Questa pagina è stata tradotta dall'API Cloud Translation.

Integra Azure Monitor con Google SecOps

Versione integrazione: 1.0

Questo documento spiega come integrare Azure Monitor con Google Security Operations (Google SecOps).

Casi d'uso

L'integrazione di Azure Monitor può gestire i seguenti casi d'uso:

Arricchimento e contesto dei log: utilizza le funzionalità di Google SecOps per cercare i log di Monitoraggio di Azure (ad esempio, Attività di Azure o Eventi di sicurezza) durante un incidente per recuperare un contesto aggiuntivo, confermare attività sospette o identificare l'ambito di una violazione che coinvolge risorse Azure.
Analisi degli eventi di autenticazione di Azure: utilizza le funzionalità di Google SecOps per eseguire query sui log di accesso quando viene identificato un indirizzo IP o un'entità utente sospetti, recuperando rapidamente tutti i tentativi di autenticazione e la cronologia degli accessi correlati da Azure per facilitare le indagini sulla compromissione dell'account.
Convalida delle configurazioni errate del cloud: utilizza le funzionalità di Google SecOps per eseguire query specifiche del linguaggio di query Kusto (KQL) nel Log delle attività di Azure per verificare la presenza di modifiche recenti a gruppi di sicurezza di rete, regole firewall o configurazioni di servizi Azure chiave che potrebbero aver attivato un avviso.

Prima di iniziare

Prima di configurare l'integrazione nella piattaforma Google SecOps, verifica di disporre di quanto segue:

Registrazione dell'applicazione Azure AD: un'applicazione Azure Active Directory (Azure AD) con le autorizzazioni necessarie (ad esempio, Log Analytics Reader) per accedere ai dati dei log, da cui devi ottenere l'ID client e il segreto client. Per la procedura dettagliata di configurazione di questa applicazione per l'accesso API, vedi Accedere all'API Azure Monitor Logs.
ID tenant: l'identificatore univoco dell'istanza di Azure Active Directory, necessario per completare il flusso di autenticazione OAuth 2.0.
ID area di lavoro Log Analytics: l'identificatore univoco dell'area di lavoro Log Analytics di Azure Monitor specifica che l'integrazione esegue query per i log. Per saperne di più su come trovare l'ID workspace, consulta Workspace.

Parametri di integrazione

L'integrazione di Azure Monitor richiede i seguenti parametri:

Parametro	Descrizione
`Login API Root`	Obbligatorio. La radice dell'API di accesso del servizio Azure Monitor. Il valore predefinito è `https://login.microsoftonline.com`.
`API Root`	Obbligatorio. La radice dell'API del servizio Azure Monitor. Il valore predefinito è `https://api.loganalytics.io`.
`Tenant ID`	Obbligatorio. L'ID tenant dell'account Azure Monitor.
`Client ID`	Obbligatorio. L'ID client dell'account Azure Monitor.
`Client Secret`	Obbligatorio. Il client secret dell'account Azure Monitor.
`Workspace ID`	Obbligatorio. L'ID spazio di lavoro dell'account Azure Monitor.
`Verify SSL`	Obbligatorio. Se selezionata, l'integrazione convalida il certificato SSL quando si connette al server Azure Monitor. Abilitato per impostazione predefinita.

Azioni

Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.

Dindin

Utilizza l'azione Ping per testare la connettività ad Azure Monitor.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

Nessuno.

Output dell'azione

L'azione Ping fornisce i seguenti output:

Tipo di output dell'azione	Disponibilità
Allegato della bacheca casi	Non disponibile
Link alla bacheca richieste	Non disponibile
Tabella della bacheca casi	Non disponibile
Tabella di arricchimento	Non disponibile
Risultato JSON	Non disponibile
Messaggi di output	Disponibile
Risultato dello script.	Disponibile

Messaggi di output

L'azione Ping può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Messaggio di output	Descrizione del messaggio
`Successfully connected to the Azure Monitor server with the provided connection parameters!`	L'azione è riuscita.
`Failed to connect to the Azure Monitor server! Error is ERROR_REASON`	L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali.

Successfully connected to the Azure Monitor server with the provided connection parameters!

L'azione è riuscita.

Failed to connect to the Azure Monitor server!
      Error is  ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ping:

Nome del risultato dello script	Valore
`is_success`	`True` o `False`

Log di ricerca

Utilizza l'azione Cerca log per eseguire comandi KQL nel tuo spazio di lavoro Azure Monitor per recuperare dati di log specifici in base alla stringa di query fornita.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Log di ricerca richiede i seguenti parametri:

Parametro	Descrizione
`Workspace ID`	Facoltativo. L'ID dello spazio di lavoro da cercare. Se non viene fornito alcun valore, l'azione utilizza l'ID Workspace della configurazione dell'integrazione.
`Query`	Obbligatorio. La query (comando KQL) che l'azione esegue sui dati dei log.
`Time Frame`	Facoltativo. L'intervallo di tempo per la query. Se è selezionato `Custom`, devi anche fornire `Start Time`. I valori possibili sono: `Last Hour` `Last 6 Hours` `Last 24 Hours` `Last Week` `Last Month` `Custom` Il valore predefinito è `Last Hour`.
`Start Time`	Facoltativo. L'ora di inizio della query nel formato ISO 8601. Se `Custom` è selezionato in `Time Frame`, questo parametro è obbligatorio.
`End Time`	Facoltativo. L'ora di fine della query in formato ISO 8601. Se `Custom` è selezionato in `Time Frame` e non viene fornito alcun valore, viene utilizzata l'ora corrente.
`Max Results To Return`	Obbligatorio. Il numero massimo di risultati da restituire per la ricerca. Il valore massimo è `1000`. Il valore predefinito è `100`.

Output dell'azione

L'azione Cerca log fornisce i seguenti output:

Tipo di output dell'azione	Disponibilità
Allegato della bacheca casi	Non disponibile
Link alla bacheca richieste	Non disponibile
Tabella della bacheca casi	Non disponibile
Tabella di arricchimento	Non disponibile
Risultato JSON	Disponibile
Messaggi di output	Disponibile
Risultato dello script.	Disponibile

Risultato JSON

L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Cerca log:

[
 {
   "TimeGenerated": "2025-10-07T06:44:40.4570918Z",
   "OperationName": "Update datascanners"
 },
 {
   "TimeGenerated": "2025-10-07T06:44:41.1760472Z",
   "OperationName": "Update datascanners"
 },
]

Messaggi di output

L'azione Cerca log può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Messaggio di output	Descrizione del messaggio
`Successfully returned results for the query QUERY in Azure Monitor.` `No results were found for the query QUERY in Azure Monitor.`	L'azione è riuscita.
`Error executing action "Search Logs". Reason: ERROR_REASON`	L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali.

Successfully returned results for the query QUERY in Azure Monitor.

No results were found for the query QUERY in Azure Monitor.

L'azione è riuscita.

Error executing action "Search Logs". Reason:
      ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Cerca log:

Nome del risultato dello script	Valore
`is_success`	`True` o `False`

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.