将 Azure Monitor 与 Google SecOps 集成

集成版本:1.0

本文档介绍了如何将 Azure Monitor 与 Google Security Operations (Google SecOps) 集成。

使用场景

Azure Monitor 集成可满足以下使用场景:

  • 日志丰富和上下文:在发生突发事件期间,使用 Google SecOps 功能搜索 Azure Monitor 日志(例如,Azure 活动或安全事件),以检索更多上下文,确认可疑活动或确定涉及 Azure 资源的数据泄露范围。

  • 调查 Azure 身份验证事件:当发现可疑 IP 地址或用户实体时,使用 Google SecOps 功能查询登录日志,快速从 Azure 检索所有相关的身份验证尝试和访问历史记录,以帮助调查账号入侵事件。

  • 验证云错误配置:使用 Google SecOps 功能针对 Azure 活动日志执行特定的 Kusto 查询语言 (KQL) 查询,以检查网络安全组、防火墙规则或可能触发了提醒的关键 Azure 服务配置最近是否发生了更改。

准备工作

在 Google SecOps 平台中配置集成之前,请验证您是否具备以下条件:

  • Azure AD 应用注册:具有访问日志数据所需权限(例如 Log Analytics 读取者)的 Azure Active Directory (Azure AD) 应用,您必须从中获取客户端 ID 和客户端密钥。如需详细了解如何设置此应用以进行 API 访问,请参阅访问 Azure Monitor Logs API

  • 租户 ID:Azure Active Directory 实例的唯一标识符,完成 OAuth 2.0 身份验证流程时需要用到此 ID。

  • Log Analytics 工作区 ID:集成查询日志所用的特定 Azure Monitor Log Analytics 工作区的唯一标识符。如需详细了解如何查找工作区 ID,请参阅工作区

集成参数

Azure Monitor 集成需要以下参数:

参数 说明
Login API Root

必填。

Azure Monitor 服务的登录 API 根。

默认值为 https://login.microsoftonline.com
API Root

必填。

Azure Monitor 服务的 API 根。

默认值为 https://api.loganalytics.io
Tenant ID

必填。

Azure Monitor 账号租户 ID。
Client ID

必填。

Azure Monitor 账号客户端 ID。
Client Secret

必填。

Azure Monitor 账号的客户端密钥。
Workspace ID

必填。

Azure Monitor 账号工作区 ID。
Verify SSL

必填。

如果选择此项,集成会在连接到 Azure Monitor 服务器时验证 SSL 证书。

默认处于启用状态。

操作

如需详细了解操作,请参阅 在工作台页面中处理待处理的操作执行手动操作

Ping

使用 Ping 操作测试与 Azure Monitor 的连接。

此操作不适用于 Google SecOps 实体。

操作输入

无。

操作输出

Ping 操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
输出消息 可用
脚本结果。 可用
输出消息

Ping 操作可以返回以下输出消息:

输出消息 消息说明

Successfully connected to the Azure Monitor server with the provided connection parameters!

 操作成功。
Failed to connect to the Azure Monitor server! Error is ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表列出了使用 Ping 操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

搜索日志

使用搜索日志操作针对 Azure Monitor 工作区执行 KQL 命令,以根据提供的查询字符串检索特定的日志数据。

此操作不适用于 Google SecOps 实体。

操作输入

搜索日志操作需要以下参数:

参数 说明
Workspace ID

可选。

要搜索的工作区的 ID。

如果未提供任何值,该操作将使用集成配置中的 Workspace ID。
Query

必填。

操作针对日志数据执行的查询(KQL 命令)。
Time Frame

可选。

查询的时间范围。

如果选择 Custom,您还必须提供 Start Time

可能的值如下:

  • Last Hour
  • Last 6 Hours
  • Last 24 Hours
  • Last Week
  • Last Month
  • Custom

默认值为 Last Hour
Start Time

可选。

查询的开始时间,采用 ISO 8601 格式。

如果 Time Frame 中选择了 Custom,则此参数是必需的。
End Time

可选。

查询的结束时间,采用 ISO 8601 格式。

如果 Time Frame 中选择了 Custom,但未提供任何值,则使用当前时间。
Max Results To Return

必填。

搜索返回的结果数上限。

最大值为 1000

默认值为 100

操作输出

搜索日志操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 可用
输出消息 可用
脚本结果。 可用
JSON 结果

以下示例展示了使用搜索日志操作时收到的 JSON 结果输出:

[
 {
   "TimeGenerated": "2025-10-07T06:44:40.4570918Z",
   "OperationName": "Update datascanners"
 },
 {
   "TimeGenerated": "2025-10-07T06:44:41.1760472Z",
   "OperationName": "Update datascanners"
 },
]
输出消息

搜索日志操作可以返回以下输出消息:

输出消息 消息说明

Successfully returned results for the query QUERY in Azure Monitor.

No results were found for the query QUERY in Azure Monitor.

 操作成功。
Error executing action "Search Logs". Reason: ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表列出了使用搜索日志操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。