Kami telah mengatur ulang struktur navigasi agar selaras langsung dengan alur kerja operasional Anda. Lihat catatan rilis Google SecOps untuk mengetahui informasi selengkapnya.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Membuat feed Azure Event Hub

Didukung di:

Google secops SIEM

Dokumen ini menunjukkan cara menyiapkan Azure Event Hub untuk mengirim data keamanan ke Google Security Operations. Anda dapat membuat hingga 10 feed Azure Event Hub, yang mencakup feed aktif dan tidak aktif.

Untuk menyiapkan feed Azure, selesaikan proses berikut:

Membuat event hub di Azure: siapkan infrastruktur yang diperlukan di lingkungan Azure Anda untuk menerima dan menyimpan aliran data keamanan.
Mengonfigurasi feed di Google SecOps: konfigurasi feed di Google SecOps untuk terhubung ke event hub Azure Anda dan mulai menyerap data.

Membuat Azure Event Hub

Untuk membuat event hub di Azure, lakukan hal berikut:

Buat namespace event hub dan event hub.
- Untuk memastikan penyerapan data yang optimal, deploy namespace Event Hub di region yang sama dengan instance Google SecOps Anda. Men-deploy event hub di region yang berbeda dapat mengurangi throughput yang diserap ke Google SecOps.
- Tetapkan jumlah partisi ke 40 untuk penskalaan yang optimal. Anda harus memiliki Azure Event Hubs Tingkat Premium untuk menetapkan lebih dari 32 partisi.
  Catatan: Anda tidak dapat mengubah jumlah partisi nanti di tingkat standar dan dasar. Jumlah partisi tidak memengaruhi biaya.
- Untuk membantu mencegah kehilangan data karena batas kuota Google SecOps, tetapkan waktu retensi yang lama untuk event hub Anda. Hal ini memastikan bahwa log tidak dihapus sebelum penyerapan dilanjutkan setelah pembatasan kuota. Untuk mengetahui informasi selengkapnya tentang retensi peristiwa dan batasan waktu retensi, lihat Retensi peristiwa.
- Untuk event hub tingkat standar, aktifkan Auto inflate untuk otomatis menskalakan throughput sesuai kebutuhan. Lihat Menskalakan unit throughput Azure Event Hubs secara otomatis untuk mengetahui informasi selengkapnya.
- Untuk tingkat dasar dan standar, satu unit throughput (TU) di Azure Event Hub mendukung penyerapan data hingga 1 MB per detik. Jika volume peristiwa masuk melebihi kapasitas TU yang dikonfigurasi, data dapat hilang. Misalnya, jika Anda mengonfigurasi 5 TU, kecepatan penyerapan maksimum yang didukung adalah 5 MB per detik. Jika peristiwa dikirim dengan kecepatan 20 MB per detik, Event Hub dapat mengalami error. Akibatnya, log dapat hilang di tingkat Event Hub sebelum mencapai Google SecOps.
Dapatkan string koneksi event hub yang diperlukan agar Google SecOps dapat menyerap data dari event hub Azure. String koneksi ini mengotorisasi Google SecOps untuk mengakses dan mengumpulkan data keamanan dari event hub Anda. Anda memiliki dua opsi untuk memberikan string koneksi:
- Tingkat namespace event hub: berfungsi untuk semua event hub dalam namespace. Opsi ini lebih sederhana jika Anda menggunakan beberapa event hub dan ingin menggunakan string koneksi yang sama untuk semuanya dalam penyiapan feed Anda.
- Tingkat event hub: berlaku untuk satu event hub. Ini adalah opsi yang aman jika Anda hanya perlu memberikan akses ke satu event hub. Pastikan Anda menghapus EntityPath dari akhir string koneksi.
Misalnya, ubah Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME> menjadi Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>.
Konfigurasikan aplikasi Anda, seperti firewall aplikasi web atau Microsoft Defender, untuk mengirim log ke event hub.

Pengguna Microsoft Defender: Saat mengonfigurasi streaming Microsoft Defender, pastikan Anda memasukkan nama event hub yang ada. Jika Anda mengosongkan kolom ini, sistem mungkin membuat event hub yang tidak diperlukan dan menggunakan kuota feed Anda yang terbatas. Agar tetap teratur, gunakan nama event hub yang cocok dengan jenis log.

Mengonfigurasi feed Azure

Untuk mengonfigurasi feed Azure di Google SecOps, lakukan hal berikut:

Di menu Google SecOps, pilih SIEM Settings, lalu klik Feeds.
Klik Add new.
Di kolom Feed name, masukkan nama untuk feed.
Di daftar Source type, pilih Microsoft Azure Event Hub.
Pilih Log type. Misalnya, untuk membuat feed untuk Open Cybersecurity Schema Framework, pilih Open Cybersecurity Schema Framework (OCSF) sebagai Log type.
Klik Next. Jendela Add feed akan muncul.
Ambil informasi dari event hub yang Anda buat sebelumnya di portal Azure untuk mengisi kolom berikut:
- Nama event hub: nama event hub
- Grup konsumen event hub: grup konsumen yang terkait dengan event hub Anda
  
  Perhatian: Jangan membuat pelanggan atau mengambil data secara terprogram melalui tab Data Explorer di portal Azure untuk grup konsumen. Melakukannya dapat menyebabkan kehilangan data.
- Event hub connection string: string koneksi event hub
- Azure storage connection string: Opsional. String koneksi penyimpanan blob
- Nama kontainer penyimpanan Azure: Opsional. Nama container penyimpanan blob
- Azure SAS token: Opsional. Token SAS
- Asset namespace: Opsional. Namespace aset
- Ingestion labels: Opsional. Label yang akan diterapkan ke peristiwa dari feed ini
Catatan: Google SecOps mengelola checkpointing-nya sendiri saat menyerap data dari Azure Event Hub. Hanya string koneksi event hub yang diperlukan. Kolom opsional lainnya tidak memengaruhi checkpointing.
Klik Next. Layar Finalize akan muncul.
Tinjau konfigurasi feed Anda, lalu klik Submit.

Memverifikasi aliran data

Untuk memverifikasi bahwa data Anda mengalir ke Google SecOps dan event hub Anda berfungsi dengan benar, Anda dapat melakukan pemeriksaan berikut:

Di Google SecOps, periksa dasbor dan gunakan penelusuran Raw Log Scan atau Unified Data Model (UDM) untuk memverifikasi bahwa data yang diserap ada dalam format yang benar.
Di portal Azure, buka halaman event hub Anda dan periksa grafik yang menampilkan byte masuk dan keluar. Pastikan kecepatan masuk dan keluar kira-kira setara, yang menunjukkan bahwa pesan sedang diproses dan tidak ada backlog.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.