收集 Microsoft Azure 活動和 Entra ID 記錄

支援的國家/地區:

本文說明如何使用 Microsoft Azure Blob 儲存體設定 Google Security Operations 動態饋給,以收集 Microsoft Azure 活動和 Entra ID 記錄。

Azure 活動記錄可深入瞭解對 Azure 資源執行的訂閱層級作業,例如建立儲存空間帳戶、刪除事件中樞或修改虛擬機器。Microsoft Entra ID (舊稱 Azure Active Directory) 記錄會擷取身分和存取權管理事件,包括使用者登入、稽核記錄、佈建活動和安全風險偵測。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • 具備下列權限的 Microsoft Azure 入口網站特殊存取權:
    • 建立儲存空間帳戶
    • 設定 Azure 監視器和 Entra ID 的診斷設定
    • 管理存取金鑰
  • Entra ID 中的安全性管理員角色或更高層級 (適用於 Entra ID 診斷設定)

設定 Azure 儲存體帳戶

建立儲存空間帳戶

  1. Azure 入口網站中,搜尋「儲存體帳戶」
  2. 點選「+ 建立」

  3. 請提供下列設定詳細資料:

    設定
    訂閱項目 選取 Azure 訂閱項目
    資源群組 選取現有項目或建立新項目
    儲存體帳戶名稱 輸入不重複的名稱 (例如 secops-azure-logs)
    區域 選取區域 (例如 East US)
    效能 標準 (建議)
    備援功能 GRS (異地備援儲存空間) 或 LRS (本機備援儲存空間)

  4. 按一下「Review + create」

  5. 查看帳戶總覽,然後按一下「建立」

  6. 等待部署作業完成。

取得儲存空間帳戶憑證

  1. 前往您剛建立的「儲存空間帳戶」
  2. 在左側導覽中,選取「Security + networking」(安全性 + 網路) 下方的「Access keys」(存取金鑰)
  3. 按一下「顯示金鑰」
  4. 複製並儲存下列項目,以供日後使用:
    • 儲存空間帳戶名稱:您的儲存空間帳戶名稱 (例如 secops-azure-logs)
    • 「金鑰 1」或「金鑰 2」:共用存取金鑰 (採用 Base64 編碼的 512 位元隨機字串)

取得 Blob 服務端點

  1. 在同一個儲存空間帳戶中,選取左側導覽列的「Endpoints」(端點)
  2. 複製並儲存 Blob 服務端點網址。
    • 範例:https://secops-azure-logs.blob.core.windows.net/

設定 Azure 活動記錄診斷設定

如要將 Azure 活動記錄匯出至儲存體帳戶,請按照下列步驟操作:

  1. Azure 入口網站中,搜尋「監視器」
  2. 按一下左側導覽列中的「活動記錄」
  3. 按一下視窗頂端的「匯出活動記錄」
  4. 按一下「新增診斷設定」
  5. 請提供下列設定詳細資料:
    • 診斷設定名稱:輸入描述性名稱 (例如 activity-logs-to-secops)。
    • 在「記錄」部分中,選取下列類別:
      • Administrative
      • 安全性
      • 服務健康狀態
      • 快訊
      • 建議
      • 政策
      • 自動調度資源
      • 資源健康狀態
    • 在「目的地詳細資料」部分,選取「封存至儲存空間帳戶」核取方塊。
    • 訂閱項目:選取包含儲存空間帳戶的訂閱項目。
    • 儲存空間帳戶:選取您先前建立的儲存空間帳戶 (例如 secops-azure-logs)。
  6. 按一下 [儲存]

設定 Entra ID 診斷設定

如要將 Entra ID 記錄匯出至儲存空間帳戶,請按照下列步驟操作:

  1. Azure 入口網站中,搜尋 Microsoft Entra IDAzure Active Directory
  2. 在左側導覽面板中,依序前往「監控與健康狀態」>「診斷設定」
  3. 按一下「新增診斷設定」
  4. 請提供下列設定詳細資料:
    • 診斷設定名稱:輸入描述性名稱 (例如 entraid-logs-to-secops)。
    • 在「記錄」專區中,選取要匯出的記錄類別:
      • SignInLogs:互動式使用者登入
      • NonInteractiveUserSignInLogs:非互動式使用者登入 (服務主體、代表使用者執行的受管理身分)
      • ServicePrincipalSignInLogs:服務主體和應用程式登入
      • ManagedIdentitySignInLogs:受管理的身分登入
      • AuditLogs:Entra ID 中所有變更的稽核追蹤記錄 (使用者建立、角色指派等)
      • ProvisioningLogs:使用者和群組佈建事件
      • RiskyUsers:Identity Protection 標記的使用者
      • UserRiskEvents:使用者帳戶的風險偵測
      • MicrosoftGraphActivityLogs:Microsoft Graph API 活動記錄
    • 在「目的地詳細資料」部分,選取「封存至儲存空間帳戶」核取方塊。
    • 訂閱項目:選取包含儲存空間帳戶的訂閱項目。
    • 儲存空間帳戶:選取您先前建立的儲存空間帳戶 (例如 secops-azure-logs)。

  5. 按一下 [儲存]

擷取 Google SecOps 服務帳戶

Google SecOps 會使用專屬服務帳戶,從 Azure Blob Storage 讀取資料。您必須授予這個服務帳戶儲存空間帳戶的存取權。

取得服務帳戶電子郵件地址

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「新增動態消息」
  3. 按一下「設定單一動態饋給」
  4. 在「動態饋給名稱」欄位中輸入暫時名稱。
  5. 選取「Microsoft Azure Blob Storage V2」做為「來源類型」
  6. 選取任何記錄類型 (之後可變更)。

  7. 按一下「取得服務帳戶」。系統會顯示專屬的服務帳戶電子郵件地址,例如:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. 複製這個電子郵件地址,以便在下一步中使用。

  9. 按一下「取消」即可退出動態饋給建立程序 (稍後再建立實際的動態饋給)。

將 IAM 權限授予 Google SecOps 服務帳戶

Google SecOps 服務帳戶需要儲存空間帳戶的「儲存空間 Blob 資料讀取者」角色。

  1. Azure 入口網站中,前往「儲存體帳戶」
  2. 按一下儲存空間帳戶名稱 (例如 secops-azure-logs)。
  3. 前往「存取權控管 (IAM)」分頁標籤。
  4. 依序點選「+ 新增」>「新增角色指派」。
  5. 在「角色」分頁中,搜尋並選取「Storage Blob Data Reader」(儲存空間 Blob 資料讀取者)
  6. 點選「下一步」
  7. 在「成員」分頁中,按一下「+ 選取成員」
  8. 在搜尋方塊中,貼上 Google SecOps 服務帳戶電子郵件地址。
  9. 從搜尋結果中選取服務帳戶。
  10. 按一下「選取」
  11. 按一下「Review + assign」
  12. 檢查指派項目,然後再次點選「檢查並指派」

在 Google SecOps 中設定動態饋給

您必須為每個記錄類型和容器建立個別的動態饋給。下表列出 Azure 容器與 Google SecOps 記錄類型之間的對應關係:

容器名稱 Chronicle 記錄類型 資料來源
insights-activity-logs Azure 活動 Azure 活動記錄
insights-logs-signinlogs Azure AD Entra ID 互動式登入
insights-logs-noninteractiveusersigninlogs Azure AD Entra ID 非互動式登入
insights-logs-serviceprincipalsigninlogs Azure AD Entra ID 服務主體登入
insights-logs-managedidentitysigninlogs Azure AD Entra ID 受管理的身分登入
insights-logs-auditlogs Azure AD 稽核 Entra ID 稽核記錄
insights-logs-provisioninglogs Azure AD Entra ID 佈建記錄
insights-logs-riskyusers Azure AD Entra ID Risky Users
insights-logs-userriskevents Azure AD Entra ID 使用者風險事件
insights-logs-microsoftgraphactivitylogs Microsoft Graph 活動記錄 Microsoft Graph 活動

建立 Azure 活動記錄的動態饋給

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「動態饋給名稱」欄位中輸入 Azure Activity Logs
  5. 選取「Microsoft Azure Blob Storage V2」做為「來源類型」
  6. 選取「Azure 活動」做為「記錄類型」
  7. 點選「下一步」

  8. 指定下列輸入參數的值:

    • Azure URI:輸入 Blob 服務端點網址和容器路徑:

       https://secops-azure-logs.blob.core.windows.net/insights-activity-logs/
      • secops-azure-logs 替換為 Azure 儲存空間帳戶名稱。

    • 來源刪除選項:根據偏好設定選取刪除選項:

      • 永不:轉移後一律不刪除任何檔案。
      • 刪除已轉移的檔案:成功轉移檔案後刪除檔案。

      • 刪除已轉移的檔案和空白目錄:成功轉移後刪除檔案和空白目錄。

    • 檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。

    • 共用金鑰:輸入您先前從儲存空間帳戶擷取的共用金鑰值 (存取金鑰)。

    • 資產命名空間資產命名空間

    • 擷取標籤:要套用至這個動態饋給事件的標籤。

  9. 點選「下一步」

  10. 在「Finalize」(完成) 畫面中檢查新的動態饋給設定,然後按一下「Submit」(提交)

建立 Entra ID 記錄的資訊提供

針對您在診斷設定中設定的每個 Entra ID 記錄類型,重複執行下列步驟:

互動式登入記錄:

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「新增動態消息」
  3. 按一下「設定單一動態饋給」
  4. 在「動態饋給名稱」欄位中輸入 Azure AD Interactive Sign-in Logs
  5. 選取「Microsoft Azure Blob Storage V2」做為「來源類型」
  6. 選取「Azure AD」做為「記錄類型」
  7. 點選「下一步」

  8. 指定下列輸入參數的值:

    • Azure URI

      https://secops-azure-logs.blob.core.windows.net/insights-logs-signinlogs/
    • 來源刪除選項:根據偏好設定選取。
    • 檔案存在時間上限:180 天 (預設)。
    • 共用金鑰:輸入共用金鑰值。
    • 資產命名空間:資產命名空間。
    • 擷取標籤:要套用的標籤。

  9. 依序點選「下一步」和「提交」

非互動式登入記錄:

使用下列設定建立另一個動態饋給:

  • 動態饋給名稱Azure AD Non-interactive Sign-in Logs
  • 「記錄類型」Azure AD
  • Azure URIhttps://secops-azure-logs.blob.core.windows.net/insights-logs-noninteractiveusersigninlogs/

服務主體登入記錄:

使用下列設定建立另一個動態饋給:

  • 動態饋給名稱Azure AD Service Principal Sign-in Logs
  • 「記錄類型」Azure AD
  • Azure URIhttps://secops-azure-logs.blob.core.windows.net/insights-logs-serviceprincipalsigninlogs/

如要查看受管理身分登入記錄:

使用下列設定建立另一個動態饋給:

  • 動態饋給名稱Azure AD Managed Identity Sign-in Logs
  • 「記錄類型」Azure AD
  • Azure URIhttps://secops-azure-logs.blob.core.windows.net/insights-logs-managedidentitysigninlogs/

稽核記錄:

使用下列設定建立另一個動態饋給:

  • 動態饋給名稱Azure AD Audit Logs
  • 「記錄類型」Azure AD Audit
  • Azure URIhttps://secops-azure-logs.blob.core.windows.net/insights-logs-auditlogs/

佈建記錄:

使用下列設定建立另一個動態饋給:

  • 動態饋給名稱Azure AD Provisioning Logs
  • 「記錄類型」Azure AD
  • Azure URIhttps://secops-azure-logs.blob.core.windows.net/insights-logs-provisioninglogs/

高風險使用者:

使用下列設定建立另一個動態饋給:

  • 動態饋給名稱Azure AD Risky Users
  • 「記錄類型」Azure AD
  • Azure URIhttps://secops-azure-logs.blob.core.windows.net/insights-logs-riskyusers/

使用者風險事件:

使用下列設定建立另一個動態饋給:

  • 動態饋給名稱Azure AD User Risk Events
  • 「記錄類型」Azure AD
  • Azure URIhttps://secops-azure-logs.blob.core.windows.net/insights-logs-userriskevents/

Microsoft Graph 活動記錄:

使用下列設定建立另一個動態饋給:

  • 動態饋給名稱Microsoft Graph Activity Logs
  • 「記錄類型」Microsoft Graph Activity Logs
  • Azure URIhttps://secops-azure-logs.blob.core.windows.net/insights-logs-microsoftgraphactivitylogs/

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。