Creare un feed di Azure Event Hub

Supportato in:

Questo documento mostra come configurare un hub di eventi di Azure per inviare dati di sicurezza a Google Security Operations. Puoi creare fino a 10 feed di Azure Event Hub, che include sia feed attivi che inattivi.

Per configurare un feed di Azure, completa le seguenti procedure:

  1. Crea un hub di eventi in Azure: configura l' infrastruttura richiesta nel tuo ambiente Azure per ricevere e archiviare lo stream di dati di sicurezza.

  2. Configura il feed in Google SecOps: configura il feed in Google SecOps per connetterti all'hub di eventi di Azure e iniziare a importare i dati.

Creare un hub di eventi di Azure

Per creare un hub di eventi in Azure:

  1. Crea uno spazio dei nomi dell'hub di eventi e un hub di eventi.

    • Per garantire un'importazione ottimale dei dati, esegui il deployment dello spazio dei nomi dell'hub di eventi nella stessa regione della tua istanza di Google SecOps. Il deployment dell'hub di eventi in un'altra regione può ridurre la velocità effettiva importata in Google SecOps.

    • Imposta il numero di partizioni su 40 per una scalabilità ottimale. Per impostare più di 32 partizioni, devi avere il livello Premium di Azure Event Hubs.

    • Per evitare la perdita di dati dovuta ai limiti di quota di Google SecOps, imposta un periodo di conservazione lungo per l'hub di eventi. In questo modo, i log non vengono eliminati prima della ripresa dell'importazione dopo una limitazione della quota. Per saperne di più sulla conservazione degli eventi e sulle limitazioni del periodo di conservazione, consulta Conservazione degli eventi.

    • Per gli hub di eventi di livello Standard, attiva Auto inflate (Gonfiaggio automatico) per scalare automaticamente la velocità effettiva in base alle esigenze. Per saperne di più, consulta Fare lo scale up automatico delle unità di throughput di Azure Event Hubs.

    • Per i livelli Basic e Standard, un'unità di velocità effettiva (TU) in Azure Event Hub supporta fino a 1 MB al secondo di importazione dati. Se il volume di eventi in entrata supera la capacità delle TU configurate, potrebbe verificarsi una perdita di dati. Ad esempio, se configuri 5 TU, la velocità di importazione massima supportata è di 5 MB al secondo. Se gli eventi vengono inviati a 20 MB al secondo, l'hub di eventi potrebbe bloccarsi. Di conseguenza, i log potrebbero andare persi a livello di hub di eventi prima di raggiungere Google SecOps.

  2. Ottieni la stringa di connessione dell'hub di eventi richiesta da Google SecOps per importare i dati dall'hub di eventi di Azure. Questa stringa di connessione autorizza Google SecOps ad accedere e raccogliere i dati di sicurezza dall'hub di eventi. Hai due opzioni per fornire una stringa di connessione:

    • A livello di spazio dei nomi dell'hub di eventi: funziona per tutti gli hub di eventi all'interno dello spazio dei nomi. È un'opzione più semplice se utilizzi più hub di eventi e vuoi utilizzare la stessa stringa di connessione per tutti nella configurazione del feed.

    • A livello di hub di eventi: si applica a un singolo hub di eventi. Questa è un'opzione sicura se devi concedere l'accesso a un solo hub di eventi. Assicurati di rimuovere EntityPath dalla fine della stringa di connessione.

    Ad esempio, cambia Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME> in Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>.

  3. Configura le applicazioni, ad esempio Web Application Firewall o Microsoft Defender, in modo che inviino i log all'hub di eventi.

    Utenti di Microsoft Defender: quando configuri lo streaming di Microsoft Defender, assicurati di inserire il nome dell'hub di eventi esistente. Se lasci vuoto questo campo, il sistema potrebbe creare hub di eventi non necessari e consumare la quota di feed limitata. Per mantenere l'organizzazione, utilizza nomi di hub di eventi che corrispondano al tipo di log.

Configurare la sicurezza della rete (facoltativo)

Se limiti l'accesso alla rete allo spazio dei nomi dell'hub di eventi di Azure (ad esempio utilizzando firewall o endpoint privati), devi aggiungere gli indirizzi IP di Google SecOps a una lista consentita per assicurarti che Google SecOps possa connettersi e importare i dati.

Sono disponibili due opzioni:

  • Aggiungi alla lista consentita tutti gli indirizzi IP di Google (consigliato): per garantire una connettività ininterrotta, aggiungi alla lista consentita tutti gli indirizzi IP di Google. Puoi recuperare l'elenco degli indirizzi IP di Google dal file JSON pubblico: https://gstatic.com/ipranges/goog.json.
  • Aggiungi alla lista consentita gli indirizzi IP specifici della regione: se la tua policy di sicurezza richiede un elenco più limitato di indirizzi IP, contatta l'assistenza di Google SecOps per richiedere gli indirizzi IP specifici della regione in cui è stato eseguito il deployment della tua istanza di Google SecOps. Questi indirizzi IP possono cambiare se l'infrastruttura di Google SecOps viene aggiornata.

Configurare il feed di Azure

Per configurare il feed di Azure in Google SecOps:

  1. Nel menu Google SecOps, seleziona Impostazioni SIEM e poi fai clic su Feed.

  2. Fai clic su Aggiungi nuovo.

  3. Nel campo Nome feed, inserisci un nome per il feed.

  4. Nell'elenco Tipo di origine, seleziona Microsoft Azure Event Hub.

  5. Seleziona il Tipo di log. Ad esempio, per creare un feed per Open Cybersecurity Schema Framework, seleziona Open Cybersecurity Schema Framework (OCSF) come Tipo di log.

  6. Fai clic su Avanti. Viene visualizzata la finestra Aggiungi feed.

  7. Recupera le informazioni dall'hub di eventi che hai creato in precedenza nel portale di Azure per compilare i seguenti campi:

    • Nome hub di eventi: il nome dell'hub di eventi
    • Gruppo di consumer dell'hub di eventi: il gruppo di consumer associato all' hub di eventi

    • Stringa di connessione dell'hub di eventi: la stringa di connessione dell'hub di eventi

    • Stringa di connessione di Archiviazione Azure: facoltativo. La stringa di connessione di Blob Storage

    • Nome container di Archiviazione Azure: facoltativo. Il nome del container Blob Storage

    • Token SAS di Azure: facoltativo. Il token SAS

    • Spazio dei nomi dell'asset: facoltativo. Lo spazio dei nomi dell'asset

    • Etichette di importazione: facoltativo. L'etichetta da applicare agli eventi di questo feed

  8. Fai clic su Avanti. Viene visualizzata la schermata Finalizza.

  9. Esamina la configurazione del feed e poi fai clic su Invia.

Verificare il flusso di dati

Per verificare che i dati vengano inviati a Google SecOps e che l'hub di eventi funzioni correttamente, puoi eseguire i seguenti controlli:

  • In Google SecOps, esamina le dashboard e utilizza la ricerca Raw Log Scan o Unified Data Model (UDM) per verificare che i dati importati siano nel formato corretto.

  • Nel portale di Azure, vai alla pagina dell'hub di eventi e ispeziona i grafici che mostrano i byte in entrata e in uscita. Assicurati che le velocità in entrata e in uscita siano approssimativamente equivalenti, il che indica che i messaggi vengono elaborati e non ci sono backlog.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.