Recopila registros de recursos de Microsoft Azure

En este documento, se explica cómo recopilar registros de recursos de Microsoft Azure configurando un feed de Google Security Operations con Microsoft Azure Blob Storage V2.

Los registros de recursos de Azure proporcionan información sobre las operaciones que se realizan en los recursos de Azure. En estos registros, se captura información detallada sobre las operaciones, el estado y las métricas de rendimiento de los recursos. El contenido varía según el tipo de recurso y contiene datos como eventos de autenticación, cambios de configuración, intentos de acceso y métricas operativas.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

• Una instancia de Google SecOps

• Acceso con privilegios al portal de Microsoft Azure con permisos para realizar las siguientes acciones:

  • Crea cuentas de almacenamiento
  • Configura los parámetros de diagnóstico para los recursos de Azure
  • Administra las claves de acceso

Configura la cuenta de Azure Storage

Crea una cuenta de almacenamiento

1. En el portal de Azure, busca Cuentas de almacenamiento.
2. Haz clic en + Crear.

3. Proporciona los siguientes detalles de configuración:

   Configuración	Valor
   Suscripción	Selecciona tu suscripción a Azure
   Grupo de recursos	Selecciona una condición existente o crea una nueva
   Nombre de la cuenta de almacenamiento	Ingresa un nombre único (por ejemplo, azureresourcelogs).
   Región	Selecciona la región (por ejemplo, East US).
   Rendimiento	Estándar (opción recomendada)
   Redundancia	GRS (almacenamiento con redundancia geográfica) o LRS (almacenamiento con redundancia local)

4. Haz clic en Revisar y crear.

5. Revisa el resumen de la cuenta y haz clic en Crear.

6. Espera a que se complete la implementación.

Obtén credenciales de la cuenta de almacenamiento

1. Ve a la cuenta de almacenamiento que acabas de crear.
2. En la navegación de la izquierda, selecciona Claves de acceso en Seguridad y redes.
3. Haz clic en Mostrar claves.

4. Copia y guarda lo siguiente para usarlo más adelante:

   • Nombre de la cuenta de almacenamiento: azureresourcelogs
   • Clave 1 o Clave 2: Es la clave de acceso compartido (una cadena aleatoria de 512 bits en codificación base64).

Obtén el extremo del servicio Blob

1. En la misma cuenta de almacenamiento, selecciona Extremos en la navegación de la izquierda.

2. Copia y guarda la URL del extremo del servicio de Blob.

   • Ejemplo: https://azureresourcelogs.blob.core.windows.net/

Configura los parámetros de diagnóstico de recursos de Azure

Los registros de recursos de Azure no se recopilan de forma predeterminada. Debes crear un parámetro de configuración de diagnóstico para cada recurso de Azure para enrutar los registros a la cuenta de almacenamiento.

1. En el portal de Azure, navega hasta el recurso de Azure que quieres supervisar.
2. En el panel de navegación de la izquierda, selecciona Configuración de diagnóstico en Supervisión.
3. Haz clic en + Agregar parámetro de configuración de diagnóstico.

4. Proporciona los siguientes detalles de configuración:

   • Nombre del parámetro de configuración de diagnóstico: Ingresa un nombre descriptivo (por ejemplo, export-to-secops).

   • En la sección Registros, selecciona las categorías de registros que deseas recopilar. Las categorías disponibles varían según el tipo de recurso.

     Entre las categorías habituales, se incluyen las siguientes:

     • Administrativo (para registros de actividad)
     • Seguridad (para los registros de actividad)
     • AuditEvent (para Key Vault)
     • ApplicationGatewayAccessLog (para Application Gateway)
     • ApplicationGatewayFirewallLog (para Application Gateway)
     • NetworkSecurityGroupEvent (para grupos de seguridad de red)

   • En la sección Métricas (opcional), selecciona AllMetrics para enviar métricas de la plataforma a la cuenta de almacenamiento.

   • En la sección Detalles del destino, selecciona la casilla de verificación Archivar en una cuenta de almacenamiento.

   • Suscripción: Selecciona la suscripción que contiene tu cuenta de almacenamiento.

   • Cuenta de almacenamiento: Selecciona la cuenta de almacenamiento que creaste antes (por ejemplo, azureresourcelogs).

5. Haz clic en Guardar.

   Después de la configuración, los registros se exportan automáticamente a los contenedores de la cuenta de almacenamiento. Azure crea contenedores con el patrón de nombres insights-logs-<log-category-name>. Por ejemplo:

   • Registros de auditoría de Key Vault: insights-logs-auditevent
   • Registros de acceso de Application Gateway: insights-logs-applicationgatewayaccesslog
   • Registros del firewall de Application Gateway: insights-logs-applicationgatewayfirewalllog
   • Eventos del grupo de seguridad de red: insights-logs-networksecuritygroupevent

Configura un feed en Google SecOps para transferir registros de recursos de Azure

1. Ve a Configuración de SIEM > Feeds.
2. Haz clic en Agregar feed nuevo.
3. En la siguiente página, haz clic en Configurar un solo feed.
4. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Azure Resource Logs).
5. Selecciona Microsoft Azure Blob Storage V2 como el Tipo de fuente.
6. Selecciona Recurso de Microsoft Azure como el Tipo de registro.
7. Haz clic en Siguiente.

8. Especifica valores para los siguientes parámetros de entrada:

   • URI de Azure: Ingresa la URL del extremo del servicio Blob con la ruta de acceso del contenedor:

     https://azureresourcelogs.blob.core.windows.net/insights-logs-<category-name>/
     

     Reemplaza lo siguiente:

     • azureresourcelogs: Es el nombre de tu cuenta de almacenamiento de Azure.
     • <category-name>: Es el nombre de la categoría de registro (por ejemplo, auditevent para Key Vault o applicationgatewayaccesslog para Application Gateway).

   • Opción de borrado de la fuente: Selecciona la opción de borrado según tu preferencia:

     • Nunca: Nunca borra ningún archivo después de las transferencias.
     • Borrar archivos transferidos: Borra los archivos después de la transferencia exitosa.
     • Borrar los archivos transferidos y los directorios vacíos: Borra los archivos y los directorios vacíos después de la transferencia exitosa.

   • Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.

   • Clave compartida: Ingresa el valor de la clave compartida (clave de acceso) que capturaste de la cuenta de almacenamiento en el paso 3.

   • Espacio de nombres del recurso: Es el espacio de nombres del recurso.

   • Etiquetas de transmisión: Es la etiqueta que se aplicará a los eventos de este feed.

9. Haz clic en Siguiente.

10. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Configura el firewall de Azure Storage (si está habilitado)

Si tu cuenta de Azure Storage usa un firewall, debes agregar los rangos de IP de Google SecOps.

1. Para obtener los rangos de IP actuales, elige una de las siguientes opciones:

   • Consulta la documentación sobre la inclusión en la lista de anunciantes permitidos de IP
   • Recupéralos de manera programática con la API de Feed Management.

2. En el portal de Azure, ve a tu cuenta de almacenamiento.

3. Selecciona Herramientas de redes en Seguridad y redes.

4. En Firewalls and virtual networks, selecciona Enabled from selected virtual networks and IP addresses.

5. En la sección Firewall, en Rango de direcciones, haz clic en + Agregar rango de IP.

6. Agrega cada rango de IP de Google SecOps en notación CIDR.

7. Haz clic en Guardar.

Tabla de asignación de UDM

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.