收集 Microsoft Azure 資源記錄

本文說明如何使用 Microsoft Azure Blob 儲存空間 V2 設定 Google Security Operations 資訊提供，藉此收集 Microsoft Azure 資源記錄。

Azure 資源記錄可深入瞭解 Azure 資源中執行的作業。這些記錄會擷取資源作業、狀態和成效指標的詳細資訊。內容會因資源類型而異，包括驗證事件、設定變更、存取嘗試和作業指標等資料。

事前準備

請確認您已完成下列事前準備事項：

• Google SecOps 執行個體

• 具備下列權限的 Microsoft Azure 入口網站特殊存取權：

  • 建立儲存空間帳戶
  • 設定 Azure 資源的診斷設定
  • 管理存取金鑰

設定 Azure 儲存體帳戶

建立儲存空間帳戶

1. 在 Azure 入口網站中，搜尋「儲存體帳戶」。
2. 點選「+ 建立」。

3. 請提供下列設定詳細資料：

   設定	值
   訂閱項目	選取 Azure 訂閱項目
   資源群組	選取現有項目或建立新項目
   儲存體帳戶名稱	輸入不重複的名稱 (例如 azureresourcelogs)
   區域	選取區域 (例如 East US)
   效能	標準 (建議採用)
   備援功能	GRS (異地備援儲存空間) 或 LRS (本機備援儲存空間)

4. 按一下「Review + create」。

5. 查看帳戶總覽，然後按一下「建立」。

6. 等待部署作業完成。

取得儲存空間帳戶憑證

1. 前往您剛建立的「儲存空間帳戶」。
2. 在左側導覽中，選取「Security + networking」(安全性 + 網路) 下方的「Access keys」(存取金鑰)。
3. 按一下「顯示金鑰」。

4. 複製並儲存下列項目，以供日後使用：

   • 儲存體帳戶名稱：azureresourcelogs
   • 「金鑰 1」或「金鑰 2」：共用存取金鑰 (採用 Base64 編碼的 512 位元隨機字串)

取得 Blob 服務端點

1. 在同一個儲存空間帳戶中，選取左側導覽列的「Endpoints」(端點)。

2. 複製並儲存「Blob service」端點網址。

   • 範例：https://azureresourcelogs.blob.core.windows.net/

設定 Azure 資源診斷設定

根據預設，系統不會收集 Azure 資源記錄。您必須為每個 Azure 資源建立診斷設定，才能將記錄檔傳送至儲存體帳戶。

1. 在 Azure 入口網站中，前往要監控的 Azure 資源。
2. 在左側導覽面板中，選取「監控」下方的「診斷設定」。
3. 按一下「+ 新增診斷設定」。

4. 請提供下列設定詳細資料：

   • 診斷設定名稱：輸入描述性名稱 (例如 export-to-secops)。

   • 在「記錄」部分，選取要收集的記錄類別。可用的類別因資源類型而異。

     常見的類別包括：

     • 管理 (適用於活動記錄)
     • 安全性 (適用於活動記錄)
     • AuditEvent (適用於 Key Vault)
     • ApplicationGatewayAccessLog (適用於應用程式閘道)
     • ApplicationGatewayFirewallLog (適用於應用程式閘道)
     • NetworkSecurityGroupEvent (適用於網路安全性群組)

   • 在「指標」部分 (選用)，選取「AllMetrics」，將平台指標傳送至儲存空間帳戶。

   • 在「目的地詳細資料」部分，選取「封存至儲存空間帳戶」核取方塊。

   • 訂閱項目：選取包含儲存空間帳戶的訂閱項目。

   • 儲存空間帳戶：選取您先前建立的儲存空間帳戶 (例如 azureresourcelogs)。

5. 按一下 [儲存]。

   設定完成後，系統會自動將記錄檔匯出至儲存空間帳戶中的容器。Azure 會使用 insights-logs-<log-category-name> 命名模式建立容器。例如：

   • Key Vault 稽核記錄：insights-logs-auditevent
   • 應用程式閘道存取記錄：insights-logs-applicationgatewayaccesslog
   • 應用程式閘道防火牆記錄：insights-logs-applicationgatewayfirewalllog
   • 網路安全性群組事件：insights-logs-networksecuritygroupevent

在 Google SecOps 中設定資訊提供，擷取 Azure 資源記錄

1. 依序前往「SIEM 設定」>「動態饋給」。
2. 按一下「新增動態消息」。
3. 在下一個頁面中，按一下「設定單一動態饋給」。
4. 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 Azure Resource Logs)。
5. 選取「Microsoft Azure Blob Storage V2」做為「來源類型」。
6. 選取「Microsoft Azure Resource」(Microsoft Azure 資源) 做為「記錄類型」。
7. 點選 [下一步]。

8. 指定下列輸入參數的值：

   • Azure URI：輸入 Blob 服務端點網址和容器路徑：

     https://azureresourcelogs.blob.core.windows.net/insights-logs-<category-name>/
     

     更改下列內容：

     • azureresourcelogs：您的 Azure 儲存體帳戶名稱。
     • <category-name>：記錄類別名稱 (例如 Key Vault 的 auditevent，Application Gateway 的 applicationgatewayaccesslog)。

   • 來源刪除選項：根據偏好設定選取刪除選項：

     • 永不：轉移後一律不刪除任何檔案。
     • 刪除已轉移的檔案：成功轉移檔案後刪除檔案。
     • 刪除已轉移的檔案和空白目錄：成功轉移後刪除檔案和空白目錄。

   • 檔案存在時間上限：包含在過去天數內修改的檔案。預設值為 180 天。

   • 共用金鑰：輸入您在步驟 3 中，從儲存空間帳戶擷取的共用金鑰值 (存取金鑰)。

   • 資產命名空間：資產命名空間。

   • 擷取標籤：要套用至這個動態饋給事件的標籤。

9. 點選 [下一步]。

10. 在「Finalize」(完成) 畫面中檢查新的動態饋給設定，然後按一下「Submit」(提交)。

設定 Azure 儲存空間防火牆 (如已啟用)

如果 Azure 儲存體帳戶使用防火牆，您必須新增 Google SecOps IP 範圍。

1. 如要取得目前的 IP 範圍，請選擇下列其中一個選項：

   • 請參閱 IP 許可清單說明文件
   • 使用 Feed Management API 以程式輔助方式擷取這些 ID

2. 在 Azure 入口網站中，前往「儲存體帳戶」。

3. 選取「Security + networking」(安全性 + 網路) 下方的「Networking」(網路)。

4. 在「防火牆和虛擬網路」下方，選取「從所選虛擬網路和 IP 位址啟用」。

5. 在「防火牆」部分，按一下「位址範圍」下方的「+ 新增 IP 範圍」。

6. 以 CIDR 標記法新增每個 Google SecOps IP 範圍。

7. 按一下 [儲存]。

UDM 對應表

需要其他協助嗎？向社群成員和 Google SecOps 專業人員尋求答案。