Mengintegrasikan Azure Monitor dengan Google SecOps
Versi integrasi: 1.0
Dokumen ini menjelaskan cara mengintegrasikan Azure Monitor dengan Google Security Operations (Google SecOps).
Kasus penggunaan
Integrasi Azure Monitor dapat menangani kasus penggunaan berikut:
Pengayaan dan konteks log: Gunakan kemampuan Google SecOps untuk menelusuri log Azure Monitor (seperti, Azure Activity atau Security Events) selama insiden untuk mengambil konteks tambahan, mengonfirmasi aktivitas mencurigakan, atau mengidentifikasi cakupan pelanggaran yang melibatkan resource Azure.
Menyelidiki peristiwa autentikasi Azure: Gunakan kemampuan Google SecOps untuk membuat kueri log login saat alamat IP atau entitas pengguna yang mencurigakan teridentifikasi, dengan cepat mengambil semua upaya autentikasi dan histori akses terkait dari Azure untuk membantu penyelidikan pembobolan akun.
Validasi kesalahan konfigurasi cloud: Gunakan kemampuan Google SecOps untuk menjalankan kueri Kusto Query Language (KQL) tertentu terhadap log Aktivitas Azure untuk memeriksa perubahan terbaru pada grup keamanan jaringan, aturan firewall, atau konfigurasi layanan Azure utama yang mungkin telah memicu pemberitahuan.
Sebelum memulai
Sebelum mengonfigurasi integrasi di platform Google SecOps, pastikan Anda memiliki hal berikut:
Pendaftaran Aplikasi Azure AD: Aplikasi Azure Active Directory (Azure AD) dengan izin yang diperlukan (seperti, Log Analytics Reader) untuk mengakses data log, yang darinya Anda harus mendapatkan ID Klien dan Secret Klien. Untuk mengetahui langkah-langkah mendetail tentang cara menyiapkan aplikasi ini untuk akses API, lihat artikel Mengakses Azure Monitor Logs API.
Tenant ID: ID unik untuk instance Azure Active Directory Anda, yang diperlukan untuk menyelesaikan alur autentikasi OAuth 2.0.
ID Ruang Kerja Log Analytics: ID unik ruang kerja Azure Monitor Log Analytics tertentu yang dikueri integrasi untuk mendapatkan log. Untuk mengetahui informasi selengkapnya tentang cara menemukan ID Workspace, lihat Workspace.
Parameter integrasi
Integrasi Azure Monitor memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Login API Root |
Wajib. Root API login layanan Azure Monitor. Nilai defaultnya adalah |
API Root |
Wajib. Root API layanan Azure Monitor. Nilai defaultnya adalah |
Tenant ID |
Wajib. ID tenant akun Azure Monitor. |
Client ID |
Wajib. ID Klien akun Azure Monitor. |
Client Secret |
Wajib. Rahasia Klien akun Azure Monitor. |
Workspace ID |
Wajib. ID Ruang Kerja akun Azure Monitor. |
Verify SSL |
Wajib. Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server Azure Monitor. Diaktifkan secara default. |
Tindakan
Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Ruang Kerja Anda dan Melakukan tindakan manual.
Ping
Gunakan tindakan Ping untuk menguji konektivitas ke Azure Monitor.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tidak ada.
Output tindakan
Tindakan Ping memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip. | Tersedia |
Pesan output
Tindakan Ping dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Failed to connect to the Azure Monitor server!
Error is ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Ping:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Menelusuri Log
Gunakan tindakan Search Logs untuk menjalankan perintah KQL terhadap ruang kerja Azure Monitor Anda guna mengambil data log tertentu berdasarkan string kueri yang diberikan.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Search Logs memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Workspace ID |
Opsional. ID ruang kerja yang akan ditelusuri. Jika tidak ada nilai yang diberikan, tindakan akan menggunakan ID Workspace dari konfigurasi integrasi. |
Query |
Wajib. Kueri (perintah KQL) yang dijalankan tindakan terhadap data log. |
Time Frame |
Opsional. Jangka waktu untuk kueri. Jika Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Start Time |
Opsional. Waktu mulai kueri dalam format ISO 8601. Jika |
End Time |
Opsional. Waktu berakhir untuk kueri dalam format ISO 8601. Jika |
Max Results To Return |
Wajib. Jumlah maksimum hasil yang akan ditampilkan untuk penelusuran. Nilai maksimumnya adalah Nilai defaultnya adalah |
Output tindakan
Tindakan Log Penelusuran memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip. | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Search Logs:
[
{
"TimeGenerated": "2025-10-07T06:44:40.4570918Z",
"OperationName": "Update datascanners"
},
{
"TimeGenerated": "2025-10-07T06:44:41.1760472Z",
"OperationName": "Update datascanners"
},
]
Pesan output
Tindakan Search Logs dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Search Logs". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Telusuri Log:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.