建立 Azure Event Hub 動態饋給
本文說明如何設定 Azure 事件中樞,將安全性資料傳送至 Google Security Operations。您最多可以建立 10 個 Azure 事件中樞動態饋給,包括有效和無效的動態饋給。
如要設定 Azure 動態饋給,請完成下列程序:在 Azure 中建立事件中樞:在 Azure 環境中設定必要基礎架構,以接收及儲存安全資料串流。
在 Google SecOps 中設定動態饋給: 在 Google SecOps 中設定動態饋給,連線至 Azure 事件中樞,並開始擷取資料。
建立 Azure 事件中樞
如要在 Azure 中建立事件中樞,請按照下列步驟操作:
-
為確保資料擷取最佳化,請在與 Google SecOps 執行個體相同的區域部署事件中樞命名空間。在不同區域部署事件中樞,可減少 Google SecOps 擷取的輸送量。
將分區數量設為 40,以達到最佳擴充效果。如要設定超過 32 個分割區,您必須使用 Azure 事件中樞的進階級。
為避免因 Google SecOps 配額限制而遺失資料,請為事件中樞設定較長的保留時間。這樣可確保系統不會在配額節流後,於擷取作業恢復前刪除記錄。如要進一步瞭解事件保留和保留時間限制,請參閱「事件保留」一文。
如果是標準層級的事件中樞,請啟用「自動膨脹」,視需要自動調整輸送量。詳情請參閱「Automatically scale up Azure Event Hubs throughput units」。
在 Azure Event Hub 的基本和標準層級中,一個輸送量單位 (TU) 最多支援每秒 1 MB 的資料擷取量。如果傳入的事件量超過設定的 TU 容量,可能會發生資料遺失。舉例來說,如果您設定 5 個 TU,則支援的擷取速率上限為每秒 5 MB。如果以每秒 20 MB 的速度傳送事件,事件中樞可能會當機。因此,記錄可能會在到達 Google SecOps 前,於事件中樞層級遺失。
取得事件中樞連線字串,供 Google SecOps 從 Azure 事件中樞擷取資料。這個連線字串會授權 Google SecOps 從事件中樞存取及收集安全性資料。您有兩種提供連線字串的方式:
Event Hubs 命名空間層級:適用於命名空間內的所有 Event Hubs。如果您使用多個事件中樞,並想在動態饋給設定中為所有事件中樞使用相同的連線字串,這個選項會比較簡單。
事件中心層級:適用於單一事件中心。 如果您只需要授予單一事件中樞的存取權,這是安全無虞的選項。 請務必從連線字串結尾移除
EntityPath。
舉例來說,將
Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME>變更為Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>。設定應用程式 (例如 Web Application Firewall 或 Microsoft Defender),將記錄傳送至事件中樞。
Microsoft Defender 使用者:設定 Microsoft Defender 串流時,請務必輸入現有的事件中樞名稱。如果將這個欄位留空,系統可能會建立不必要的事件中樞,並耗用有限的動態饋給配額。為方便管理,請使用與記錄類型相符的事件中樞名稱。
設定網路安全防護機制 (選用)
如果限制 Azure 事件中樞命名空間的網路存取權 (例如使用防火牆或私人端點),請務必將 Google SecOps IP 位址新增至允許清單,確保 Google SecOps 可以連線及擷取資料。
您可以採用兩種方法:
- 將所有 Google IP 位址加入許可清單 (建議):為確保連線不中斷,請將所有 Google IP 位址加入許可清單。您可以從公開的 JSON 檔案 (
https://gstatic.com/ipranges/goog.json) 擷取 Google IP 位址清單。 - 將特定區域的 IP 位址加入許可清單:如果您的安全政策要求更嚴格的 IP 位址清單,請與 Google SecOps 支援團隊聯絡,索取 Google SecOps 執行個體部署所在區域的特定 IP 位址。如果 Google SecOps 基礎架構更新,這些 IP 位址可能會變更。
設定 Azure 動態饋給
如要在 Google SecOps 中設定 Azure 動態饋給,請按照下列步驟操作:
在 Google SecOps 選單中選取「SIEM 設定」,然後按一下「動態饋給」。
按一下「新增」。
在「動態饋給名稱」欄位中,輸入動態饋給名稱。
在「Source type」(來源類型) 清單中,選取「Microsoft Azure Event Hub」(Microsoft Azure 事件中樞)。
選取「記錄類型」。舉例來說,如要為開放式網路安全結構定義架構建立動態饋給,請選取「開放式網路安全結構定義架構 (OCSF)」做為「記錄類型」。
點選「下一步」。系統會隨即顯示「新增動態消息」視窗。
從您先前在 Azure 入口網站中建立的事件中樞擷取資訊,填入下列欄位:
- 事件中心名稱:事件中心名稱
事件中樞消費者群組:與事件中樞相關聯的消費者群組
事件中樞連線字串:事件中樞連線字串
Azure 儲存體連線字串:選用。Blob 儲存空間連線字串
Azure 儲存體容器名稱:選填。Blob 儲存體容器名稱
Azure SAS 權杖:選用。SAS 權杖
資產命名空間:選用。資產命名空間
擷取標籤:選用。要套用至這個動態饋給事件的標籤
點選「下一步」。「Finalize」(完成) 畫面隨即顯示。
檢查動態饋給設定,然後按一下「提交」。
驗證資料流程
如要確認資料是否會傳送至 Google SecOps,以及事件中樞是否運作正常,請執行下列檢查:
在 Google SecOps 中檢查資訊主頁,並使用原始記錄掃描或通用資料模型 (UDM) 搜尋,確認擷取的資料格式是否正確。
在 Azure 入口網站中,前往事件中樞的頁面,並檢查顯示傳入和傳出位元組的圖表。確認傳入和傳出速率大致相等,表示系統正在處理訊息,且沒有積壓的訊息。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。