Azure Event Hub-Feed erstellen
In diesem Dokument wird beschrieben, wie Sie einen Azure Event Hub einrichten, um Sicherheitsdaten an Google Security Operations zu senden. Sie können bis zu 10 Azure Event Hub-Feeds erstellen, sowohl aktive als auch inaktive.
So richten Sie einen Azure-Feed ein:Event Hub in Azure erstellen:Richten Sie die erforderliche Infrastruktur in Ihrer Azure-Umgebung ein, um den Sicherheitsdatenstream zu empfangen und zu speichern.
Feed in Google SecOps konfigurieren:Konfigurieren Sie den Feed in Google SecOps, um eine Verbindung zu Ihrem Azure-Event Hub herzustellen und mit der Aufnahme von Daten zu beginnen.
Azure Event Hub erstellen
So erstellen Sie einen Event Hub in Azure:
Erstellen Sie einen Event Hubs-Namespace und einen Event Hub.
Um eine optimale Datenaufnahme zu gewährleisten, stellen Sie den Event Hub-Namespace in derselben Region wie Ihre Google SecOps-Instanz bereit. Wenn Sie den Ereignishub in einer anderen Region bereitstellen, kann der in Google SecOps aufgenommene Durchsatz reduziert werden.
Legen Sie die Partitionsanzahl auf 40 fest, um eine optimale Skalierung zu erreichen. Sie benötigen die Premium-Stufe von Azure Event Hubs, um mehr als 32 Partitionen festzulegen.
Um Datenverlust aufgrund von Google SecOps-Kontingentlimits zu vermeiden, legen Sie eine lange Aufbewahrungsdauer für Ihren Ereignishub fest. So wird verhindert, dass Logs gelöscht werden, bevor die Aufnahme nach einer Kontingentdrosselung fortgesetzt wird. Weitere Informationen zur Ereignisaufbewahrung und zu Einschränkungen der Aufbewahrungsdauer finden Sie unter Ereignisaufbewahrung.
Aktivieren Sie für Event Hubs der Standard-Stufe Auto inflate (Automatisch aufblähen), um den Durchsatz bei Bedarf automatisch zu skalieren. Weitere Informationen finden Sie unter Automatische Aufskalierung von Azure Event Hubs-Durchsatz-Einheiten.
Bei den Tarifen „Basic“ und „Standard“ unterstützt eine Durchsatz-Einheit (Throughput Unit, TU) in Azure Event Hubs die Datenaufnahme von bis zu 1 MB pro Sekunde. Wenn das eingehende Ereignisvolumen die Kapazität der konfigurierten TUs überschreitet, kann es zu Datenverlust kommen. Wenn Sie beispielsweise 5 TUs konfigurieren, beträgt die maximal unterstützte Erfassungsrate 5 MB pro Sekunde. Wenn Ereignisse mit 20 MB pro Sekunde gesendet werden, kann der Event Hub abstürzen. Daher können Logs auf Event Hub-Ebene verloren gehen, bevor sie Google SecOps erreichen.
Rufen Sie die Event Hub-Verbindungszeichenfolge ab, die für Google SecOps erforderlich ist, um Daten aus dem Azure Event Hub aufzunehmen. Mit dieser Verbindungszeichenfolge wird Google SecOps autorisiert, auf Sicherheitsdaten aus Ihrem Event Hub zuzugreifen und diese zu erheben. Sie haben zwei Möglichkeiten, einen Verbindungsstring anzugeben:
Event Hubs-Namespaceebene: Funktioniert für alle Event Hubs im Namespace. Diese Option ist einfacher, wenn Sie mehrere Event Hubs verwenden und für alle in Ihrer Feedeinrichtung denselben Verbindungsstring verwenden möchten.
Event Hub-Ebene: Gilt für einen einzelnen Event Hub. Dies ist eine sichere Option, wenn Sie nur Zugriff auf einen Event Hub gewähren müssen. Entfernen Sie
EntityPatham Ende des Verbindungsstrings.
Ändern Sie beispielsweise
Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME>inEndpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>.Konfigurieren Sie Ihre Anwendungen, z. B. Web Application Firewall oder Microsoft Defender, so, dass ihre Protokolle an den Event Hub gesendet werden.
Microsoft Defender-Nutzer:Achten Sie beim Konfigurieren des Microsoft Defender-Streamings darauf, dass Sie den Namen Ihres vorhandenen Event Hubs eingeben. Wenn Sie dieses Feld leer lassen, erstellt das System möglicherweise unnötige Event Hubs und verbraucht Ihr begrenztes Feedkontingent. Verwenden Sie zur besseren Übersicht Event Hub-Namen, die dem Protokolltyp entsprechen.
Azure-Feed konfigurieren
So konfigurieren Sie den Azure-Feed in Google SecOps:
Wählen Sie im Google SecOps-Menü SIEM Settings (SIEM-Einstellungen) und dann Feeds aus.
Klicken Sie auf Neu hinzufügen.
Geben Sie im Feld Feedname einen Namen für den Feed ein.
Wählen Sie in der Liste Quelltyp die Option Microsoft Azure Event Hub aus.
Wählen Sie den Logtyp aus. Wenn Sie beispielsweise einen Feed für das Open Cybersecurity Schema Framework erstellen möchten, wählen Sie Open Cybersecurity Schema Framework (OCSF) als Log-Typ aus.
Klicken Sie auf Weiter. Das Fenster Feed hinzufügen wird angezeigt.
Rufen Sie die Informationen aus dem Event Hub ab, den Sie zuvor im Azure-Portal erstellt haben, um die folgenden Felder auszufüllen:
- Event Hub-Name: Der Name des Event Hubs.
Event Hub-Verbrauchergruppe: Die Verbrauchergruppe, die Ihrem Event Hub zugeordnet ist.
Verbindungsstring für Event Hub: Der Verbindungsstring für Event Hub
Azure Storage-Verbindungsstring: Optional. Die Blob Storage-Verbindungszeichenfolge
Name des Azure Storage-Containers: Optional. Der Name des Blob-Speichercontainers
Azure-SAS-Token: Optional. Das SAS-Token
Asset-Namespace: Optional. Der Asset-Namespace
Labels für die Datenaufnahme: Optional. Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll
Klicken Sie auf Weiter. Der Bildschirm Abschließen wird angezeigt.
Prüfen Sie die Feedkonfiguration und klicken Sie dann auf Senden.
Datenfluss prüfen
So prüfen Sie, ob Ihre Daten in Google SecOps einfließen und Ihr Event-Hub ordnungsgemäß funktioniert:
Sehen Sie sich in Google SecOps die Dashboards an und verwenden Sie die Suche nach Rohlog-Scans oder einheitlichen Datenmodellen (Unified Data Model, UDM), um zu prüfen, ob die aufgenommenen Daten im richtigen Format vorhanden sind.
Rufen Sie im Azure-Portal die Seite Ihres Event Hubs auf und sehen Sie sich die Diagramme mit den eingehenden und ausgehenden Bytes an. Achten Sie darauf, dass die eingehenden und ausgehenden Raten ungefähr gleich sind. Das deutet darauf hin, dass Nachrichten verarbeitet werden und es keinen Rückstau gibt.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten