Raccogliere i log di attività e di Entra ID di Microsoft Azure

Supportato in:

Questo documento spiega come raccogliere i log di attività e di Entra ID di Microsoft Azure configurando i feed di Google Security Operations utilizzando Microsoft Azure Blob Storage.

I log attività di Azure forniscono informazioni dettagliate sulle operazioni a livello di abbonamento eseguite sulle risorse Azure, come la creazione di account di archiviazione, l'eliminazione di hub eventi o la modifica di macchine virtuali. I log di Microsoft Entra ID (in precedenza Azure Active Directory) acquisiscono eventi di gestione di identità e accessi, tra cui accessi degli utenti, log di controllo, attività di provisioning e rilevamenti di rischi per la sicurezza.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Accesso con privilegi al portale Microsoft Azure con autorizzazioni per:
    • Crea account di archiviazione
    • Configura le impostazioni di diagnostica per Azure Monitor ed Entra ID
    • Gestire le chiavi di accesso
  • Ruolo di amministratore della sicurezza o superiore in Entra ID (per le impostazioni di diagnostica di Entra ID)

Configura l'account di archiviazione di Azure

Crea un account di archiviazione

  1. Nel portale Azure, cerca Account di archiviazione.
  2. Fai clic su + Crea.

  3. Fornisci i seguenti dettagli di configurazione:

    Impostazione Valore
    Abbonamento Seleziona il tuo abbonamento Azure
    Gruppo di risorse Seleziona un'opzione esistente o creane una nuova
    Nome account di archiviazione Inserisci un nome univoco (ad esempio, secops-azure-logs).
    Regione Seleziona la regione (ad esempio, East US)
    Prestazioni Standard (consigliato)
    Ridondanza GRS (archiviazione con ridondanza geografica) o LRS (archiviazione con ridondanza locale)

  4. Fai clic su Review + create (Rivedi e crea).

  5. Controlla la panoramica dell'account e fai clic su Crea.

  6. Attendi il completamento del deployment.

Recuperare le credenziali dell'account di archiviazione

  1. Vai all'account di archiviazione che hai appena creato.
  2. Nel riquadro di navigazione a sinistra, seleziona Chiavi di accesso in Sicurezza e networking.
  3. Fai clic su Mostra chiavi.
  4. Copia e salva i seguenti dati per un utilizzo successivo:
    • Nome account di archiviazione: il nome del tuo account di archiviazione (ad esempio, secops-azure-logs)
    • Chiave 1 o Chiave 2: la chiave di accesso condivisa (una stringa casuale di 512 bit con codifica Base64)

Ottieni l'endpoint del servizio Blob

  1. Nello stesso account di archiviazione, seleziona Endpoint nel menu di navigazione a sinistra.
  2. Copia e salva l'URL dell'endpoint Blob service.
    • Esempio: https://secops-azure-logs.blob.core.windows.net/

Configurare le impostazioni di diagnostica dei log attività di Azure

Per esportare i log delle attività di Azure nell'account di archiviazione:

  1. Nel portale Azure, cerca Monitoraggio.
  2. Fai clic su Log attività nel riquadro di navigazione a sinistra.
  3. Fai clic su Esporta log attività nella parte superiore della finestra.
  4. Fai clic su Aggiungi impostazione diagnostica.
  5. Fornisci i seguenti dettagli di configurazione:
    • Nome impostazione diagnostica: inserisci un nome descrittivo (ad esempio activity-logs-to-secops).
    • Nella sezione Log, seleziona le seguenti categorie:
      • Amministrativo
      • Sicurezza
      • Service Health
      • Avviso
      • Consiglio
      • Norme
      • Scalabilità automatica
      • Resource Health
    • Nella sezione Dettagli destinazione, seleziona la casella di controllo Archivia in un account di archiviazione.
    • Abbonamento: seleziona l'abbonamento contenente il tuo account di archiviazione.
    • Storage account: seleziona l'account di archiviazione che hai creato in precedenza (ad esempio, secops-azure-logs).
  6. Fai clic su Salva.

Configurare le impostazioni di diagnostica di Entra ID

Per esportare i log di Entra ID nell'account di archiviazione:

  1. Nel portale Azure, cerca Microsoft Entra ID o Azure Active Directory.
  2. Nel riquadro di navigazione a sinistra, vai a Monitoraggio e integrità > Impostazioni di diagnostica.
  3. Fai clic su Aggiungi impostazione diagnostica.
  4. Fornisci i seguenti dettagli di configurazione:
    • Nome impostazione diagnostica: inserisci un nome descrittivo (ad esempio entraid-logs-to-secops).
    • Nella sezione Log, seleziona le categorie di log che vuoi esportare:
      • SignInLogs: accessi utente interattivi
      • NonInteractiveUserSignInLogs: accessi utente non interattivi (entità servizio, identità gestite che agiscono per conto degli utenti)
      • ServicePrincipalSignInLogs: accessi di entità servizio e applicazioni
      • ManagedIdentitySignInLogs: accessi con identità gestita
      • AuditLogs: audit trail di tutte le modifiche in Entra ID (creazione di utenti, assegnazioni di ruoli e così via)
      • ProvisioningLogs: eventi di provisioning di utenti e gruppi
      • RiskyUsers: utenti segnalati da Identity Protection
      • UserRiskEvents: rilevamenti di rischi per gli account utente
      • MicrosoftGraphActivityLogs: log attività API Microsoft Graph
    • Nella sezione Dettagli destinazione, seleziona la casella di controllo Archivia in un account di archiviazione.
    • Abbonamento: seleziona l'abbonamento contenente il tuo account di archiviazione.
    • Storage account: seleziona l'account di archiviazione che hai creato in precedenza (ad esempio, secops-azure-logs).

  5. Fai clic su Salva.

Recuperare il account di servizio Google SecOps

Google SecOps utilizza un account di servizio univoco per leggere i dati da Azure Blob Storage. Devi concedere a questo account di servizio l'accesso al tuo account di archiviazione.

Recuperare l'email del account di servizio

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome temporaneo.
  5. Seleziona Microsoft Azure Blob Storage V2 come Tipo di origine.
  6. Seleziona un tipo di log (puoi modificarlo in un secondo momento).

  7. Fai clic su Ottieni service account. Viene visualizzata un'email del account di servizio univoca, ad esempio:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Copia questo indirizzo email per utilizzarlo nel passaggio successivo.

  9. Fai clic su Annulla per uscire dalla creazione del feed (creerai i feed effettivi in un secondo momento).

Concedi le autorizzazioni IAM al account di servizio Google SecOps

Il account di servizio Google SecOps richiede il ruolo Storage Blob Data Reader nel tuo account di archiviazione.

  1. Nel portale Azure, vai ad Account di archiviazione.
  2. Fai clic sul nome del tuo account di archiviazione (ad esempio secops-azure-logs).
  3. Vai alla scheda Controllo accesso (IAM).
  4. Fai clic su + Aggiungi > Aggiungi assegnazione ruolo.
  5. Nella scheda Ruolo, cerca e seleziona Storage Blob Data Reader.
  6. Fai clic su Avanti.
  7. Nella scheda Membri, fai clic su + Seleziona membri.
  8. Nella casella di ricerca, incolla l'email dell'account di servizio Google SecOps.
  9. Seleziona il account di servizio dai risultati.
  10. Fai clic su Seleziona.
  11. Fai clic su Rivedi e assegna.
  12. Rivedi il compito e fai di nuovo clic su Rivedi e assegna.

Configurare i feed in Google SecOps

Devi creare un feed separato per ogni tipo di log e contenitore. La seguente tabella mostra il mapping tra i container Azure e i tipi di log di Google SecOps:

Nome container Tipo di log di Chronicle Origine dati
insights-activity-logs Attività Azure Log delle attività Azure
insights-logs-signinlogs Azure AD Accessi interattivi di Entra ID
insights-logs-noninteractiveusersigninlogs Azure AD Accessi non interattivi di Entra ID
insights-logs-serviceprincipalsigninlogs Azure AD Accessi dell'entità servizio Entra ID
insights-logs-managedidentitysigninlogs Azure AD Accessi con identità gestita Entra ID
insights-logs-auditlogs Audit di Azure AD Audit log di Entra ID
insights-logs-provisioninglogs Azure AD Log di provisioning di Entra ID
insights-logs-riskyusers Azure AD Entra ID Risky Users
insights-logs-userriskevents Azure AD Eventi di rischio utente Entra ID
insights-logs-microsoftgraphactivitylogs Log attività di Microsoft Graph Attività di Microsoft Graph

Crea feed per i log attività di Azure

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci Azure Activity Logs.
  5. Seleziona Microsoft Azure Blob Storage V2 come Tipo di origine.
  6. Seleziona Attività Azure come Tipo di log.
  7. Fai clic su Avanti.

  8. Specifica i valori per i seguenti parametri di input:

    • URI di Azure: inserisci l'URL dell'endpoint del servizio BLOB con il percorso del container:

       https://secops-azure-logs.blob.core.windows.net/insights-activity-logs/
      • Sostituisci secops-azure-logs con il nome del tuo account di archiviazione Azure.

    • Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze:

      • Mai: non elimina mai i file dopo i trasferimenti.
      • Elimina file trasferiti: elimina i file dopo il trasferimento riuscito.

      • Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito.

    • Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.

    • Chiave condivisa: inserisci il valore della chiave condivisa (chiave di accesso) che hai acquisito in precedenza dall'account di archiviazione.

    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.

    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.

  9. Fai clic su Avanti.

  10. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Crea feed per i log di Entra ID

Ripeti i seguenti passaggi per ogni tipo di log di Entra ID configurato nelle impostazioni di diagnostica:

Per i log di accesso interattivi:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci Azure AD Interactive Sign-in Logs.
  5. Seleziona Microsoft Azure Blob Storage V2 come Tipo di origine.
  6. Seleziona Azure AD come Tipo di log.
  7. Fai clic su Avanti.

  8. Specifica i valori per i seguenti parametri di input:

    • URI di Azure:

      https://secops-azure-logs.blob.core.windows.net/insights-logs-signinlogs/
    • Opzione di eliminazione della fonte: seleziona l'opzione che preferisci.
    • Durata massima del file: 180 giorni (valore predefinito).
    • Chiave condivisa: inserisci il valore della chiave condivisa.
    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
    • Etichette di importazione: l'etichetta da applicare.

  9. Fai clic su Avanti, quindi su Invia.

Per i log di accesso non interattivi:

Crea un altro feed con le seguenti impostazioni:

  • Nome feed: Azure AD Non-interactive Sign-in Logs
  • Tipo di log: Azure AD
  • URI di Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-noninteractiveusersigninlogs/

Per i log di accesso del service principal:

Crea un altro feed con le seguenti impostazioni:

  • Nome feed: Azure AD Service Principal Sign-in Logs
  • Tipo di log: Azure AD
  • URI di Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-serviceprincipalsigninlogs/

Per i log di accesso con identità gestita:

Crea un altro feed con le seguenti impostazioni:

  • Nome feed: Azure AD Managed Identity Sign-in Logs
  • Tipo di log: Azure AD
  • URI di Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-managedidentitysigninlogs/

Per gli audit log:

Crea un altro feed con le seguenti impostazioni:

  • Nome feed: Azure AD Audit Logs
  • Tipo di log: Azure AD Audit
  • URI di Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-auditlogs/

Per i log di provisioning:

Crea un altro feed con le seguenti impostazioni:

  • Nome feed: Azure AD Provisioning Logs
  • Tipo di log: Azure AD
  • URI di Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-provisioninglogs/

Per gli utenti rischiosi:

Crea un altro feed con le seguenti impostazioni:

  • Nome feed: Azure AD Risky Users
  • Tipo di log: Azure AD
  • URI di Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-riskyusers/

Per gli eventi di rischio utente:

Crea un altro feed con le seguenti impostazioni:

  • Nome feed: Azure AD User Risk Events
  • Tipo di log: Azure AD
  • URI di Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-userriskevents/

Per i log attività di Microsoft Graph:

Crea un altro feed con le seguenti impostazioni:

  • Nome feed: Microsoft Graph Activity Logs
  • Tipo di log: Microsoft Graph Activity Logs
  • URI di Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-microsoftgraphactivitylogs/

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.