Mengumpulkan log Aktivitas Microsoft Azure dan Entra ID

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log Microsoft Azure Activity dan Entra ID dengan menyiapkan feed Google Security Operations menggunakan Microsoft Azure Blob Storage.

Log Aktivitas Azure memberikan insight tentang operasi tingkat langganan yang dilakukan pada resource Azure, seperti membuat akun penyimpanan, menghapus hub peristiwa, atau mengubah mesin virtual. Log Microsoft Entra ID (sebelumnya Azure Active Directory) mencatat peristiwa pengelolaan identitas dan akses, termasuk aktivitas login pengguna, log audit, aktivitas penyediaan, dan deteksi risiko keamanan.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Akses istimewa ke portal Microsoft Azure dengan izin untuk:
    • Membuat Akun Penyimpanan
    • Mengonfigurasi Setelan Diagnostik untuk Azure Monitor dan Entra ID
    • Mengelola kunci akses
  • Peran Administrator Keamanan atau yang lebih tinggi di Entra ID (untuk setelan diagnostik Entra ID)

Mengonfigurasi Akun Azure Storage

Buat Akun Penyimpanan

  1. Di portal Azure, cari Storage accounts.
  2. Klik + Create.

  3. Berikan detail konfigurasi berikut:

    Setelan Nilai
    Langganan Pilih langganan Azure Anda
    Grup resource Pilih yang sudah ada atau buat yang baru
    Nama akun penyimpanan Masukkan nama unik (misalnya, secops-azure-logs)
    Region Pilih region (misalnya, East US)
    Performa Standar (direkomendasikan)
    Redundansi GRS (Geo-redundant storage) atau LRS (Locally redundant storage)

  4. Klik Review + create.

  5. Tinjau ringkasan akun, lalu klik Buat.

  6. Tunggu hingga deployment selesai.

Mendapatkan kredensial Akun Penyimpanan

  1. Buka Akun Penyimpanan yang baru saja Anda buat.
  2. Di navigasi kiri, pilih Kunci akses di bagian Keamanan + jaringan.
  3. Klik Tampilkan kunci.
  4. Salin dan simpan yang berikut untuk digunakan nanti:
    • Nama akun penyimpanan: Nama akun penyimpanan Anda (misalnya, secops-azure-logs)
    • Kunci 1 atau Kunci 2: Kunci akses bersama (string acak 512-bit dalam encoding base-64)

Mendapatkan endpoint Blob Service

  1. Di Akun Penyimpanan yang sama, pilih Endpoints dari navigasi kiri.
  2. Salin dan simpan URL endpoint Blob service.
    • Contoh: https://secops-azure-logs.blob.core.windows.net/

Mengonfigurasi setelan diagnostik Azure Activity Logs

Untuk mengekspor log Aktivitas Azure ke akun penyimpanan:

  1. Di portal Azure, cari Monitor.
  2. Klik Log aktivitas di navigasi sebelah kiri.
  3. Klik Ekspor Log Aktivitas di bagian atas jendela.
  4. Klik Tambahkan setelan diagnostik.
  5. Berikan detail konfigurasi berikut:
    • Nama setelan diagnostik: Masukkan nama deskriptif (misalnya, activity-logs-to-secops).
    • Di bagian Logs, pilih kategori berikut:
      • Administrasi
      • Keamanan
      • Service Health
      • Pemberitahuan
      • Rekomendasi
      • Kebijakan
      • Penskalaan otomatis
      • Kesehatan Resource
    • Di bagian Destination details, centang kotak Archive to a storage account.
    • Subscription: Pilih langganan yang berisi akun penyimpanan Anda.
    • Akun penyimpanan: Pilih akun penyimpanan yang Anda buat sebelumnya (misalnya, secops-azure-logs).
  6. Klik Simpan.

Mengonfigurasi setelan diagnostik Entra ID

Untuk mengekspor log Entra ID ke akun penyimpanan:

  1. Di portal Azure, telusuri Microsoft Entra ID atau Azure Active Directory.
  2. Di navigasi sebelah kiri, buka Monitoring & health > Diagnostic settings.
  3. Klik Tambahkan setelan diagnostik.
  4. Berikan detail konfigurasi berikut:
    • Nama setelan diagnostik: Masukkan nama deskriptif (misalnya, entraid-logs-to-secops).
    • Di bagian Logs, pilih kategori log yang ingin Anda ekspor:
      • SignInLogs: Login pengguna interaktif
      • NonInteractiveUserSignInLogs: Login pengguna non-interaktif (akun utama layanan, identitas terkelola yang bertindak atas nama pengguna)
      • ServicePrincipalSignInLogs: Login aplikasi dan akun utama layanan
      • ManagedIdentitySignInLogs: Login identitas terkelola
      • AuditLogs: Jejak audit semua perubahan di Entra ID (pembuatan pengguna, penetapan peran, dll.)
      • ProvisioningLogs: Peristiwa penyediaan pengguna dan grup
      • RiskyUsers: Pengguna yang ditandai oleh Identity Protection
      • UserRiskEvents: Deteksi risiko untuk akun pengguna
      • MicrosoftGraphActivityLogs: Log aktivitas Microsoft Graph API
    • Di bagian Destination details, centang kotak Archive to a storage account.
    • Subscription: Pilih langganan yang berisi akun penyimpanan Anda.
    • Akun penyimpanan: Pilih akun penyimpanan yang Anda buat sebelumnya (misalnya, secops-azure-logs).

  5. Klik Simpan.

Mengambil akun layanan Google SecOps

Google SecOps menggunakan akun layanan unik untuk membaca data dari Azure Blob Storage Anda. Anda harus memberikan akses akun layanan ini ke akun penyimpanan Anda.

Dapatkan email akun layanan

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Klik Konfigurasi satu feed.
  4. Di kolom Nama feed, masukkan nama sementara.
  5. Pilih Microsoft Azure Blob Storage V2 sebagai Jenis sumber.
  6. Pilih jenis log apa pun (Anda dapat mengubahnya nanti).

  7. Klik Get Service Account. Email akun layanan yang unik akan ditampilkan, misalnya:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Salin alamat email ini untuk digunakan di langkah berikutnya.

  9. Klik Batal untuk keluar dari pembuatan feed (Anda akan membuat feed sebenarnya nanti).

Memberikan izin IAM ke akun layanan Google SecOps

Akun layanan Google SecOps memerlukan peran Storage Blob Data Reader di akun penyimpanan Anda.

  1. Di portal Azure, buka Storage accounts.
  2. Klik nama akun penyimpanan Anda (misalnya, secops-azure-logs).
  3. Buka tab Access Control (IAM).
  4. Klik + Tambahkan > Tambahkan penetapan peran.
  5. Di tab Role, telusuri dan pilih Storage Blob Data Reader.
  6. Klik Berikutnya.
  7. Di tab Anggota, klik + Pilih anggota.
  8. Di kotak penelusuran, tempel email akun layanan Google SecOps.
  9. Pilih akun layanan dari hasil.
  10. Klik Pilih.
  11. Klik Tinjau + tetapkan.
  12. Tinjau tugas, lalu klik Tinjau + tetapkan lagi.

Mengonfigurasi feed di Google SecOps

Anda harus membuat feed terpisah untuk setiap jenis log dan penampung. Tabel berikut menunjukkan pemetaan antara container Azure dan jenis log Google SecOps:

Nama Container Jenis Log Chronicle Sumber Data
insights-activity-logs Aktivitas Azure Log Aktivitas Azure
insights-logs-signinlogs Azure AD Login Interaktif Entra ID
insights-logs-noninteractiveusersigninlogs Azure AD Login Non-interaktif Entra ID
insights-logs-serviceprincipalsigninlogs Azure AD Login Akun Utama Layanan Entra ID
insights-logs-managedidentitysigninlogs Azure AD Login Identitas Terkelola Entra ID
insights-logs-auditlogs Audit Azure AD Log Audit Entra ID
insights-logs-provisioninglogs Azure AD Log Penyediaan Entra ID
insights-logs-riskyusers Azure AD Pengguna Berisiko Entra ID
insights-logs-userriskevents Azure AD Peristiwa Risiko Pengguna Entra ID
insights-logs-microsoftgraphactivitylogs Log Aktivitas Microsoft Graph Aktivitas Microsoft Graph

Membuat feed untuk Log Aktivitas Azure

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Di kolom Nama feed, masukkan Azure Activity Logs.
  5. Pilih Microsoft Azure Blob Storage V2 sebagai Jenis sumber.
  6. Pilih Azure Activity sebagai Jenis log.
  7. Klik Berikutnya.

  8. Tentukan nilai untuk parameter input berikut:

    • URI Azure: Masukkan URL endpoint Blob Service dengan jalur kontainer:

       https://secops-azure-logs.blob.core.windows.net/insights-activity-logs/
      • Ganti secops-azure-logs dengan nama akun penyimpanan Azure Anda.

    • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:

      • Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer.
      • Hapus file yang ditransfer: Menghapus file setelah transfer berhasil.

      • Hapus file yang ditransfer dan direktori kosong: Menghapus file dan direktori kosong setelah transfer berhasil.

    • Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.

    • Shared key: Masukkan nilai shared key (kunci akses) yang Anda ambil dari Akun Penyimpanan sebelumnya.

    • Namespace aset: Namespace aset.

    • Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.

  9. Klik Berikutnya.

  10. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Membuat feed untuk log Entra ID

Ulangi langkah-langkah berikut untuk setiap jenis log Entra ID yang Anda konfigurasi di setelan diagnostik:

Untuk Log Login Interaktif:

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Klik Konfigurasi satu feed.
  4. Di kolom Nama feed, masukkan Azure AD Interactive Sign-in Logs.
  5. Pilih Microsoft Azure Blob Storage V2 sebagai Jenis sumber.
  6. Pilih Azure AD sebagai Jenis log.
  7. Klik Berikutnya.

  8. Tentukan nilai untuk parameter input berikut:

    • URI Azure:

      https://secops-azure-logs.blob.core.windows.net/insights-logs-signinlogs/
    • Opsi penghapusan sumber: Pilih sesuai preferensi Anda.
    • Usia File Maksimum: 180 hari (default).
    • Kunci bersama: Masukkan nilai kunci bersama.
    • Namespace aset: Namespace aset.
    • Label penyerapan: Label yang akan diterapkan.

  9. Klik Berikutnya, lalu Kirim.

Untuk Log Login Non-interaktif:

Buat feed lain dengan setelan berikut:

  • Nama feed: Azure AD Non-interactive Sign-in Logs
  • Jenis log: Azure AD
  • URI Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-noninteractiveusersigninlogs/

Untuk Log Login Principal Layanan:

Buat feed lain dengan setelan berikut:

  • Nama feed: Azure AD Service Principal Sign-in Logs
  • Jenis log: Azure AD
  • URI Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-serviceprincipalsigninlogs/

Untuk Log Login Identitas Terkelola:

Buat feed lain dengan setelan berikut:

  • Nama feed: Azure AD Managed Identity Sign-in Logs
  • Jenis log: Azure AD
  • URI Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-managedidentitysigninlogs/

Untuk Log Audit:

Buat feed lain dengan setelan berikut:

  • Nama feed: Azure AD Audit Logs
  • Jenis log: Azure AD Audit
  • URI Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-auditlogs/

Untuk Log Penyediaan:

Buat feed lain dengan setelan berikut:

  • Nama feed: Azure AD Provisioning Logs
  • Jenis log: Azure AD
  • URI Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-provisioninglogs/

Untuk Pengguna Berisiko:

Buat feed lain dengan setelan berikut:

  • Nama feed: Azure AD Risky Users
  • Jenis log: Azure AD
  • URI Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-riskyusers/

Untuk Peristiwa Risiko Pengguna:

Buat feed lain dengan setelan berikut:

  • Nama feed: Azure AD User Risk Events
  • Jenis log: Azure AD
  • URI Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-userriskevents/

Untuk Log Aktivitas Microsoft Graph:

Buat feed lain dengan setelan berikut:

  • Nama feed: Microsoft Graph Activity Logs
  • Jenis log: Microsoft Graph Activity Logs
  • URI Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-microsoftgraphactivitylogs/

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.