Verbindung mit Microsoft Azure für die Erfassung von Protokolldaten herstellen

Für die kuratierten Erkennungen, die Bedrohungsuntersuchung und die CIEM-Funktionen (Cloud Infrastructure Entitlement Management) von Security Command Center für Microsoft Azure müssen Microsoft Azure-Logs über die Aufnahmepipeline der Security Operations Console aufgenommen werden. Die für die Aufnahme erforderlichen Microsoft Azure-Logtypen variieren je nach Konfiguration:

  • Für CIEM sind Daten aus dem Logtyp „Azure Cloud Services“ (AZURE_ACTIVITY) erforderlich.
  • Für kuratierte Erkennungen sind Daten aus mehreren Logtypen erforderlich. Weitere Informationen zu den verschiedenen Microsoft Azure-Logtypen finden Sie unter Unterstützte Geräte und erforderliche Logtypen.

Ausgewählte Erkennungen

Mit den kuratierten Erkennungen in der Enterprise-Stufe von Security Command Center lassen sich Bedrohungen in Microsoft Azure-Umgebungen anhand von Ereignis- und Kontextdaten erkennen.

Für diese Regelsätze sind die folgenden Daten erforderlich, damit sie wie vorgesehen funktionieren. Sie müssen Azure-Daten aus jeder dieser Datenquellen aufnehmen, um eine maximale Regelabdeckung zu erzielen.

Weitere Informationen finden Sie in der Google SecOps-Dokumentation unter:

Informationen zu den Logdaten, die Kunden mit Security Command Center Enterprise direkt in den Google SecOps-Mandanten aufnehmen können, finden Sie unter Google SecOps-Logdatenerfassung.

Microsoft Azure-Logaufnahme für CIEM konfigurieren

Damit CIEM-Ergebnisse für Ihre Microsoft Azure-Umgebung generiert werden können, sind für die CIEM-Funktionen Daten aus Azure-Aktivitätslogs für jedes Azure-Abo oder jede Azure-Verwaltungsgruppe erforderlich, die analysiert werden soll.

Hinweis

Wenn Sie Aktivitätslogs für Ihre Azure-Abos oder -Verwaltungsgruppen exportieren möchten, konfigurieren Sie ein Microsoft Azure-Speicherkonto.

Microsoft Azure-Logaufnahme für Verwaltungsgruppen konfigurieren

  1. Verwenden Sie die Management Group API, um das Azure-Aktivitätslogging für Verwaltungsgruppen zu konfigurieren.

  2. Konfigurieren Sie in der Security Operations Console einen Feed, um exportierte Aktivitätslogs aus dem Speicherkonto aufzunehmen. configure a feed in Security Operations console.

  3. Legen Sie ein Aufnahmelabel für den Feed fest, indem Sie Label auf CIEM und Wert auf TRUE setzen.

Microsoft Azure-Logaufnahme für Abos konfigurieren

  1. So konfigurieren Sie das Azure-Aktivitätslogging für Abos:

    1. Suchen Sie in der Azure Console nach Monitor.
    2. Klicken Sie im linken Navigationsbereich auf den Link Aktivitätslog.
    3. Klicken Sie auf Aktivitätslogs exportieren.
    4. Führen Sie die folgenden Aktionen für jedes Abo oder jede Verwaltungsgruppe aus, für die Logs exportiert werden müssen:
      1. Wählen Sie im Menü Abo das Microsoft Azure-Abo aus, aus dem Sie Aktivitätslogs exportieren möchten.
      2. Klicken Sie auf Diagnoseeinstellung hinzufügen.
      3. Geben Sie einen Namen für die Diagnoseeinstellung ein.
      4. Wählen Sie unter Logkategorien die Option Administrativ aus.
      5. Wählen Sie unter Zieldetails die Option In einem Speicherkonto archivieren aus.
      6. Wählen Sie das von Ihnen erstellte Abo und Speicherkonto aus und klicken Sie auf Speichern.

  2. Konfigurieren Sie in der Security Operations Console einen Feed, um exportierte Aktivitätslogs aus dem Speicherkonto aufzunehmen. configure a feed in Security Operations console.

  3. Legen Sie ein Aufnahmelabel für den Feed fest, indem Sie Label auf CIEM und Wert auf TRUE setzen.

Nächste Schritte