Crea un feed de Azure Event Hub
En este documento, se muestra cómo configurar un Azure Event Hub para enviar datos de seguridad a Google Security Operations. Puedes crear hasta 10 feeds de Azure Event Hub, que incluyen feeds activos e inactivos.
Para configurar un feed de Azure, completa los siguientes procesos:Crea un centro de eventos en Azure: configura la infraestructura requerida en tu entorno de Azure para recibir y almacenar el flujo de datos de seguridad.
Configura el feed en Google SecOps: Configura el feed en Google SecOps para conectarte a tu centro de eventos de Azure y comenzar a transferir datos.
Crea un Azure Event Hub
Para crear un centro de eventos en Azure, haz lo siguiente:
Crea un espacio de nombres y un centro de eventos.
Para garantizar una transferencia de datos óptima, implementa el espacio de nombres de Event Hub en la misma región que tu instancia de Google SecOps. Si implementas el centro de eventos en una región diferente, se puede reducir el rendimiento transferido a Google SecOps.
Establece el recuento de particiones en 40 para obtener un ajuste de escala óptimo. Debes tener el nivel Premium de Azure Event Hubs para establecer más de 32 particiones.
Para evitar la pérdida de datos debido a los límites de cuota de Google SecOps, establece un tiempo de retención prolongado para tu centro de eventos. Esto garantiza que los registros no se borren antes de que se reanude la transferencia después de una limitación de cuota. Para obtener más información sobre la retención de eventos y las limitaciones de tiempo de retención, consulta Retención de eventos.
En el caso de los centros de eventos de nivel estándar, habilita Auto inflate para ajustar automáticamente el rendimiento según sea necesario. Consulta Escala verticalmente las unidades de capacidad de procesamiento de Azure Event Hubs automáticamente para obtener más información.
En los niveles básico y estándar, una unidad de procesamiento (TU) en Azure Event Hub admite hasta 1 MB por segundo de transferencia de datos. Si el volumen de eventos entrantes supera la capacidad de las TU configuradas, es posible que se pierdan datos. Por ejemplo, si configuras 5 TU, la tasa de transferencia máxima admitida es de 5 MB por segundo. Si los eventos se envían a 20 MB por segundo, es posible que Event Hub falle. Como resultado, es posible que se pierdan registros en el nivel de Event Hub antes de que lleguen a Google SecOps.
Obtén la cadena de conexión del centro de eventos que requiere Google SecOps para transferir datos desde el centro de eventos de Azure. Esta cadena de conexión autoriza a Google SecOps a acceder a los datos de seguridad de tu centro de eventos y recopilarlos. Tienes dos opciones para proporcionar una cadena de conexión:
Nivel de espacio de nombres del centro de eventos: Funciona para todos los centros de eventos dentro del espacio de nombres. Es una opción más simple si usas varios centros de eventos y deseas usar la misma cadena de conexión para todos ellos en la configuración de tu feed.
Nivel de centro de eventos: Se aplica a un solo centro de eventos. Esta es una opción segura si necesitas otorgar acceso a un solo centro de eventos. Asegúrate de quitar
EntityPathdel final de la cadena de conexión.
Por ejemplo, cambia
Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME>aEndpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>.Configura tus aplicaciones, como firewall de aplicación web o Microsoft Defender, para enviar sus registros al centro de eventos.
Usuarios de Microsoft Defender: Cuando configures la transmisión de Microsoft Defender, asegúrate de ingresar el nombre del centro de eventos existente. Si dejas este campo en blanco, es posible que el sistema cree centros de eventos innecesarios y consuma tu cuota de feed limitada. Para mantener todo organizado, usa nombres de centros de eventos que coincidan con el tipo de registro.
Configura la seguridad de la red (opcional)
Si restringes el acceso a la red a tu espacio de nombres de Azure Event Hub (por ejemplo, con firewalls o extremos privados), debes agregar las direcciones IP de Google SecOps a una lista de entidades permitidas para asegurarte de que Google SecOps pueda conectarse y transferir datos.
Tienes estas dos opciones:
- Incluir en la lista de entidades permitidas todas las direcciones IP de Google (recomendado): Para garantizar una conectividad ininterrumpida, incluye en la lista de entidades permitidas todas las direcciones IP de Google. Puedes recuperar la lista de direcciones IP de Google del archivo JSON público:
https://gstatic.com/ipranges/goog.json. - Incluir en la lista de entidades permitidas direcciones IP específicas de la región: Si tu política de seguridad requiere una lista más restringida de direcciones IP, comunícate con la asistencia de Google SecOps para solicitar las direcciones IP específicas de la región en la que se implementa tu instancia de Google SecOps. Estas direcciones IP pueden cambiar si se actualiza la infraestructura de Google SecOps.
Configura el feed de Azure
Para configurar el feed de Azure en Google SecOps, haz lo siguiente:
En el menú de Google SecOps, selecciona SIEM Settings y, luego, haz clic en Feeds.
Haz clic en Add new.
En el campo Feed name, ingresa un nombre para el feed.
En la lista Source type, selecciona Microsoft Azure Event Hub.
Selecciona el Log type. Por ejemplo, para crear un feed para Open Cybersecurity Schema Framework, selecciona Open Cybersecurity Schema Framework (OCSF) como el Log type.
Haz clic en Siguiente. Aparecerá la ventana Add feed.
Recupera la información del centro de eventos que creaste anteriormente en el portal de Azure para completar los siguientes campos:
- Nombre del centro de eventos: el nombre del centro de eventos
Event hub consumer group: El grupo de consumidores asociado con tu centro de eventos
Event hub connection string: La cadena de conexión del centro de eventos
Azure storage connection string: Opcional. La cadena de conexión de Blob Storage
Azure storage container name: Opcional. El nombre del contenedor de Blob Storage
Azure SAS token: Opcional. El token SAS
Espacio de nombres de activos: Opcional. El espacio de nombres del recurso
Ingestion labels: Opcional. La etiqueta que se aplicará a los eventos de este feed
Haz clic en Siguiente. Aparecerá la pantalla Finalize.
Revisa la configuración de tu feed y, luego, haz clic en Enviar.
Verifica el flujo de datos
Para verificar que tus datos fluyan hacia Google SecOps y que tu centro de eventos funcione correctamente, puedes realizar estas verificaciones:
En Google SecOps, examina los paneles y usa la búsqueda de Raw Log Scan o Unified Data Model (UDM) para verificar que los datos transferidos estén en el formato correcto.
En el portal de Azure, navega a la página de tu centro de eventos y revisa los gráficos que muestran los bytes entrantes y salientes. Asegúrate de que las tasas de entrada y salida sean aproximadamente equivalentes, lo que indica que se están procesando los mensajes y que no hay trabajo pendiente.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.