Collecter les journaux de ressources Microsoft Azure

Ce document explique comment collecter les journaux de ressources Microsoft Azure en configurant un flux Google Security Operations à l'aide de Microsoft Azure Blob Storage V2.

Les journaux de ressources Azure fournissent des informations sur les opérations effectuées dans les ressources Azure. Ces journaux enregistrent des informations détaillées sur les opérations, l'état et les métriques de performances des ressources. Le contenu varie en fonction du type de ressource et inclut des données telles que les événements d'authentification, les modifications de configuration, les tentatives d'accès et les métriques opérationnelles.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

• Une instance Google SecOps

• Accès privilégié au portail Microsoft Azure avec les autorisations suivantes :

  • Créer des comptes de stockage
  • Configurer les paramètres de diagnostic pour les ressources Azure
  • Gérer les clés d'accès

Configurer un compte de stockage Azure

Créer un compte de stockage

1. Dans le portail Azure, recherchez Comptes de stockage.
2. Cliquez sur + Créer.

3. Fournissez les informations de configuration suivantes :

   Paramètre	Valeur
   Abonnement	Sélectionnez votre abonnement Azure.
   Groupe de ressources	Sélectionner une base de données existante ou en créer une
   Nom du compte de stockage	Saisissez un nom unique (par exemple, azureresourcelogs).
   Région	Sélectionnez la région (par exemple, East US).
   Performances	Standard (recommandé)
   Redondance	GRS (stockage géoredondant) ou LRS (stockage local redondant)

4. Cliquez sur Examiner et créer.

5. Passez en revue l'aperçu du compte, puis cliquez sur Créer.

6. Attendez la fin du déploiement.

Obtenir les identifiants du compte de stockage

1. Accédez au compte de stockage que vous venez de créer.
2. Dans le volet de navigation de gauche, sélectionnez Clés d'accès sous Sécurité et mise en réseau.
3. Cliquez sur Afficher les clés.

4. Copiez et enregistrez les éléments suivants pour une utilisation ultérieure :

   • Nom du compte de stockage : azureresourcelogs
   • Clé 1 ou Clé 2 : clé d'accès partagée (chaîne aléatoire de 512 bits en encodage base64)

Obtenir le point de terminaison du service Blob

1. Dans le même compte de stockage, sélectionnez Points de terminaison dans le panneau de navigation de gauche.

2. Copiez et enregistrez l'URL du point de terminaison Blob service.

   • Exemple : https://azureresourcelogs.blob.core.windows.net/

Configurer les paramètres de diagnostic des ressources Azure

Les journaux de ressources Azure ne sont pas collectés par défaut. Vous devez créer un paramètre de diagnostic pour chaque ressource Azure afin de router les journaux vers le compte de stockage.

1. Dans le portail Azure, accédez à la ressource Azure que vous souhaitez surveiller.
2. Dans le panneau de navigation de gauche, sélectionnez Paramètres de diagnostic sous Surveillance.
3. Cliquez sur + Ajouter un paramètre de diagnostic.

4. Fournissez les informations de configuration suivantes :

   • Nom du paramètre de diagnostic : saisissez un nom descriptif (par exemple, export-to-secops).

   • Dans la section Journaux, sélectionnez les catégories de journaux que vous souhaitez collecter. Les catégories disponibles varient selon le type de ressource.

     Les catégories courantes incluent :

     • Administration (pour les journaux d'activité)
     • Sécurité (pour les journaux d'activité)
     • AuditEvent (pour Key Vault)
     • ApplicationGatewayAccessLog (pour Application Gateway)
     • ApplicationGatewayFirewallLog (pour Application Gateway)
     • NetworkSecurityGroupEvent (pour les groupes de sécurité réseau)

   • Dans la section Métriques (facultatif), sélectionnez AllMetrics pour envoyer les métriques de la plate-forme au compte de stockage.

   • Dans la section Détails de la destination, cochez la case Archiver dans un compte de stockage.

   • Abonnement : sélectionnez l'abonnement contenant votre compte de stockage.

   • Compte de stockage : sélectionnez le compte de stockage que vous avez créé précédemment (par exemple, azureresourcelogs).

5. Cliquez sur Enregistrer.

   Une fois la configuration effectuée, les journaux sont automatiquement exportés vers les conteneurs du compte de stockage. Azure crée des conteneurs en utilisant le modèle de dénomination insights-logs-<log-category-name>. Exemple :

   • Journaux d'audit Key Vault : insights-logs-auditevent
   • Journaux d'accès Application Gateway : insights-logs-applicationgatewayaccesslog
   • Journaux du pare-feu Application Gateway : insights-logs-applicationgatewayfirewalllog
   • Événements du groupe de sécurité réseau : insights-logs-networksecuritygroupevent

Configurer un flux dans Google SecOps pour ingérer les journaux de ressources Azure

1. Accédez à Paramètres SIEM> Flux.
2. Cliquez sur Add New Feed (Ajouter un flux).
3. Sur la page suivante, cliquez sur Configurer un seul flux.
4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Azure Resource Logs).
5. Sélectionnez Microsoft Azure Blob Storage V2 comme Type de source.
6. Sélectionnez Ressource Microsoft Azure comme type de journal.
7. Cliquez sur Suivant.

8. Spécifiez les valeurs des paramètres d'entrée suivants :

   • URI Azure : saisissez l'URL du point de terminaison du service Blob avec le chemin d'accès au conteneur :

     https://azureresourcelogs.blob.core.windows.net/insights-logs-<category-name>/
     

     Remplacez les éléments suivants :

     • azureresourcelogs : nom de votre compte de stockage Azure.
     • <category-name> : nom de la catégorie de journaux (par exemple, auditevent pour Key Vault ou applicationgatewayaccesslog pour Application Gateway).

   • Option de suppression de la source : sélectionnez l'option de suppression de votre choix :

     • Jamais : ne supprime jamais aucun fichier après les transferts.
     • Supprimer les fichiers transférés : supprime les fichiers après un transfert réussi.
     • Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.

   • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.

   • Clé partagée : saisissez la valeur de la clé partagée (clé d'accès) que vous avez récupérée à partir du compte de stockage à l'étape 3.

   • Espace de noms de l'élément : espace de noms de l'élément.

   • Libellés d'ingestion : libellé à appliquer aux événements de ce flux.

9. Cliquez sur Suivant.

10. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Configurer le pare-feu Azure Storage (le cas échéant)

Si votre compte de stockage Azure utilise un pare-feu, vous devez ajouter les plages d'adresses IP Google SecOps.

1. Pour obtenir les plages d'adresses IP actuelles, choisissez l'une des options suivantes :

   • Consultez la documentation sur la liste d'autorisations d'adresses IP.
   • Récupérez-les de manière programmatique à l'aide de l'API Feed Management.

2. Dans le portail Azure, accédez à votre compte de stockage.

3. Sélectionnez Mise en réseau sous Sécurité et mise en réseau.

4. Sous Pare-feu et réseaux virtuels, sélectionnez Activé à partir des réseaux virtuels et adresses IP sélectionnés.

5. Dans la section Pare-feu, sous Plage d'adresses, cliquez sur + Ajouter une plage d'adresses IP.

6. Ajoutez chaque plage d'adresses IP Google SecOps au format CIDR.

7. Cliquez sur Enregistrer.

Table de mappage UDM

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.