Microsoft Azure-Aktivitäts- und Entra ID-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Microsoft Azure-Aktivitäts- und Entra ID-Logs erfassen, indem Sie Google Security Operations-Feeds mit Microsoft Azure Blob Storage einrichten.

Azure-Aktivitätsprotokolle geben Aufschluss über Vorgänge auf Abonnementebene, die für Azure-Ressourcen ausgeführt werden, z. B. das Erstellen von Speicherkonten, das Löschen von Event Hubs oder das Ändern von virtuellen Maschinen. In Microsoft Entra ID-Protokollen (früher Azure Active Directory) werden Ereignisse zur Identitäts- und Zugriffsverwaltung erfasst, darunter Nutzeranmeldungen, Audit-Logs, Bereitstellungsaktivitäten und Erkennungen von Sicherheitsrisiken.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Privilegierter Zugriff auf das Microsoft Azure-Portal mit Berechtigungen für Folgendes:
    • Speicherkonten erstellen
    • Diagnoseeinstellungen für Azure Monitor und Entra ID konfigurieren
    • Zugriffsschlüssel verwalten
  • Rolle „Sicherheitsadministrator“ oder höher in Entra ID (für Entra ID-Diagnoseeinstellungen)

Azure Storage-Konto konfigurieren

Speicherkonto erstellen

  1. Suchen Sie im Azure-Portal nach Speicherkonten.
  2. Klicken Sie auf + Erstellen.

  3. Geben Sie die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Abo Azure-Abo auswählen
    Ressourcengruppe Vorhandene auswählen oder neue erstellen
    Name des Speicherkontos Geben Sie einen eindeutigen Namen ein, z. B. secops-azure-logs.
    Region Wählen Sie die Region aus (z. B. East US).
    Leistung Standard (empfohlen)
    Redundanz GRS (georedundanter Speicher) oder LRS (lokal redundanter Speicher)

  4. Klicken Sie auf Überprüfen + Erstellen.

  5. Sehen Sie sich die Übersicht des Kontos an und klicken Sie auf Erstellen.

  6. Warten Sie, bis die Bereitstellung abgeschlossen ist.

Anmeldedaten für das Speicherkonto abrufen

  1. Rufen Sie das soeben erstellte Storage-Konto auf.
  2. Wählen Sie in der linken Navigationsleiste unter Security + networking (Sicherheit + Netzwerk) die Option Access keys (Zugriffsschlüssel) aus.
  3. Klicken Sie auf Schlüssel anzeigen.
  4. Kopieren und speichern Sie die folgenden Informationen für die spätere Verwendung:
    • Storage-Kontoname: Ihr Storage-Kontoname (z. B. secops-azure-logs)
    • Schlüssel 1 oder Schlüssel 2: Der gemeinsame Zugriffsschlüssel (ein 512-Bit-Zufallsstring in Base64-Codierung)

Blob-Dienstendpunkt abrufen

  1. Wählen Sie im selben Speicherkonto in der linken Navigationsleiste Endpunkte aus.
  2. Kopieren und speichern Sie die Endpunkt-URL des Blob-Diensts.
    • Beispiel: https://secops-azure-logs.blob.core.windows.net/

Diagnoseeinstellungen für Azure-Aktivitätsprotokolle konfigurieren

So exportieren Sie Azure-Aktivitätsprotokolle in das Speicherkonto:

  1. Suchen Sie im Azure-Portal nach Monitor.
  2. Klicken Sie in der linken Navigationsleiste auf Aktivitätsprotokoll.
  3. Klicken Sie oben im Fenster auf Aktivitätsprotokolle exportieren.
  4. Klicken Sie auf Diagnoseeinstellung hinzufügen.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Name der Diagnoseeinstellung: Geben Sie einen aussagekräftigen Namen ein, z. B. activity-logs-to-secops.
    • Wählen Sie im Bereich Logs die folgenden Kategorien aus:
      • Verwaltung
      • Sicherheit
      • Service Health
      • Benachrichtigung
      • Empfehlung
      • Richtlinie
      • Autoscale
      • Ressourcenzustand
    • Wählen Sie im Abschnitt Zieldetails das Kästchen In einem Speicherkonto archivieren aus.
    • Abo: Wählen Sie das Abo aus, das Ihr Speicherkonto enthält.
    • Speicherkonto: Wählen Sie das Speicherkonto aus, das Sie zuvor erstellt haben (z. B. secops-azure-logs).
  6. Klicken Sie auf Speichern.

Diagnoseeinstellungen für Entra ID konfigurieren

So exportieren Sie Entra ID-Protokolle in das Speicherkonto:

  1. Suchen Sie im Azure-Portal nach Microsoft Entra ID oder Azure Active Directory.
  2. Wählen Sie im Navigationsbereich links Monitoring & Health > Diagnoseeinstellungen aus.
  3. Klicken Sie auf Diagnoseeinstellung hinzufügen.
  4. Geben Sie die folgenden Konfigurationsdetails an:
    • Name der Diagnoseeinstellung: Geben Sie einen aussagekräftigen Namen ein, z. B. entraid-logs-to-secops.
    • Wählen Sie im Bereich Logs die Logkategorien aus, die Sie exportieren möchten:
      • SignInLogs: Interaktive Nutzeranmeldungen
      • NonInteractiveUserSignInLogs: Nicht interaktive Nutzeranmeldungen (Dienstprinzipale, verwaltete Identitäten, die im Namen von Nutzern agieren)
      • ServicePrincipalSignInLogs: Anmeldungen von Dienstprinzipalen und Anwendungen
      • ManagedIdentitySignInLogs: Anmeldungen mit verwalteter Identität
      • AuditLogs: Audit-Trail aller Änderungen in Entra ID (Nutzererstellung, Rollenzuweisungen usw.)
      • ProvisioningLogs: Ereignisse zur Nutzer- und Gruppenbereitstellung
      • RiskyUsers: Nutzer, die von Identity Protection gemeldet wurden
      • UserRiskEvents: Risikoerkennungen für Nutzerkonten
      • MicrosoftGraphActivityLogs: Microsoft Graph API-Aktivitätsprotokolle
    • Wählen Sie im Abschnitt Zieldetails das Kästchen In einem Speicherkonto archivieren aus.
    • Abo: Wählen Sie das Abo aus, das Ihr Speicherkonto enthält.
    • Speicherkonto: Wählen Sie das Speicherkonto aus, das Sie zuvor erstellt haben (z. B. secops-azure-logs).

  5. Klicken Sie auf Speichern.

    erstellt.

Google SecOps-Dienstkonto abrufen

Google SecOps verwendet ein eindeutiges Dienstkonto, um Daten aus Ihrem Azure Blob Storage zu lesen. Sie müssen diesem Dienstkonto Zugriff auf Ihr Speicherkonto gewähren.

E-Mail-Adresse des Dienstkontos abrufen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen temporären Namen ein.
  5. Wählen Sie Microsoft Azure Blob Storage V2 als Quelltyp aus.
  6. Wählen Sie einen beliebigen Logtyp aus. Sie können dies später ändern.

  7. Klicken Sie auf Dienstkonto abrufen. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Kopieren Sie diese E‑Mail-Adresse für den nächsten Schritt.

  9. Klicken Sie auf Abbrechen, um die Feederstellung zu beenden. Die eigentlichen Feeds erstellen Sie später.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage Blob Data Reader für Ihr Speicherkonto.

  1. Wechseln Sie im Azure-Portal zu Speicherkonten.
  2. Klicken Sie auf den Namen Ihres Speicherkontos, z. B. secops-azure-logs.
  3. Rufen Sie den Tab Zugriffssteuerung (IAM) auf.
  4. Klicken Sie auf + Hinzufügen> Rollenzuweisung hinzufügen.
  5. Suchen Sie auf dem Tab Rolle nach Leser von Storage Blob-Daten und wählen Sie die Rolle aus.
  6. Klicken Sie auf Weiter.
  7. Klicken Sie auf dem Tab Mitglieder auf + Mitglieder auswählen.
  8. Fügen Sie die E-Mail-Adresse des Google SecOps-Dienstkontos in das Suchfeld ein.
  9. Wählen Sie das Dienstkonto in den Ergebnissen aus.
  10. Klicken Sie auf Auswählen.
  11. Klicken Sie auf Überprüfen und zuweisen.
  12. Prüfen Sie die Zuweisung und klicken Sie noch einmal auf Prüfen und zuweisen.

Feeds in Google SecOps konfigurieren

Sie müssen für jeden Logtyp und Container einen separaten Feed erstellen. In der folgenden Tabelle sehen Sie die Zuordnung zwischen Azure-Containern und Google SecOps-Logtypen:

Containername Chronicle-Logtyp Datenquelle
insights-activity-logs Azure-Aktivität Azure-Aktivitätsprotokolle
insights-logs-signinlogs Azure AD Interaktive Anmeldungen in Entra ID
insights-logs-noninteractiveusersigninlogs Azure AD Nicht interaktive Anmeldungen in Entra ID
insights-logs-serviceprincipalsigninlogs Azure AD Anmeldungen von Entra ID-Dienstprinzipalen
insights-logs-managedidentitysigninlogs Azure AD Anmeldungen mit verwalteter Identität in Entra ID
insights-logs-auditlogs Azure AD-Überwachung Entra ID-Audit-Logs
insights-logs-provisioninglogs Azure AD Entra ID-Bereitstellungsprotokolle
insights-logs-riskyusers Azure AD Entra ID-Nutzer mit Risiko
insights-logs-userriskevents Azure AD Entra ID-Ereignisse zum Nutzerrisiko
insights-logs-microsoftgraphactivitylogs Microsoft Graph-Aktivitätsprotokolle Microsoft Graph-Aktivität

Feed für Azure-Aktivitätsprotokolle erstellen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname Azure Activity Logs ein.
  5. Wählen Sie Microsoft Azure Blob Storage V2 als Quelltyp aus.
  6. Wählen Sie Azure-Aktivität als Logtyp aus.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Azure-URI: Geben Sie die Blob Service-Endpunkt-URL mit dem Containerpfad ein:

       https://secops-azure-logs.blob.core.windows.net/insights-activity-logs/
      • Ersetzen Sie secops-azure-logs durch den Namen Ihres Azure-Speicherkontos.

    • Option zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus:

      • Nie: Löscht nach Übertragungen niemals Dateien.
      • Übertragene Dateien löschen: Dateien werden nach der erfolgreichen Übertragung gelöscht.

      • Übertragene Dateien und leere Verzeichnisse löschen: Löscht Dateien und leere Verzeichnisse nach der erfolgreichen Übertragung.

    • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.

    • Shared key (Gemeinsamer Schlüssel): Geben Sie den Wert des gemeinsam genutzten Schlüssels (Zugriffsschlüssel) ein, den Sie zuvor aus dem Speicherkonto abgerufen haben.

    • Asset-Namespace: Der Asset-Namespace.

    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Feeds für Entra ID-Logs erstellen

Wiederholen Sie die folgenden Schritte für jeden Entra ID-Protokolltyp, den Sie in den Diagnoseeinstellungen konfiguriert haben:

Für interaktive Anmeldelogs:

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname Azure AD Interactive Sign-in Logs ein.
  5. Wählen Sie Microsoft Azure Blob Storage V2 als Quelltyp aus.
  6. Wählen Sie Azure AD als Logtyp aus.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Azure-URI:

      https://secops-azure-logs.blob.core.windows.net/insights-logs-signinlogs/
    • Option zum Löschen der Quelle: Wählen Sie die gewünschte Option aus.
    • Maximales Dateialter: 180 Tage (Standard).
    • Freigegebener Schlüssel: Geben Sie den Wert des freigegebenen Schlüssels ein.
    • Asset-Namespace: Der Asset-Namespace.
    • Labels für Datenaufnahme: Das anzuwendende Label.

  9. Klicken Sie auf Weiter und dann auf Senden.

Für nicht interaktive Anmeldelogs:

Erstellen Sie einen weiteren Feed mit den folgenden Einstellungen:

  • Feed name: Azure AD Non-interactive Sign-in Logs
  • Logtyp: Azure AD
  • Azure-URI: https://secops-azure-logs.blob.core.windows.net/insights-logs-noninteractiveusersigninlogs/

Für Anmeldelogs für Dienstprinzipale:

Erstellen Sie einen weiteren Feed mit den folgenden Einstellungen:

  • Feed name: Azure AD Service Principal Sign-in Logs
  • Logtyp: Azure AD
  • Azure-URI: https://secops-azure-logs.blob.core.windows.net/insights-logs-serviceprincipalsigninlogs/

Für Anmeldelogs für verwaltete Identitäten:

Erstellen Sie einen weiteren Feed mit den folgenden Einstellungen:

  • Feed name: Azure AD Managed Identity Sign-in Logs
  • Logtyp: Azure AD
  • Azure-URI: https://secops-azure-logs.blob.core.windows.net/insights-logs-managedidentitysigninlogs/

Für Audit-Logs:

Erstellen Sie einen weiteren Feed mit den folgenden Einstellungen:

  • Feed name: Azure AD Audit Logs
  • Logtyp: Azure AD Audit
  • Azure-URI: https://secops-azure-logs.blob.core.windows.net/insights-logs-auditlogs/

Für Bereitstellungslogs:

Erstellen Sie einen weiteren Feed mit den folgenden Einstellungen:

  • Feed name: Azure AD Provisioning Logs
  • Logtyp: Azure AD
  • Azure-URI: https://secops-azure-logs.blob.core.windows.net/insights-logs-provisioninglogs/

Für riskante Nutzer:

Erstellen Sie einen weiteren Feed mit den folgenden Einstellungen:

  • Feed name: Azure AD Risky Users
  • Logtyp: Azure AD
  • Azure-URI: https://secops-azure-logs.blob.core.windows.net/insights-logs-riskyusers/

Für Nutzer-Risikoereignisse:

Erstellen Sie einen weiteren Feed mit den folgenden Einstellungen:

  • Feed name: Azure AD User Risk Events
  • Logtyp: Azure AD
  • Azure-URI: https://secops-azure-logs.blob.core.windows.net/insights-logs-userriskevents/

Für Microsoft Graph-Aktivitätsprotokolle:

Erstellen Sie einen weiteren Feed mit den folgenden Einstellungen:

  • Feed name: Microsoft Graph Activity Logs
  • Logtyp: Microsoft Graph Activity Logs
  • Azure-URI: https://secops-azure-logs.blob.core.windows.net/insights-logs-microsoftgraphactivitylogs/

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten