Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Recopila registros de registro de Microsoft Azure Key Vault

Compatible con:

Google secops SIEM

En este documento, se describe cómo puedes recopilar los registros de registro de Azure Key Vault configurando un feed de Google Security Operations.

Para obtener más información, consulta Transferencia de datos a Google SecOps.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia AZURE_KEYVAULT_AUDI.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Suscripción a Azure a la que puedas acceder
Entorno (tenant) de Azure Key Vault en Azure
Rol de administrador global o de administrador de Azure Key Vault
Cuenta de Azure Storage para almacenar los registros

Configura una cuenta de almacenamiento

Accede al portal de Azure.
En la consola de Azure, busca Cuentas de almacenamiento.
Selecciona la cuenta de almacenamiento de la que se deben extraer los registros y, luego, selecciona Clave de acceso. Para crear una cuenta de almacenamiento nueva, haz lo siguiente:
1. Haz clic en Crear.
2. Ingresa un nombre para la cuenta de almacenamiento nueva.
3. Selecciona la suscripción, el grupo de recursos, la región, el rendimiento y la redundancia de la cuenta. Te recomendamos que configures el rendimiento como estándar y la redundancia como GRS o LRS.
4. Haz clic en Revisar + crear.
5. Revisa la descripción general de la cuenta y haz clic en Crear.
Haz clic en Mostrar claves y anota la clave compartida de la cuenta de almacenamiento.
Selecciona Extremos y anota el extremo de servicio de Blob.

Para obtener más información sobre cómo crear una cuenta de almacenamiento, consulta la sección Crea una cuenta de Azure Storage en la documentación de Microsoft.

Configura el registro de Azure Key Vault

En el portal de Azure, ve a Key Vaults y selecciona el almacén de claves que quieres configurar para el registro.
En la sección Supervisión, selecciona Configuración de diagnóstico.
Selecciona Agregar configuración de diagnóstico. La ventana Configuración de diagnóstico proporciona la configuración de los registros de diagnóstico.
En el campo Nombre de la configuración de diagnóstico, especifica el nombre de la configuración de diagnóstico.
En la sección Grupos de categorías, selecciona la casilla de verificación auditoría.
En el campo Retención (días), especifica un valor de retención de registros que cumpla con las políticas de tu organización. Google SecOps recomienda un mínimo de un día de retención de registros.

Puedes almacenar los registros de registro de Azure Key Vault en una cuenta de almacenamiento o transmitirlos a Event Hubs. Google SecOps admite la recopilación de registros con una cuenta de almacenamiento.

Archiva en una cuenta de almacenamiento

Para almacenar registros en una cuenta de almacenamiento, en la ventana Configuración de diagnóstico, selecciona la casilla de verificación Archivar en una cuenta de almacenamiento.
En la lista Suscripción, selecciona la suscripción existente.
En la lista Cuenta de almacenamiento, selecciona la cuenta de almacenamiento existente.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

Configuración de SIEM > Feeds > Agregar feed nuevo
Content Hub > Paquetes de contenido > Comenzar

Cómo configurar el feed de registro de Azure Key Vault

Haz clic en el paquete Plataforma de Azure.
Busca el tipo de registro Registro de Azure Key Vault y haz clic en Agregar feed nuevo.
Especifica valores para los siguientes campos:
- Tipo de fuente: Microsoft Azure Blob Storage V2.
- URI de Azure: Especifica el extremo de servicio de Blob que obtuviste anteriormente junto con uno de los nombres de contenedor de esa cuenta de almacenamiento. Por ejemplo, https://xyz.blob.core.windows.net/abc/.
- Opción de eliminación del código fuente: Especifica la opción de eliminación del código fuente.
- Antigüedad máxima del archivo: Incluye los archivos modificados en la última cantidad de días. El valor predeterminado es de 180 días.
- Clave: Especifica la clave compartida que obtuviste anteriormente.
Precaución: Para evitar errores HTTP 429 (Demasiadas solicitudes) y retrasos en la transferencia, no vuelvas a usar la misma clave compartida ni la misma cuenta de almacenamiento en varios feeds.

Opciones avanzadas
- Nombre del feed: Es un valor prepropagado que identifica el feed.
- Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
- Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.
Haz clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Configura feeds por producto.

Para obtener más información sobre los feeds de Google SecOps, consulta la documentación de los feeds de Google SecOps.

Para obtener información sobre los requisitos de cada tipo de feed, consulta Configuración de feeds por tipo.

Registros de muestra de registro de Microsoft Azure Key Vault compatibles

Auditoría de Azure Key Vault

{
  "time": "2024-02-01T10:34:54.5732801Z",
  "category": "AuditEvent",
  "operationName": "Authentication",
  "resultType": "Success",
  "correlationId": "00000000-0000-0000-0000-000000000000",
  "callerIpAddress": "127.0.0.1",
  "identity": {},
  "properties": {
    "clientInfo": "azsdk-net-Security.KeyVault.Secrets/4.5.0 (.NET Framework 4.8.4645.0; Microsoft Windows 10.0.20348 )",
    "httpStatusCode": 401,
    "requestUri": "https://example-vault.vault.azure.net/secrets/?api-version=7.4",
    "tlsVersion": "TLS1_3"
  },
  "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/EXAMPLE-RG/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/EXAMPLE-VAULT",
  "operationVersion": "7.4",
  "resultSignature": "Unauthorized",
  "durationMs": "17"
}

Diagnóstico de Azure

{
  "TenantId": "00000000-0000-0000-0000-000000000000",
  "TimeGenerated": "2025-01-07T20:00:00.0483028Z",
  "ResourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/EXAMPLE-RG/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/EXAMPLE-VAULT",
  "Category": "AuditEvent",
  "ResourceGroup": "EXAMPLE-RG",
  "SubscriptionId": "00000000-0000-0000-0000-000000000000",
  "ResourceProvider": "MICROSOFT.KEYVAULT",
  "Resource": "EXAMPLE-VAULT",
  "ResourceType": "VAULTS",
  "OperationName": "SecretGet",
  "ResultType": "Success",
  "CorrelationId": "00000000-0000-0000-0000-000000000000",
  "ResultDescription": "",
  "requestUri_s": "https://example-vault.vault.azure.net/secrets/example-secret/?api-version=7.3",
  "DurationMs": 16,
  "CallerIPAddress": "127.0.0.1",
  "OperationVersion": "7.3",
  "ResultSignature": "OK",
  "id_s": "https://example-vault.vault.azure.net/secrets/example-secret/00000000000000000000000000000000",
  "clientInfo_s": "azsdk-net-Security.KeyVault.Secrets/4.3.0 (.NET 6.0.35; Microsoft Windows 10.0.14393)",
  "httpStatusCode_d": 200,
  "identity_claim_appid_g": "00000000-0000-0000-0000-000000000000",
  "isAccessPolicyMatch_b": true,
  "identity_claim_oid_g": "00000000-0000-0000-0000-000000000000",
  "identity_claim_appidacr_s": "2",
  "identity_claim_xms_az_nwperimid_s": "[]",
  "identity_claim_idtyp_s": "app",
  "tlsVersion_s": "TLS1_2",
  "Type": "AzureDiagnostics",
  "_ResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/example-rg/providers/microsoft.keyvault/vaults/example-vault"
}

Azure Resource Graph

{
  "value": [
    {
      "TenantId": "00000000-0000-0000-0000-000000000000",
      "TimeGenerated": "2024-11-02T09:12:25.0852453Z",
      "ResourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/EXAMPLE-RG/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/EXAMPLE-VAULT",
      "Category": "AuditEvent",
      "ResourceGroup": "EXAMPLE-RG",
      "SubscriptionId": "00000000-0000-0000-0000-000000000000",
      "ResourceProvider": "MICROSOFT.KEYVAULT",
      "Resource": "EXAMPLE-VAULT",
      "ResourceType": "VAULTS",
      "OperationName": "VaultGet",
      "ResultType": "Success",
      "CorrelationId": "00000000-0000-0000-0000-000000000000",
      "ResultDescription": "",
      "requestUri_s": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/example-rg/providers/Microsoft.KeyVault/vaults/example-vault?api-version=2023-07-01&MaskCMKEnabledProperties=true",
      "DurationMs": 30,
      "CallerIPAddress": "127.0.0.1",
      "OperationVersion": "2023-07-01",
      "ResultSignature": "OK",
      "id_s": "https://example-vault.vault.azure.net/",
      "clientInfo_s": "AzureResourceGraph.IngestionWorkerService.global/1.24.1.672",
      "httpStatusCode_d": 200,
      "identity_claim_appid_g": "00000000-0000-0000-0000-000000000000",
      "identity_claim_http_schemas_microsoft_com_identity_claims_objectidentifier_g": "00000000-0000-0000-0000-000000000000",
      "properties_sku_Family_s": "A",
      "properties_sku_Name_s": "standard",
      "properties_tenantId_g": "00000000-0000-0000-0000-000000000000",
      "properties_enabledForDeployment_b": false,
      "properties_enabledForTemplateDeployment_b": false,
      "properties_enabledForDiskEncryption_b": false,
      "properties_enableSoftDelete_b": true,
      "properties_enableRbacAuthorization_b": false,
      "properties_enablePurgeProtection_b": true,
      "Type": "AzureDiagnostics",
      "_ResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/example-rg/providers/microsoft.keyvault/vaults/example-vault"
    }
  ]
}

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.