חיבור ל-Microsoft Azure לאיסוף נתוני יומן

כדי להשתמש ביכולות של Security Command Center לזיהוי איומים, לחקירת איומים ולניהול הרשאות בתשתית ענן (CIEM) ב-Microsoft Azure, צריך להטמיע יומנים של Microsoft Azure באמצעות צינור ההטמעה של מסוף Security Operations. סוגי היומנים של Microsoft Azure שנדרשים להטמעה משתנים בהתאם למה שמגדירים:

• CIEM דורש נתונים מסוג היומן Azure Cloud Services‏ (AZURE_ACTIVITY).
• גלאים מוכנים מראש דורשים נתונים מכמה סוגים של יומנים. מידע נוסף על סוגי היומנים השונים של Microsoft Azure זמין במאמר מכשירים נתמכים וסוגי יומנים נדרשים.

גלאים מוכנים מראש

במהדורת Enterprise של Security Command Center יש גלאים מוכנים מראש, שעוזרים לזהות איומים בסביבות Microsoft Azure באמצעות נתונים של אירועים ונתוני הקשר.

כדי שקבוצות הכללים האלה יפעלו כמו שצריך, צריך את הנתונים הבאים. כדי להשיג כיסוי מקסימלי של הכללים, צריך להטמיע נתונים של Azure מכל אחד ממקורות הנתונים האלה.

• שירותי ענן של Azure
• ‫Microsoft Entra ID, שנקרא בעבר Azure Active Directory
• יומני ביקורת של Microsoft Entra ID, שנקראו בעבר יומני ביקורת של Azure AD
• ‫Microsoft Defender ל-Cloud
• פעילות ב-Microsoft Graph API

מידע נוסף זמין במאמרים הבאים במסמכי Google SecOps:

• מכשירים נתמכים וסוגי יומנים נדרשים ל-Azure: מידע על הנתונים שנדרשים לכל קבוצת כללים.

• הוספת נתונים מ-Azure ומ-Microsoft Entra ID ויצירת פיד של Azure Event Hub: שלבים לאיסוף נתוני יומן מ-Azure ומ-Microsoft Entra ID.

• גלאים מוכנים מראש עבור נתוני Azure: סיכום של קבוצות הכללים של Azure בגלאים מוכנים מראש בקטגוריה Cloud Threats.

• שימוש בגלאים מוכנים מראש לזיהוי איומים: איך משתמשים בגלאים מוכנים מראש ב-Google SecOps.

מידע על סוג הנתונים ביומן שלקוחות עם Security Command Center Enterprise יכולים להטמיע ישירות בדייר Google SecOps זמין במאמר איסוף נתונים ביומן של Google SecOps.

הגדרת הטמעה של יומנים ב-Microsoft Azure עבור CIEM

כדי ליצור ממצאים של CIEM בסביבת Microsoft Azure, יכולות ה-CIEM צריכות נתונים מיומני הפעילות של Azure לכל מינוי או קבוצת ניהול של Azure שצריך לנתח.

לפני שמתחילים

כדי לייצא את יומני הפעילות של המינויים או קבוצות הניהול ב-Azure, צריך להגדיר חשבון אחסון ב-Microsoft Azure.

הגדרת הטמעה של יומנים מ-Microsoft Azure לקבוצות ניהול

1. כדי להגדיר רישום פעילות ב-Azure לקבוצות ניהול, משתמשים ב-Management group API.

2. כדי להטמיע יומני פעילות שיוצאו מחשבון האחסון, מגדירים פיד במסוף Security Operations.

3. מגדירים תווית להעברת נתונים לפיד על ידי הגדרת תווית כ-CIEM וערך כ-TRUE.

הגדרת הטמעה של יומנים ב-Microsoft Azure עבור מינויים

1. כדי להגדיר רישום של פעילות ב-Azure עבור מינויים:

   1. במסוף Azure, מחפשים את Monitor.
   2. בחלונית הניווט הימנית, לוחצים על הקישור יומן פעילות.
   3. לוחצים על ייצוא יומני פעילות.
   4. מבצעים את הפעולות הבאות לכל מינוי או קבוצת ניהול שצריך לייצא עבורם יומנים:
      1. בתפריט subscription (מינוי), בוחרים את המינוי ל-Microsoft Azure שממנו רוצים לייצא את יומני הפעילות.
      2. לוחצים על הוספת הגדרת אבחון.
      3. מזינים שם להגדרת האבחון.
      4. בקטע Log categories (קטגוריות של יומנים), בוחרים באפשרות Administrative (ניהול).
      5. בקטע פרטי יעד, בוחרים באפשרות העברה לארכיון בחשבון אחסון.
      6. בוחרים את המינוי ואת חשבון האחסון שיצרתם ולוחצים על שמירה.

2. כדי להטמיע יומני פעילות שיוצאו מחשבון האחסון, מגדירים פיד במסוף Security Operations.

3. מגדירים תווית להעברת נתונים לפיד על ידי הגדרת תווית כ-CIEM וערך כ-TRUE.

המאמרים הבאים

• כדי להפעיל את CIEM, צריך לעיין במאמר בנושא הפעלת שירות הזיהוי של CIEM.
• סקירה כללית על CIEM