Connettiti a Microsoft Azure per la raccolta dei dati dei log

Le funzionalità di rilevamenti predefiniti, indagine sulle minacce e Cloud Infrastructure Entitlement Management (CIEM) di Security Command Center per Microsoft Azure richiedono l'importazione dei log di Microsoft Azure utilizzando la pipeline di importazione della console Security Operations. I tipi di log di Microsoft Azure richiesti per l'importazione variano a seconda di ciò che stai configurando:

  • CIEM richiede i dati del tipo di log dei servizi cloud di Azure (AZURE_ACTIVITY).
  • I rilevamenti predefiniti richiedono i dati di più tipi di log. Per scoprire di più sui diversi tipi di log di Microsoft Azure, consulta Dispositivi supportati e tipi di log richiesti.

Rilevamenti predefiniti

I rilevamenti predefiniti nel livello Enterprise di Security Command Center aiutano a identificare le minacce negli ambienti Microsoft Azure utilizzando sia i dati sugli eventi sia i dati di contesto.

Questi set di regole richiedono i seguenti dati per funzionare come previsto. Per avere la massima copertura delle regole, devi importare i dati di Azure da ciascuna di queste origini dati.

Per ulteriori informazioni, consulta le seguenti risorse nella documentazione di Google SecOps:

Per informazioni sul tipo di dati di log che i clienti con Security Command Center Enterprise possono importare direttamente nel tenant di Google SecOps, consulta Raccolta dei dati di log di Google SecOps.

Configurare l'importazione dei log di Microsoft Azure per CIEM

Per generare risultati CIEM per il tuo ambiente Microsoft Azure, le funzionalità CIEM richiedono i dati dei log delle attività di Azure per ogni abbonamento o gruppo di gestione di Azure che deve essere analizzato.

Prima di iniziare

Per esportare i log delle attività per gli abbonamenti o i gruppi di gestione di Azure, configura un account di archiviazione di Microsoft Azure.

Configurare l'importazione dei log di Microsoft Azure per i gruppi di gestione

  1. Per configurare la registrazione delle attività di Azure per i gruppi di gestione, utilizza l' API dei gruppi di gestione.

  2. Per importare i log delle attività esportati dall'account di archiviazione, configura un feed nella console Security Operations.

  3. Imposta un'etichetta di importazione per il feed impostando Etichetta su CIEM e Valore su TRUE.

Configurare l'importazione dei log di Microsoft Azure per gli abbonamenti

  1. Per configurare la registrazione delle attività di Azure per gli abbonamenti:

    1. Nella console di Azure, cerca Monitoraggio.
    2. Nel riquadro di navigazione a sinistra, fai clic sul link Log delle attività.
    3. Fai clic su Esporta log delle attività.
    4. Esegui le seguenti azioni per ogni abbonamento o gruppo di gestione per cui è necessario esportare i log:
      1. Nel menu Abbonamento, seleziona l'abbonamento Microsoft Azure da cui vuoi esportare i log delle attività.
      2. Fai clic su Aggiungi impostazione di diagnostica.
      3. Inserisci un nome per l'impostazione di diagnostica.
      4. In Categorie di log, seleziona Amministrativo.
      5. In Dettagli destinazione, seleziona Archivia in un account di archiviazione.
      6. Seleziona l'abbonamento e l'account di archiviazione che hai creato e fai clic su Salva.

  2. Per importare i log delle attività esportati dall'account di archiviazione, configura un feed nella console Security Operations.

  3. Imposta un'etichetta di importazione per il feed impostando Etichetta su CIEM e Valore su TRUE.

Passaggi successivi