Azure Monitor in Google SecOps einbinden

Integrationsversion: 1.0

In diesem Dokument wird beschrieben, wie Sie Azure Monitor in Google Security Operations (Google SecOps) einbinden.

Anwendungsfälle

Die Azure Monitor-Integration kann für die folgenden Anwendungsfälle verwendet werden:

  • Log-Anreicherung und ‑Kontext: Mit Google SecOps-Funktionen können Sie während eines Vorfalls in Azure Monitor-Logs (z. B. Azure-Aktivitäten oder Sicherheitsereignisse) suchen, um zusätzlichen Kontext abzurufen, verdächtige Aktivitäten zu bestätigen oder den Umfang eines Verstoßes mit Azure-Ressourcen zu ermitteln.

  • Azure-Authentifizierungsereignisse untersuchen: Mit den Google SecOps-Funktionen können Sie Anmeldelogs abfragen, wenn eine verdächtige IP-Adresse oder Nutzeridentität erkannt wird. So lassen sich alle zugehörigen Authentifizierungsversuche und der Zugriffsverlauf schnell aus Azure abrufen, um die Untersuchung von Konto-Hacks zu unterstützen.

  • Validierung von Cloud-Fehlkonfigurationen: Mit den Google SecOps-Funktionen können Sie bestimmte Kusto Query Language-Abfragen (KQL) für das Azure-Aktivitätsprotokoll ausführen, um nach aktuellen Änderungen an Netzwerksicherheitsgruppen, Firewallregeln oder wichtigen Azure-Dienstkonfigurationen zu suchen, die möglicherweise eine Benachrichtigung ausgelöst haben.

Hinweise

Bevor Sie die Integration in der Google SecOps-Plattform konfigurieren, müssen Sie Folgendes haben:

  • Azure AD-Anwendungsregistrierung: Eine Azure Active Directory-Anwendung (Azure AD) mit den erforderlichen Berechtigungen (z. B. „Log Analytics Reader“) für den Zugriff auf Protokolldaten, aus denen Sie die Client-ID und den Clientschlüssel abrufen müssen. Eine detaillierte Anleitung zum Einrichten dieser Anwendung für den API-Zugriff finden Sie unter Auf die Azure Monitor Logs API zugreifen.

  • Mandanten-ID: Die eindeutige Kennung für Ihre Azure Active Directory-Instanz, die zum Abschließen des OAuth 2.0-Authentifizierungsablaufs erforderlich ist.

  • Log Analytics-Arbeitsbereichs-ID: Die eindeutige Kennung des spezifischen Azure Monitor Log Analytics-Arbeitsbereichs, in dem die Integration nach Protokollen sucht. Weitere Informationen zum Suchen der Arbeitsbereichs-ID finden Sie unter Arbeitsbereiche.

Integrationsparameter

Für die Azure Monitor-Integration sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Login API Root

Erforderlich.

Der Anmelde-API-Stamm des Azure Monitor-Dienstes.

Der Standardwert ist https://login.microsoftonline.com.
API Root

Erforderlich.

Der API-Stamm des Azure Monitor-Diensts.

Der Standardwert ist https://api.loganalytics.io.
Tenant ID

Erforderlich.

Die Mandanten-ID des Azure Monitor-Kontos.
Client ID

Erforderlich.

Die Client-ID des Azure Monitor-Kontos.
Client Secret

Erforderlich.

Der Clientschlüssel des Azure Monitor-Kontos.
Workspace ID

Erforderlich.

Die Arbeitsbereichs-ID des Azure Monitor-Kontos.
Verify SSL

Erforderlich.

Wenn diese Option ausgewählt ist, validiert die Integration das SSL-Zertifikat, wenn eine Verbindung zum Azure Monitor-Server hergestellt wird.

Standardmäßig aktiviert.

Aktionen

Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.

Ping

Verwenden Sie die Aktion Ping, um die Verbindung zu Azure Monitor zu testen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Ping bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall-Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis. Verfügbar
Ausgabenachrichten

Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully connected to the Azure Monitor server with the provided connection parameters!

 Die Aktion wurde erfolgreich ausgeführt.
Failed to connect to the Azure Monitor server! Error is ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:

Name des Scriptergebnisses Wert
is_success True oder False

Suchprotokolle

Mit der Aktion Search Logs (Logs durchsuchen) können Sie KQL-Befehle für Ihren Azure Monitor-Arbeitsbereich ausführen, um anhand des angegebenen Suchstrings bestimmte Logdaten abzurufen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Search Logs sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Workspace ID

Optional.

Die ID des Arbeitsbereichs, in dem gesucht werden soll.

Wenn kein Wert angegeben ist, wird die Workspace-ID aus der Integrationskonfiguration verwendet.
Query

Erforderlich.

Die Abfrage (KQL-Befehl), die von der Aktion für die Protokolldaten ausgeführt wird.
Time Frame

Optional.

Der Zeitraum für die Abfrage.

Wenn Custom ausgewählt ist, müssen Sie auch Start Time angeben.

Folgende Werte sind möglich:

  • Last Hour
  • Last 6 Hours
  • Last 24 Hours
  • Last Week
  • Last Month
  • Custom

Der Standardwert ist Last Hour.
Start Time

Optional.

Die Startzeit für die Abfrage im ISO 8601-Format.

Wenn Custom in Time Frame ausgewählt ist, ist dieser Parameter erforderlich.
End Time

Optional.

Die Endzeit für die Anfrage im ISO 8601-Format.

Wenn Custom in Time Frame ausgewählt ist und kein Wert angegeben wird, wird die aktuelle Uhrzeit verwendet.
Max Results To Return

Erforderlich.

Die maximale Anzahl der Ergebnisse, die für die Suche zurückgegeben werden sollen.

Der Höchstwert ist 1000.

Der Standardwert ist 100.

Aktionsausgaben

Die Aktion Search Logs (Logs durchsuchen) bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall-Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis. Verfügbar
JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Search Logs (Logs durchsuchen) empfangen wird:

[
 {
   "TimeGenerated": "2025-10-07T06:44:40.4570918Z",
   "OperationName": "Update datascanners"
 },
 {
   "TimeGenerated": "2025-10-07T06:44:41.1760472Z",
   "OperationName": "Update datascanners"
 },
]
Ausgabenachrichten

Die Aktion Logs durchsuchen kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully returned results for the query QUERY in Azure Monitor.

No results were found for the query QUERY in Azure Monitor.

 Die Aktion wurde erfolgreich ausgeführt.
Error executing action "Search Logs". Reason: ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Search Logs (Protokolle durchsuchen) aufgeführt:

Name des Scriptergebnisses Wert
is_success True oder False

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten