全部產品
Search

搜尋本產品

    Security Center:匯入Azure日誌資料

    文件中心

    Security Center:匯入Azure日誌資料

    更新時間:Dec 20, 2025

    Security Center的威脅分析與響應(CTDR)功能,通過標準Kafka協議接入Azure事件中心(Event Hub)的日誌,協助實現跨雲環境的統一安全管理和威脅檢測。

    工作原理

    本方案利用Azure事件中心對Apache Kafka協議的相容性,將事件中心類比為一個Kafka服務。Security Center作為Kafka用戶端,通過指定的存取點、Topic和認證資訊,從事件中心擷取日誌資料,進行統一的標準化解析和威脅檢測。配置流程如下:

    image

    在Azure準備事件中心(Event Hub)

    說明

    詳細指引請參考Azure官方文檔:使用 Azure 門戶建立事件中心

    步驟一:建立資源群組

    1. 登入Azure控制台

    2. 在左側導覽列中,選擇資源群組,然後選擇建立image.png

    3. 建立資源群組頁面填寫配置資訊後,單擊查看 + 建立

      • 訂閱:請選擇要在其中建立資源群組的 Azure 訂閱的名稱。

      • 資源群組名稱: 自訂資源群組唯一名稱。

      • 地區:選擇資源群組所在的地區

    4. 確認資訊後,單擊建立

    步驟二:建立Event Hub命名空間

    1. 在左側導覽列中,選擇所有服務。在分析服務地區,單擊事件中心

      image.png

    2. 事件中心頁面,單擊建立並參照如下說明,填寫配置資訊。

      • 訂閱:選擇步驟一中填寫的訂閱名稱

      • 資源群組:選擇在步驟一中建立的資源群組

      • 命名空間名稱:自訂命名空間的名稱,輸入框右下角即為空白間訪問地址。

        重要

        命名空間名稱決定了後續 Kafka 存取點(Broker)的服務地址。

        image

      • 地區:選擇在步驟一中建立的資源群組所在地區

      • 定價層:根據業務需求配置,預設選擇基本

        說明

        各層之間的差異請參見配額和限制事件中心進階版事件中心專用層

      • 輸送量單位/處理單元(進階層):保持預設配置即可。

        說明

        更多輸送量單位或處理單位說明,請參見事件中心的延展性

      • 自動擴充:根據業務需求,決定是否啟用此功能。

    3. 填寫完配置資訊後,在頁面底部單擊審閱 + 建立

    4. 確認配置資訊無誤後,單擊建立並等待部署完成。

    5. 部署完成頁,單擊轉到資源,可跳轉至命名空間詳情頁。

      說明

      事件中心首頁列表中,單擊空間名稱,查看並進入命名空間詳情頁。

    步驟三:建立事件中心

    1. 在步驟二建立的命名空間詳情頁,單擊+ 事件中心

    2. 在建立頁填寫下拉資訊後,單擊審閱 + 建立

      • 名稱:自訂Event Hub的名稱。

        重要

        Event Hub名稱即為後續配置Kafka時對應的Topic,請設定具有代表性且易於尋找理解的名稱。

      • 其餘配置:保持預設即可。

    3. 在資訊確認頁,單擊建立後,等待建立任務完成。

    4. 返回命名空間首頁,可在事件中心地區查看建立的資料。

    步驟四:擷取主連接字串

    1. 在命名空間頁面,單擊左側設定下的共用存取原則

    2. 單擊主策略RootManageSharedAccessKey名稱,在策略詳情面板,複製主連接字串

      重要

      主連接字串將在後續匯入配置 Kafka時,作為身分識別驗證憑據(即密碼)使用。

    image.png

    步驟五:向事件中心寫入資料

    請參考Azure官方文檔說明,將需要分析的資料寫入步驟三建立的事件中心。參考文檔如下:

    在Security Center配置資料匯入

    步驟一:授權Security Center訪問Event Hub

    1. 訪問Security Center控制台-威脅分析與響應-接入中心,在頁面左側頂部,選擇需防護資產所在的地區:中國內地非中國內地

    2. 多云配置管理頁簽,選擇多云资产後,單擊新增授权,下拉選擇IDC。在彈出的面板中進行如下配置:

      • 廠商:選擇 Apache

      • 接入方式:選擇 Kafka

      • 存取點<YOUR-NAMESPACE>.servicebus.windows.net:9093

        說明

        <YOUR-NAMESPACE>替換成Event Hub命名空間名稱

      • 使用者名稱:固定為$ConnectionString,不可更改。

      • 密碼:Event Hub的主連接字串

      • 通訊協定sasl_ssl

      • SASL 認證機制plain

    3. 配置同步策略

      AK服務狀態檢查:不涉及,跳過即可。

    步驟二:建立資料匯入任務

    1. 建立資料來源

      為Azure日誌資料建立一個資料來源,若已建立請跳過此步驟。

      1. 訪問Security Center控制台-威脅分析與響應-接入中心,在頁面左側頂部,選擇需防護資產所在的地區:中國內地非中國內地

      2. 資料來源頁簽,建立接收日誌的資料來源。具體操作請參見建立資料來源:日誌未接入Log Service(SLS)

        • 來源資料源類型:可選擇CTDR專屬資料擷取通道(推薦)或使用者側Log Service

        • 接入執行個體:建議建立日誌庫(Logstore),進行資料隔離。

    2. 數據匯入頁簽,單擊新增數據匯入。在彈出的面板中進行如下配置:

      • 資料來源類型:Kafka。

      • 終端節點<YOUR-NAMESPACE>.servicebus.windows.net:9093

      • Topics:即為建立事件中心時設定的Event Hub的名稱。

      • 實值型別:json。

    3. 配置目標資料來源

      • 資料來源名稱:選擇在本節建立資料來源步驟中建立的資料來源。

      • 目標Logstore:選擇在本節建立資料來源步驟中設定的日誌庫(Logstore)

    4. 單擊確定儲存配置:匯入配置完成後,Security Center將自動從Azure Event Hub擷取日誌。

    分析匯入資料

    資料成功接入後,需配置相應的解析和檢測規則,才能讓Security Center對這些日誌進行分析。

    1. 建立新的接入策略

      參考產品接入,建立新的接入策略,配置如下:

      • 資料來源:選擇資料匯入任務中配置的目標資料來源

      • 標準化規則:CTDR提供了適配部分雲產品的內建標準化規則,可直接選用。

      • 標準化方式:當接入日誌標準化為警示日誌時,僅支援“即時消費”方式標準化。

    2. 配置威脅檢測規則

      根據安全需求,在規則管理中啟用或建立日誌檢測規則,才能對日誌進行分析、產出警示並產生安全事件。具體操作,請參見規則管理

    image

    費用與成本

    本方案會涉及以下服務的費用,實施前請仔細閱讀各產品的計費文檔,做好成本預估。

    • Azure側事件中心定價

    • 阿里雲側:費用組成取決於選擇的資料存放區方式

      說明

      威脅分析與響應(CTDR)計費說明,請參見威脅分析與響應訂用帳戶威脅分析與響應隨用隨付

      Log Service(SLS)計費說明,請參見計費概述

      資料來源類型

      CTDR 計費項目

      SLS 計費項目

      特別說明

      CTDR專屬資料擷取通道

      • 日誌接入費用。

      • 日誌儲存、寫入費用。

      說明

      以上均消耗日志接入流量

      除日誌儲存和寫入外的其他費用(如公網流量等)。

      由CTDR 建立並管理 SLS 資源,因此日誌庫儲存和寫入費用由CTDR出賬。

      使用者側Log Service

      日誌接入費用,消耗日志接入流量

      日誌相關所有費用(包含日誌儲存和寫入、公網流量費用等)。

      日誌資源全部由Log Service(SLS)管理,因此日誌相關費用,均由SLS出賬。