använd resurs- eller arbetsytebehörighet för att tillåta resursägare att använda resurskontext för att komma åt sina data utan att beviljas explicit åtkomst till arbetsytan. Detta förenklar konfigurationen av arbetsytan och hjälper till att säkerställa att användarna bara har åtkomst till de data de behöver.
Instruktioner: Hantera åtkomst till Log Analytics-arbetsytor - Tilldela lämplig inbyggd roll för att bevilja arbetsytebehörigheter till administratörer på prenumerations-, resursgrupps- eller arbetsytenivå beroende på deras ansvarsområde.
Instruktioner: Hantera åtkomst till Log Analytics-arbetsytor - Tillämpa RBAC på tabellnivå för användare som behöver åtkomst till en uppsättning tabeller över flera resurser. Användare med tabellbehörigheter har åtkomst till alla data i tabellen oavsett deras resursbehörigheter.
Instruktioner: Hantera åtkomst till Log Analytics-arbetsytor
Skydda loggdata under överföring
Om du använder agenter, anslutningsappar eller Logs-API:er för att fråga efter eller skicka data till din arbetsyta använder du TLS (Transport Layer Security) 1.2 eller senare för att säkerställa säkerheten för dina data under överföring. Äldre versioner av TLS och Secure Sockets Layer (SSL) har sårbarheter och även om de fortfarande kan fungera för att tillåta bakåtkompatibilitet rekommenderas de inte, och branschen har snabbt övergått till att överge stödet för dessa äldre protokoll.
PCI Security Standards Council fastställde en tidsfrist till den 30 juni 2018 för att inaktivera äldre versioner av TLS/SSL och uppgradera till säkrare protokoll. När Azure har upphört med äldre stöd kan klienter som inte kommunicerar helt via TLS 1.2 eller senare inte skicka eller fråga efter data till Azure Monitor-loggar.
Konfigurera inte uttryckligen dina agenter, dataanslutningsprogram eller API-program så att de endast använder TLS 1.2 om det inte behövs. Vi rekommenderar att de automatiskt identifierar, förhandlar och drar nytta av framtida säkerhetsstandarder. Annars kan du missa den extra säkerheten för de nyare standarderna och eventuellt uppleva problem om TLS 1.2 någonsin är inaktuell till förmån för dessa nyare standarder.
Viktigt!
I enlighet med azure wide legacy TLS-tillbakadragningen blockeras TLS 1.0/1.1-protokollet helt för Azure Monitor-loggar enligt datumen i följande tabell. För att tillhandahålla förstklassig kryptering använder Azure Monitor-loggarna redan TLS 1.2/1.3 som valfria krypteringsmekanismer.
| Ikraftträdandedatum | Fråga EFTER API-slutpunkter | TLS-protokollversion |
|---|---|---|
| den 1 juli 2025 | Loggar Fråga API-slutpunkter | TLS 1.2 eller senare |
| den 1 mars 2026 | Loggar inmatnings-API-slutpunkter | TLS 1.2 eller senare |
Rekommenderad åtgärd
Kontrollera att dina resurser som interagerar med Logs API-slutpunkter inte har några beroenden för TLS 1.0- eller 1.1-protokoll för att undvika eventuella avbrott i tjänsten.
Allmänna frågor om det äldre TLS-problemet eller hur du testar chiffersviter som stöds finns i Lösa TLS-problem och Azure Resource Manager TLS-support.
Konfigurera loggfrågegranskning
- Konfigurera loggfrågegranskning för att registrera information om varje fråga som körs på en arbetsyta.
Instruktioner: Revidera frågor i Azure Monitor-loggar - Behandla loggfrågegranskningsdata som säkerhetsdata och säker åtkomst till LAQueryLogs-tabellen på lämpligt sätt.
Instruktioner: Konfigurera åtkomst till data på arbetsytan baserat på behov. - Om du separerar dina drift- och säkerhetsdata skickar du granskningsloggarna för varje arbetsyta till den lokala arbetsytan eller konsoliderar i en dedikerad säkerhetsarbetsyta.
Instruktioner: Konfigurera åtkomst till data på arbetsytan baserat på behov. - Använd Log Analytics-arbetsyteinsikter för att granska granskningsdata för loggfrågor med jämna mellanrum.
Instruktioner: Log Analytics-arbetsyteinsikter. - Skapa aviseringsregler för loggsökning för att meddela dig om obehöriga användare försöker köra frågor.
Instruktioner: Aviseringsregler för loggsökning.
Säkerställa oföränderlighet för granskningsdata
Azure Monitor är en tilläggsbaserad dataplattform, men den innehåller bestämmelser för att ta bort data i efterlevnadssyfte. Så här skyddar du dina granskningsdata:
Ange ett lås på Log Analytics-arbetsytan för att blockera alla aktiviteter som kan ta bort data, inklusive rensning, tabellborttagning och ändringar av datakvarhållning på tabell- eller arbetsyta. Tänk dock på att det här låset kan tas bort.
Instruktioner: Lås dina resurser för att skydda infrastrukturenOm du behöver en helt manipulationssäker lösning rekommenderar vi att du exporterar dina data till en oföränderlig lagringslösning:
- Fastställ de specifika datatyper som ska exporteras. Alla loggtyper har inte samma relevans för efterlevnad, granskning eller säkerhet.
- Använd dataexport för att skicka data till ett Azure Storage-konto.
Instruktioner: Dataexport för Log Analytics-arbetsyta i Azure Monitor - Ange oföränderlighetsprinciper för att skydda mot datamanipulering.
Instruktioner: Konfigurera oföränderlighetsprinciper för blobversioner
Filtrera eller dölja känsliga data på din arbetsyta
Om dina loggdata innehåller känslig information:
- Filtrera poster som inte ska samlas in med hjälp av konfigurationen för den specifika datakällan.
- Använd en transformering om endast vissa kolumner i data ska tas bort eller döljas.
Instruktioner: Transformationer i Azure Monitor - Om du har standarder som kräver att ursprungliga data är oförändrade använder du "h"-literalen i KQL-frågor för att dölja frågeresultat som visas i arbetsböcker.
Instruktioner: Fördunklade strängliteraler
Rensa känsliga data som har samlats in av misstag
- Kontrollera regelbundet om det finns privata data som av misstag kan samlas in på din arbetsyta.
- Använd datarensning för att ta bort oönskade data. Observera att data i tabeller med Auxiliary plan för närvarande inte kan rensas.
Instruktioner: Hantera personliga data i Azure Monitor-loggar och Application Insights
Länka din arbetsyta till ett dedikerat kluster för ökad säkerhet
Azure Monitor krypterar alla vilande data och sparade frågor med hjälp av Microsoft-hanterade nycklar (MMK). Om du samlar in tillräckligt med data för ett dedikerat kluster länkar du din arbetsyta till ett dedikerat kluster för förbättrade säkerhetsfunktioner, inklusive:
- Kundhanterade nycklar för större flexibilitet och nyckellivscykelkontroll. Om du använder Microsoft Sentinel kontrollerar du att du är bekant med övervägandena i Konfigurera kundhanterad nyckel för Microsoft Sentinel.
- Customer Lockbox för Microsoft Azure för att granska och godkänna eller avvisa begäranden om åtkomst till kunddata. Customer Lockbox används när en Microsoft-tekniker behöver komma åt kunddata, oavsett om det är ett svar på ett kundinitierat supportärende eller ett problem som microsoft har identifierat. Låsbox kan för närvarande inte tillämpas på tabeller med Auxiliary plan.
Instruktioner: Skapa och hantera ett dedikerat kluster i Azure Monitor-loggar
Blockera åtkomst till arbetsytor från offentliga nätverk med hjälp av en privat Azure-länk
Microsoft skyddar anslutningar till offentliga slutpunkter med kryptering från slutpunkt till slutpunkt. Om du behöver en privat slutpunkt använder du azure private link för att tillåta resurser att ansluta till din Log Analytics-arbetsyta via auktoriserade privata nätverk. Du kan också använda Privatlänk för att tvinga inmatning av arbetsytsdata via ExpressRoute eller en VPN.
Instruktioner: Utforma din Azure Private Link-konfiguration
Application Insights TLS-dataintag
Stödda TLS-konfigurationer
Application Insights använder TLS (Transport Layer Security) 1.2 och 1.3. Dessutom stöds följande krypteringssviter och elliptiska kurvor i varje version.
| Utgåva | Chiffer-sviter | Elliptiska kurvor |
|---|---|---|
| TLS 1.2 | • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
• NistP384 • NistP256 |
| TLS 1.3 | • TLS_AES_256_GCM_SHA384 • TLS_AES_128_GCM_SHA256 |
• NistP384 • NistP256 |
Inaktuella TLS-konfigurationer (Transport Layer Security)
Viktigt!
För att förbättra säkerheten blockerar Azure följande TLS-konfigurationer för Application Insights den 1 maj 2025. Denna ändring är en del av avvecklingen av äldre TLS i Azure.
- Legacy TLS 1.2 och TLS 1.3 chifferpaket
- Legacy TLS elliptiska kurvor
TLS 1.2 och TLS 1.3
| Utgåva | Chiffer-sviter | Elliptiska kurvor |
|---|---|---|
| TLS 1.2 | * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_RSA_WITH_AES_256_GCM_SHA384 * TLS_RSA_WITH_AES_128_GCM_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA256 * TLS_RSA_WITH_AES_128_CBC_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA |
* Curve25519 |
| TLS 1.3 | * Curve25519 |
Mer information finns i TLS-stöd i Vanliga frågor och svar om Application Insights.
Aviseringar
Kontrollera behörigheter för regler för loggsökningslarm med hjälp av hanterade identiteter
En vanlig utmaning för utvecklare är hanteringen av hemligheter, autentiseringsuppgifter, certifikat och nycklar som används för att skydda kommunikationen mellan tjänster. Hanterade identiteter eliminerar behovet av att utvecklare hanterar dessa autentiseringsuppgifter. Om du anger en hanterad identitet för aviseringsreglerna för loggsökning får du kontroll och insyn i de exakta behörigheterna för aviseringsregeln. När som helst kan du visa regelns frågebehörigheter och lägga till eller ta bort behörigheter direkt från dess hanterade identitet.
Du måste använda en hanterad identitet om regelns fråga har åtkomst till Azure Data Explorer (ADX) eller Azure Resource Graph (ARG).
Instruktioner: Skapa eller redigera en varningsregel för loggsökning.
Tilldela rollen Övervakningsläsare till alla användare som inte behöver konfigurationsprivilegier
Förbättra säkerheten genom att ge användarna de minsta behörigheter som krävs för deras roll.
Instruktioner: Roller, behörigheter och säkerhet i Azure Monitor.
Använd säkra webhook-åtgärder där det är möjligt
Om din aviseringsregel innehåller en åtgärdsgrupp som använder webhook-åtgärder föredrar du att använda säkra webhook-åtgärder för starkare autentisering.
Instruktioner: Konfigurera autentisering för säker webhook.
Använd kundhanterade nycklar om du behöver din egen krypteringsnyckel för att skydda data och sparade frågor på dina arbetsytor
Azure Monitor krypterar alla data och sparade frågor i vila med hjälp av Microsoft-hanterade nycklar (MMK). Om du behöver din egen krypteringsnyckel och samlar in tillräckligt med data för ett dedikerat kluster använder du kundhanterade nycklar för större flexibilitet och nyckellivscykelkontroll.
Instruktioner: Kundhanterade krypteringsnycklar.
Om du använder Microsoft Sentinel läser duKonfigurera kundhanterad nyckel för Microsoft Sentinel.
Övervakning av virtuella datorer
Implementera säkerhetsövervakning av virtuella datorer med hjälp av Azure-säkerhetstjänster
Även om Azure Monitor kan samla in säkerhetshändelser från dina virtuella datorer är det inte avsett att användas för säkerhetsövervakning. Azure innehåller flera tjänster som Microsoft Defender för molnet och Microsoft Sentinel som tillsammans tillhandahåller en komplett säkerhetsövervakningslösning. Se Säkerhetsövervakning för en jämförelse av dessa tjänster.
Ansluta virtuella datorer till Azure Monitor via en privat slutpunkt med hjälp av en privat Azure-länk
Microsoft skyddar anslutningar till offentliga slutpunkter med kryptering från slutpunkt till slutpunkt. Om du behöver en privat slutpunkt använder du azure private link för att tillåta resurser att ansluta till din Log Analytics-arbetsyta via auktoriserade privata nätverk. Du kan också använda Privatlänk för att tvinga inmatning av arbetsytsdata via ExpressRoute eller en VPN.
Instruktioner: Utforma din Azure Private Link-konfiguration
Containerövervakning
Ansluta kluster till containerinsikter med hanterad identitetsautentisering
Hanterad identitetsautentisering är standardautentiseringsmetoden för nya kluster. Om du använder äldre autentisering migrerar du till hanterad identitet för att ta bort den certifikatbaserade lokala autentiseringen.
Instruktioner: Migrera till hanterad identitetsautentisering
Skicka data från kluster till Azure Monitor via en privat slutpunkt med hjälp av en privat Azure-länk
Azure Managed Service for Prometheus lagrar sina data på en Azure Monitor-arbetsyta, som använder en offentlig slutpunkt som standard. Microsoft skyddar anslutningar till offentliga slutpunkter med kryptering från slutpunkt till slutpunkt. Om du behöver en privat slutpunkt använder du azure private link för att tillåta att klustret ansluter till arbetsytan via auktoriserade privata nätverk. Privatlänk kan också användas för att leda arbetsytors datainmatning via ExpressRoute eller ett VPN.
Instruktioner: Mer information om hur du konfigurerar klustret för privat länk finns i Aktivera privat länk för Kubernetes-övervakning i Azure Monitor . Se Använda privata slutpunkter för Managed Prometheus och Azure Monitor-arbetsytan för information om hur du kör frågor mot dina data med privat länk.
Övervaka nätverkstrafik till och från kluster med hjälp av trafikanalys
Trafikanalys analyserar Azure Network Watcher NSG-flödesloggar för att ge insikter om trafikflödet i ditt Azure-moln. Använd det här verktyget för att säkerställa att det inte finns någon dataexfiltrering för klustret och för att identifiera om några onödiga offentliga IP-adresser exponeras.
Aktivera nätverksobservabilitet
Tillägg för nätverksobservabilitet för AKS ger observerbarhet i flera lager i Kubernetes-nätverksstacken. Övervaka och observera åtkomst mellan tjänster i klustret (öst-västlig trafik).
Instruktioner: Konfigurera containernätverksobservabilitet för Azure Kubernetes Service (AKS)
Skydda din Log Analytics-arbetsyta
Container Insights skickar data till en Log Analytics-arbetsyta. Se till att skydda logginmatningar och lagring på Din Log Analytics-arbetsyta.
Instruktioner: Logginmatning och lagring.
Så skyddar Microsoft Azure Monitor
Anvisningarna i den här artikeln bygger på Microsofts säkerhetsansvarsmodell. Som en del av den här modellen med delat ansvar tillhandahåller Microsoft dessa säkerhetsåtgärder till Azure Monitor-kunder:
- Säkerhet i Azure-infrastruktur
- Azure-kunddataskydd
- Kryptering av data under dataöverföring vid datainmatning
- Kryptering av vilande data med Microsoft-hanterade nycklar
- Microsoft Entra-autentisering för dataplansåtkomst
- Autentisering av Azure Monitor Agent och Application Insights med hanterade identiteter
- Privilegierad åtkomst till dataplansåtgärder med rollbaserad åtkomstkontroll (Azure RBAC)
- Efterlevnad av branschstandarder och föreskrifter
Vägledning och metodtips för Azure-säkerhet
Instruktioner för säker distribution i Azure Monitor baseras på och överensstämmer med Azures omfattande riktlinjer och metodtips för molnsäkerhet, bland annat:
- Cloud Adoption Framework, som ger säkerhetsvägledning för team som hanterar teknikinfrastrukturen.
- Azure Well-Architected Framework, som tillhandahåller metodtips för arkitektur för att skapa säkra program.
- Microsoft Cloud Security Benchmark (MCSB) som beskriver tillgängliga säkerhetsfunktioner och rekommenderade optimala konfigurationer.
- Nolltillit säkerhetsprinciper, som ger vägledning för säkerhetsteam att implementera tekniska funktioner för att stödja ett Nolltillit moderniseringsinitiativ.
Nästa steg
- Läs mer om att komma igång med Azure Monitor.