Microsoft Azure-Ressourcenprotokolle erfassen

In diesem Dokument wird beschrieben, wie Sie Microsoft Azure-Ressourcenlogs erfassen, indem Sie einen Google Security Operations-Feed mit Microsoft Azure Blob Storage V2 einrichten.

Azure-Ressourcenprotokolle geben Aufschluss über Vorgänge, die in Azure-Ressourcen ausgeführt werden. Diese Logs enthalten detaillierte Informationen zu Ressourcenoperationen, zum Status und zu Leistungsmesswerten. Die Inhalte variieren je nach Ressourcentyp und umfassen Daten wie Authentifizierungsereignisse, Konfigurationsänderungen, Zugriffsversuche und Betriebsstatistiken.

Hinweis

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

• Eine Google SecOps-Instanz

• Privilegierter Zugriff auf das Microsoft Azure-Portal mit Berechtigungen für Folgendes:

  • Speicherkonten erstellen
  • Diagnoseeinstellungen für Azure-Ressourcen konfigurieren
  • Zugriffsschlüssel verwalten

Azure Storage-Konto konfigurieren

Speicherkonto erstellen

1. Suchen Sie im Azure-Portal nach Speicherkonten.
2. Klicken Sie auf + Erstellen.

3. Geben Sie die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Abo	Azure-Abo auswählen
   Ressourcengruppe	Vorhandene auswählen oder neue erstellen
   Name des Speicherkontos	Geben Sie einen eindeutigen Namen ein, z. B. azureresourcelogs.
   Region	Wählen Sie die Region aus (z. B. East US).
   Leistung	Standard (empfohlen)
   Redundanz	GRS (georedundanter Speicher) oder LRS (lokal redundanter Speicher)

4. Klicken Sie auf Überprüfen + Erstellen.

5. Sehen Sie sich die Übersicht des Kontos an und klicken Sie auf Erstellen.

6. Warten Sie, bis die Bereitstellung abgeschlossen ist.

Anmeldedaten für das Speicherkonto abrufen

1. Rufen Sie das soeben erstellte Storage-Konto auf.
2. Wählen Sie in der linken Navigationsleiste unter Security + networking (Sicherheit + Netzwerk) die Option Access keys (Zugriffsschlüssel) aus.
3. Klicken Sie auf Schlüssel anzeigen.

4. Kopieren und speichern Sie die folgenden Informationen zur späteren Verwendung:

   • Name des Speicherkontos: azureresourcelogs
   • Schlüssel 1 oder Schlüssel 2: Der gemeinsame Zugriffsschlüssel (ein 512‑Bit-Zufallsstring in Base64-Codierung)

Blob-Dienstendpunkt abrufen

1. Wählen Sie im selben Speicherkonto in der linken Navigationsleiste Endpunkte aus.

2. Kopieren und speichern Sie die Endpunkt-URL des Blob-Diensts.

   • Beispiel: https://azureresourcelogs.blob.core.windows.net/

Azure-Ressourcendiagnoseeinstellungen konfigurieren

Azure-Ressourcenprotokolle werden nicht standardmäßig erfasst. Sie müssen für jede Azure-Ressource eine Diagnoseeinstellung erstellen, um Protokolle an das Speicherkonto weiterzuleiten.

1. Rufen Sie im Azure-Portal die Azure-Ressource auf, die Sie überwachen möchten.
2. Wählen Sie in der linken Navigationsleiste unter Monitoring die Option Diagnoseeinstellungen aus.
3. Klicken Sie auf + Diagnoseeinstellung hinzufügen.

4. Geben Sie die folgenden Konfigurationsdetails an:

   • Name der Diagnoseeinstellung: Geben Sie einen aussagekräftigen Namen ein, z. B. export-to-secops.

   • Wählen Sie im Bereich Logs die Logkategorien aus, die Sie erfassen möchten. Die verfügbaren Kategorien variieren je nach Ressourcentyp.

     Häufige Kategorien:

     • Administrativ (für Aktivitätslogs)
     • Sicherheit (für Aktivitätsprotokolle)
     • AuditEvent (für Key Vault)
     • ApplicationGatewayAccessLog (für Application Gateway)
     • ApplicationGatewayFirewallLog (für Application Gateway)
     • NetworkSecurityGroupEvent (für Network Security Groups)

   • Wählen Sie im Bereich Messwerte (optional) die Option AllMetrics aus, um Plattformmesswerte an das Speicherkonto zu senden.

   • Wählen Sie im Abschnitt Zieldetails das Kästchen In einem Speicherkonto archivieren aus.

   • Abo: Wählen Sie das Abo aus, das Ihr Speicherkonto enthält.

   • Speicherkonto: Wählen Sie das Speicherkonto aus, das Sie zuvor erstellt haben (z. B. azureresourcelogs).

5. Klicken Sie auf Speichern.

   Nach der Konfiguration werden Logs automatisch in Container im Speicherkonto exportiert. Azure erstellt Container mit dem Namensmuster insights-logs-<log-category-name>. Beispiel:

   • Audit-Logs für Key Vault: insights-logs-auditevent
   • Application Gateway-Zugriffslogs: insights-logs-applicationgatewayaccesslog
   • Application Gateway-Firewall-Logs: insights-logs-applicationgatewayfirewalllog
   • Ereignisse zu Netzwerksicherheitsgruppen: insights-logs-networksecuritygroupevent

Feed in Google SecOps konfigurieren, um Azure-Ressourcenprotokolle aufzunehmen

1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
2. Klicken Sie auf Neuen Feed hinzufügen.
3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Azure Resource Logs.
5. Wählen Sie Microsoft Azure Blob Storage V2 als Quelltyp aus.
6. Wählen Sie Microsoft Azure-Ressource als Logtyp aus.
7. Klicken Sie auf Weiter.

8. Geben Sie Werte für die folgenden Eingabeparameter an:

   • Azure-URI: Geben Sie die Blob Service-Endpunkt-URL mit dem Containerpfad ein:

     https://azureresourcelogs.blob.core.windows.net/insights-logs-<category-name>/
     

     Ersetzen Sie Folgendes:

     • azureresourcelogs: Name Ihres Azure-Speicherkontos.
     • <category-name>: Der Name der Protokollkategorie (z. B. auditevent für Key Vault, applicationgatewayaccesslog für Application Gateway).

   • Option zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus:

     • Nie: Löscht nach Übertragungen niemals Dateien.
     • Übertragene Dateien löschen: Dateien werden nach der erfolgreichen Übertragung gelöscht.
     • Übertragene Dateien und leere Verzeichnisse löschen: Löscht Dateien und leere Verzeichnisse nach der erfolgreichen Übertragung.

   • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.

   • Shared Key (Gemeinsamer Schlüssel): Geben Sie den Wert des gemeinsamen Schlüssels (Zugriffsschlüssel) ein, den Sie in Schritt 3 aus dem Speicherkonto kopiert haben.

   • Asset-Namespace: Der Asset-Namespace.

   • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

9. Klicken Sie auf Weiter.

10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Azure Storage-Firewall konfigurieren (falls aktiviert)

Wenn für Ihr Azure-Speicherkonto eine Firewall verwendet wird, müssen Sie die IP-Bereiche von Google SecOps hinzufügen.

1. Wählen Sie eine der folgenden Optionen aus, um die aktuellen IP-Bereiche abzurufen:

   • Dokumentation zur IP-Zulassungsliste
   • Sie können sie programmatisch mit der Feed Management API abrufen.

2. Rufen Sie im Azure-Portal Ihr Storage-Konto auf.

3. Wählen Sie unter Sicherheit + Netzwerk die Option Netzwerk aus.

4. Wählen Sie unter Firewalls und virtuelle Netzwerke die Option Aktiviert für ausgewählte virtuelle Netzwerke und IP-Adressen aus.

5. Klicken Sie im Bereich Firewall unter Adressbereich auf + IP-Bereich hinzufügen.

6. Fügen Sie jeden Google SecOps-IP-Bereich in CIDR-Notation hinzu.

7. Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten