Raccogliere i log delle risorse Microsoft Azure

Questo documento spiega come raccogliere i log delle risorse Microsoft Azure configurando un feed Google Security Operations utilizzando Microsoft Azure Blob Storage V2.

I log delle risorse Azure forniscono informazioni dettagliate sulle operazioni eseguite all'interno delle risorse Azure. Questi log acquisiscono informazioni dettagliate su operazioni, stato e metriche sul rendimento delle risorse. Il contenuto varia in base al tipo di risorsa e include dati come eventi di autenticazione, modifiche alla configurazione, tentativi di accesso e metriche operative.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

• Un'istanza Google SecOps

• Accesso con privilegi al portale Microsoft Azure con autorizzazioni per:

  • Crea account di archiviazione
  • Configura le impostazioni di diagnostica per le risorse Azure
  • Gestire le chiavi di accesso

Configura l'account di archiviazione di Azure

Crea un account di archiviazione

1. Nel portale Azure, cerca Account di archiviazione.
2. Fai clic su + Crea.

3. Fornisci i seguenti dettagli di configurazione:

   Impostazione	Valore
   Abbonamento	Seleziona il tuo abbonamento Azure
   Gruppo di risorse	Seleziona un'opzione esistente o creane una nuova
   Nome account di archiviazione	Inserisci un nome univoco (ad esempio, azureresourcelogs).
   Regione	Seleziona la regione (ad esempio, East US)
   Prestazioni	Standard (consigliato)
   Ridondanza	GRS (archiviazione con ridondanza geografica) o LRS (archiviazione con ridondanza locale)

4. Fai clic su Rivedi e crea.

5. Controlla la panoramica dell'account e fai clic su Crea.

6. Attendi il completamento del deployment.

Recuperare le credenziali dell'account di archiviazione

1. Vai all'account di archiviazione che hai appena creato.
2. Nel riquadro di navigazione a sinistra, seleziona Chiavi di accesso in Sicurezza e networking.
3. Fai clic su Mostra chiavi.

4. Copia e salva quanto segue per utilizzarlo in un secondo momento:

   • Nome dell'account di archiviazione: azureresourcelogs
   • Chiave 1 o Chiave 2: la chiave di accesso condivisa (una stringa casuale di 512 bit con codifica Base64)

Ottieni l'endpoint del servizio Blob

1. Nello stesso account di archiviazione, seleziona Endpoint nel menu di navigazione a sinistra.

2. Copia e salva l'URL dell'endpoint Blob service.

   • Esempio: https://azureresourcelogs.blob.core.windows.net/

Configura le impostazioni di diagnostica delle risorse di Azure

I log delle risorse Azure non vengono raccolti per impostazione predefinita. Devi creare un'impostazione di diagnostica per ogni risorsa Azure per indirizzare i log all'account di archiviazione.

1. Nel portale Azure, vai alla risorsa Azure che vuoi monitorare.
2. Nel menu di navigazione a sinistra, seleziona Impostazioni di diagnostica in Monitoraggio.
3. Fai clic su + Aggiungi impostazione di diagnostica.

4. Fornisci i seguenti dettagli di configurazione:

   • Nome impostazione diagnostica: inserisci un nome descrittivo (ad esempio export-to-secops).

   • Nella sezione Log, seleziona le categorie di log che vuoi raccogliere. Le categorie disponibili variano in base al tipo di risorsa.

     Le categorie più comuni includono:

     • Amministrativo (per i log delle attività)
     • Sicurezza (per i log delle attività)
     • AuditEvent (per Key Vault)
     • ApplicationGatewayAccessLog (per Application Gateway)
     • ApplicationGatewayFirewallLog (per Application Gateway)
     • NetworkSecurityGroupEvent (per i gruppi di sicurezza di rete)

   • Nella sezione Metriche (facoltativo), seleziona AllMetrics per inviare le metriche della piattaforma all'account di archiviazione.

   • Nella sezione Dettagli destinazione, seleziona la casella di controllo Archivia in un account di archiviazione.

   • Abbonamento: seleziona l'abbonamento contenente il tuo account di archiviazione.

   • Storage account: seleziona l'account di archiviazione che hai creato in precedenza (ad esempio azureresourcelogs).

5. Fai clic su Salva.

   Dopo la configurazione, i log vengono esportati automaticamente nei container nell'account di archiviazione. Azure crea container utilizzando il pattern di denominazione insights-logs-<log-category-name>. Ad esempio:

   • Log di controllo di Key Vault: insights-logs-auditevent
   • Log di accesso di Application Gateway: insights-logs-applicationgatewayaccesslog
   • Log del firewall di Application Gateway: insights-logs-applicationgatewayfirewalllog
   • Eventi del gruppo di sicurezza di rete: insights-logs-networksecuritygroupevent

Configura un feed in Google SecOps per importare i log delle risorse Azure

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su Aggiungi nuovo feed.
3. Nella pagina successiva, fai clic su Configura un singolo feed.
4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Azure Resource Logs).
5. Seleziona Microsoft Azure Blob Storage V2 come Tipo di origine.
6. Seleziona Risorsa Microsoft Azure come Tipo di log.
7. Fai clic su Avanti.

8. Specifica i valori per i seguenti parametri di input:

   • URI di Azure: inserisci l'URL dell'endpoint del servizio BLOB con il percorso del container:

     https://azureresourcelogs.blob.core.windows.net/insights-logs-<category-name>/
     

     Sostituisci quanto segue:

     • azureresourcelogs: il nome del tuo account di archiviazione Azure.
     • <category-name>: il nome della categoria di log (ad esempio, auditevent per Key Vault, applicationgatewayaccesslog per Application Gateway).

   • Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze:

     • Mai: non elimina mai i file dopo i trasferimenti.
     • Elimina file trasferiti: elimina i file dopo il trasferimento riuscito.
     • Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito.

   • Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.

   • Chiave condivisa: inserisci il valore della chiave condivisa (chiave di accesso) acquisita dall'account di archiviazione nel passaggio 3.

   • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.

   • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.

9. Fai clic su Avanti.

10. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Configura il firewall di Azure Storage (se abilitato)

Se il tuo account di archiviazione Azure utilizza un firewall, devi aggiungere gli intervalli IP di Google SecOps.

1. Per ottenere gli intervalli IP attuali, scegli una delle seguenti opzioni:

   • Consulta la documentazione relativa alla lista consentita IP
   • Recuperali in modo programmatico utilizzando l'API Feed Management.

2. Nel portale Azure, vai al tuo account di archiviazione.

3. Seleziona Networking in Sicurezza + networking.

4. In Firewall e reti virtuali, seleziona Attivato da reti virtuali e indirizzi IP selezionati.

5. Nella sezione Firewall, in Intervallo di indirizzi, fai clic su + Aggiungi intervallo IP.

6. Aggiungi ogni intervallo IP di Google SecOps in notazione CIDR.

7. Fai clic su Salva.

Tabella di mappatura UDM

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.