Se connecter à Microsoft Azure pour collecter des données de journal

Les fonctionnalités de détection optimisée, d'investigation des menaces et de gestion des droits d'accès à l'infrastructure cloud (CIEM) de Security Command Center pour Microsoft Azure nécessitent l'ingestion des journaux Microsoft Azure à l'aide du pipeline d'ingestion de la console Security Operations. Les types de journaux Microsoft Azure requis pour l'ingestion varient en fonction de ce que vous configurez :

  • La CIEM nécessite des données du type de journal Azure Cloud Services (AZURE_ACTIVITY).
  • Les détections optimisées nécessitent des données de plusieurs types de journaux. Pour en savoir plus sur les différents types de journaux Microsoft Azure, consultez Appareils compatibles et types de journaux requis.

Détections optimisées

Les détections optimisées du niveau Enterprise de Security Command Center permettent d'identifier les menaces dans les environnements Microsoft Azure à l'aide de données d'événements et de contexte.

Ces ensembles de règles nécessitent les données suivantes pour fonctionner comme prévu. Vous devez ingérer les données Azure de chacune de ces sources de données pour bénéficier d'une couverture maximale des règles.

Pour en savoir plus, consultez les sections suivantes de la documentation Google SecOps :

Pour en savoir plus sur le type de données de journaux que les clients disposant de Security Command Center Enterprise peuvent ingérer directement dans le locataire Google SecOps, consultez Collecte des données de journaux Google SecOps.

Configurer l'ingestion des journaux Microsoft Azure pour la CIEM

Pour générer des résultats CIEM pour votre environnement Microsoft Azure, les fonctionnalités CIEM nécessitent des données provenant des journaux d'activité Azure pour chaque abonnement ou groupe de gestion Azure à analyser.

Avant de commencer

Pour exporter les journaux d'activité de vos abonnements ou groupes de gestion Azure, configurez un compte de stockage Microsoft Azure.

Configurer l'ingestion des journaux Microsoft Azure pour les groupes de gestion

  1. Pour configurer la journalisation des activités Azure pour les groupes de gestion, utilisez l 'API Groupes de gestion.

  2. Pour ingérer les journaux d'activité exportés à partir du compte de stockage, configurez un flux dans la console Security Operations.

  3. Définissez un libellé d'ingestion pour le flux en définissant Libellé sur CIEM et Valeur sur TRUE.

Configurer l'ingestion des journaux Microsoft Azure pour les abonnements

  1. Pour configurer la journalisation des activités Azure pour les abonnements, procédez comme suit :

    1. Dans la console Azure, recherchez Surveillance.
    2. Dans le volet de navigation de gauche, cliquez sur le lien Journal d'activité.
    3. Cliquez sur Exporter les journaux d'activité.
    4. Effectuez les actions suivantes pour chaque abonnement ou groupe de gestion pour lequel les journaux doivent être exportés :
      1. Dans le menu Abonnement, sélectionnez l'abonnement Microsoft Azure à partir duquel vous souhaitez exporter les journaux d'activité.
      2. Cliquez sur Ajouter un paramètre de diagnostic.
      3. Saisissez un nom pour le paramètre de diagnostic.
      4. Dans Catégories de journaux, sélectionnez Administratif.
      5. Dans Détails de la destination, sélectionnez Archiver dans un compte de stockage.
      6. Sélectionnez l'abonnement et le compte de stockage que vous avez créés, puis cliquez sur Enregistrer.

  2. Pour ingérer les journaux d'activité exportés à partir du compte de stockage, configurez un flux dans la console Security Operations.

  3. Définissez un libellé d'ingestion pour le flux en définissant Libellé sur CIEM et Valeur sur TRUE.

Étape suivante