收集 Azure 儲存體稽核記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Azure 儲存空間帳戶,將 Azure 儲存空間稽核記錄匯出至 Google Security Operations。剖析器會處理 JSON 格式的記錄,並轉換為統一資料模型 (UDM)。這項服務會從原始記錄中擷取欄位、執行資料類型轉換、使用額外內容 (例如剖析使用者代理程式和 IP 位址細目) 擴充資料,並將擷取的欄位對應至相應的 UDM 欄位。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- 有效的 Azure 租用戶
- Azure 特殊存取權
設定 Azure 儲存體帳戶
- 在 Azure 控制台中,搜尋「Storage accounts」(儲存體帳戶)。
- 點選「建立」。
- 指定下列輸入參數的值:
- 訂閱方案:選取訂閱方案。
- 資源群組:選取資源群組。
- 區域:選取區域。
- 成效:選取成效 (建議使用「標準」)。
- 備援:選取備援 (建議使用 GRS 或 LRS)。
- 「儲存體帳戶名稱」:輸入新儲存體帳戶的名稱。
- 按一下「Review + create」。
- 查看帳戶總覽,然後按一下「建立」。
- 在「儲存空間帳戶總覽」頁面中,選取「安全性 + 網路」中的「存取金鑰」子選單。
- 按一下「key1」或「key2」旁邊的「顯示」。
- 按一下「複製到剪貼簿」即可複製金鑰。
- 將金鑰妥善儲存於安全的位置,以供日後使用。
- 在「儲存空間帳戶總覽」頁面中,選取「設定」中的「端點」子選單。
- 按一下「複製到剪貼簿」,複製「Blob 服務」端點網址,例如
https://<storageaccountname>.blob.core.windows.net。 - 請將端點網址儲存於安全位置,以供日後使用。
如何設定 Azure 儲存體稽核記錄的記錄匯出功能
- 使用具備權限的帳戶登入 Azure 入口網站。
- 依序前往「儲存空間帳戶」>「診斷設定」。
- 按一下「+ 新增診斷設定」。
- 選取
blob、queue、table和file的診斷設定。- 在每個診斷設定的「類別群組」中,選取「allLogs」選項。
- 為每個診斷設定輸入描述性名稱。
- 選取「封存至儲存空間帳戶」核取方塊做為目的地。
- 指定「訂閱項目」和「儲存空間帳戶」。
- 按一下 [儲存]。
設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 依序點選「SIEM Settings」>「Feeds」>「Add New Feed」
- 依序點選「內容中心」「內容包」「開始使用」
如何設定 Azure 儲存空間稽核動態饋給
- 按一下「Azure Platform」套件。
- 找到「Azure Storage Audit」(Azure 儲存體稽核) 記錄檔類型,然後按一下「Add new feed」(新增動態消息)。
為下列欄位指定值:
- 來源類型:Microsoft Azure Blob 儲存體 V2。
- Azure URI:Blob 端點 URL。
ENDPOINT_URL/BLOB_NAME- 取代下列項目:
ENDPOINT_URL:Blob 端點網址 (https://<storageaccountname>.blob.core.windows.net)BLOB_NAME:Blob 的名稱 (例如<logname>-logs)
- 取代下列項目:
來源刪除選項:根據擷取偏好設定選取刪除選項。
檔案存在時間上限:包含在過去天數內修改的檔案。 預設值為 180 天。
共用金鑰:Azure Blob 儲存體的存取金鑰。
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 擷取標籤:套用至這個動態饋給所有事件的標籤。
點選「建立動態饋給」。
如要進一步瞭解如何為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
callerIpAddress |
principal.asset.ip |
系統會使用 grok 模式從 callerIpAddress 欄位擷取 IP 位址,並指派給 principal.asset.ip。 |
callerIpAddress |
principal.ip |
系統會使用 grok 模式從 callerIpAddress 欄位擷取 IP 位址,並指派給 principal.ip。 |
callerIpAddress |
principal.port |
通訊埠號碼會使用 grok 模式從 callerIpAddress 欄位擷取,並指派給 principal.port。 |
category |
security_result.category_details |
category 欄位的值會指派給 security_result.category_details。 |
correlationId |
security_result.detection_fields[0].key |
字串文字 correlationId 會指派給鍵欄位。 |
correlationId |
security_result.detection_fields[0].value |
correlationId 欄位的值會指派給 security_result.detection_fields[0].value。time 欄位的值會剖析為時間戳記,並指派給 event.idm.read_only_udm.metadata.event_timestamp。如果 category 為 StorageWrite 且 principal.user.userid 存在 (衍生自 properties.accountName),則值會設為 USER_RESOURCE_UPDATE_CONTENT。如果 category 為 StorageDelete 且 principal.user.userid 存在,則值會設為 USER_RESOURCE_DELETION。否則,該值會設為 USER_RESOURCE_ACCESS。字串常值 AZURE_STORAGE_AUDIT 會指派給 event.idm.read_only_udm.metadata.log_type。字串常值 AZURE_STORAGE_AUDIT 會指派給 event.idm.read_only_udm.metadata.product_name。schemaVersion 欄位的值會指派給 event.idm.read_only_udm.metadata.product_version。字串常值 AZURE_STORAGE_AUDIT 會指派給 event.idm.read_only_udm.metadata.vendor_name。 |
location |
target.location.name |
location 欄位的值會指派給 target.location.name。 |
operationName |
additional.fields[x].key |
字串文字 operationName 會指派給鍵欄位。 |
operationName |
additional.fields[x].value.string_value |
operationName 欄位的值會指派給 additional.fields[x].value.string_value。 |
operationVersion |
additional.fields[x].key |
字串文字 operationVersion 會指派給鍵欄位。 |
operationVersion |
additional.fields[x].value.string_value |
operationVersion 欄位的值會指派給 additional.fields[x].value.string_value。 |
properties.accountName |
principal.user.userid |
properties.accountName 欄位的值會指派給 principal.user.userid。 |
properties.clientRequestId |
additional.fields[x].key |
字串文字 clientRequestId 會指派給鍵欄位。 |
properties.clientRequestId |
additional.fields[x].value.string_value |
properties.clientRequestId 欄位的值會指派給 additional.fields[x].value.string_value。 |
properties.etag |
additional.fields[x].key |
字串文字 etag 會指派給鍵欄位。 |
properties.etag |
additional.fields[x].value.string_value |
properties.etag 欄位的值會指派給 additional.fields[x].value.string_value。 |
properties.objectKey |
additional.fields[x].key |
字串文字 objectKey 會指派給鍵欄位。 |
properties.objectKey |
additional.fields[x].value.string_value |
properties.objectKey 欄位的值會指派給 additional.fields[x].value.string_value。 |
properties.requestMd5 |
additional.fields[x].key |
字串文字 requestMd5 會指派給鍵欄位。 |
properties.requestMd5 |
additional.fields[x].value.string_value |
properties.requestMd5 欄位的值會指派給 additional.fields[x].value.string_value。 |
properties.responseMd5 |
additional.fields[x].key |
字串文字 responseMd5 會指派給鍵欄位。 |
properties.responseMd5 |
additional.fields[x].value.string_value |
properties.responseMd5 欄位的值會指派給 additional.fields[x].value.string_value。 |
properties.serviceType |
additional.fields[x].key |
字串文字 serviceType 會指派給鍵欄位。 |
properties.serviceType |
additional.fields[x].value.string_value |
properties.serviceType 欄位的值會指派給 additional.fields[x].value.string_value。 |
properties.tlsVersion |
network.tls.version |
properties.tlsVersion 欄位的值會指派給 network.tls.version。 |
properties.userAgentHeader |
network.http.parsed_user_agent |
系統會將 properties.userAgentHeader 欄位的值剖析為使用者代理程式字串,並指派給 network.http.parsed_user_agent。 |
properties.userAgentHeader |
network.http.user_agent |
properties.userAgentHeader 欄位的值會指派給 network.http.user_agent。 |
protocol |
network.application_protocol |
protocol 欄位的值會指派給 network.application_protocol。 |
resourceId |
target.resource.id |
resourceId 欄位的值會指派給 target.resource.id。 |
resourceId |
target.resource.product_object_id |
resourceId 欄位的值會指派給 target.resource.product_object_id。字串常值 DATABASE 會指派給 target.resource.resource_type。 |
resourceType |
additional.fields[x].key |
字串文字 resourceType 會指派給鍵欄位。 |
resourceType |
additional.fields[x].value.string_value |
resourceType 欄位的值會指派給 additional.fields[x].value.string_value。如果 statusText 為 Success,則值會設為 ALLOW。 |
statusCode |
network.http.response_code |
statusCode 欄位的值會轉換為整數,並指派給 network.http.response_code。字串常值 MICROSOFT_AZURE 會指派給 target.cloud.environment。 |
time |
timestamp |
time 欄位的值會剖析為時間戳記,並指派給 timestamp。 |
uri |
network.http.referral_url |
uri 欄位的值會指派給 network.http.referral_url。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。