Estabeleça ligação ao Microsoft Azure para a recolha de dados de registo

As deteções organizadas, a investigação de ameaças e as capacidades de gestão de autorizações da infraestrutura na nuvem (CIEM) do Security Command Center para o Microsoft Azure requerem a carregamento de registos do Microsoft Azure através do pipeline de carregamento da consola de operações de segurança. Os tipos de registos do Microsoft Azure necessários para o carregamento diferem consoante o que está a configurar:

  • A CIEM requer dados do tipo de registo dos serviços na nuvem do Azure (AZURE_ACTIVITY).
  • As deteções preparadas requerem dados de vários tipos de registos. Para saber mais sobre os diferentes tipos de registos do Microsoft Azure, consulte o artigo Dispositivos suportados e tipos de registos necessários.

Deteções organizadas

As deteções preparadas no nível Enterprise do Security Command Center ajudam a identificar ameaças em ambientes do Microsoft Azure através de dados de eventos e de contexto.

Estes conjuntos de regras requerem os seguintes dados para funcionar conforme previsto. Tem de carregar dados do Azure de cada uma destas origens de dados para ter a cobertura máxima das regras.

Para mais informações, consulte o seguinte na documentação do Google SecOps:

Para informações sobre o tipo de dados de registo que os clientes com o Security Command Center Enterprise podem carregar diretamente para o inquilino do Google SecOps, consulte o artigo Recolha de dados de registo do Google SecOps.

Configure a ingestão de registos do Microsoft Azure para CIEM

Para gerar resultados da CIEM para o seu ambiente do Microsoft Azure, as capacidades da CIEM requerem dados dos registos de atividade do Azure para cada subscrição ou grupo de gestão do Azure que tem de ser analisado.

Antes de começar

Para exportar registos de atividade das suas subscrições ou grupos de gestão do Azure, configure uma conta de armazenamento do Microsoft Azure.

Configure a carregamento de registos do Microsoft Azure para grupos de gestão

  1. Para configurar o registo de atividade do Azure para grupos de gestão, use a API de grupos de gestão.

  2. Para carregar registos de atividade exportados da conta de armazenamento, configure um feed na consola do Security Operations.

  3. Defina uma etiqueta de carregamento para o feed definindo Label como CIEM e Value como TRUE.

Configure o carregamento de registos do Microsoft Azure para subscrições

  1. Para configurar o registo de atividade do Azure para subscrições, faça o seguinte:

    1. Na consola do Azure, pesquise Monitor.
    2. No painel de navegação do lado esquerdo, clique no link Registo de atividade.
    3. Clique em Exportar registos de atividade.
    4. Execute as seguintes ações para cada subscrição ou grupo de gestão para o qual os registos têm de ser exportados:
      1. No menu subscrição, selecione a subscrição do Microsoft Azure a partir da qual quer exportar os registos de atividade.
      2. Clique em Adicionar definição de diagnóstico.
      3. Introduza um nome para a definição de diagnóstico.
      4. Em Categorias de registo, selecione Administrativo.
      5. Em Detalhes do destino, selecione Arquivar numa conta de armazenamento.
      6. Selecione a subscrição e a conta de armazenamento que criou e clique em Guardar.

  2. Para carregar registos de atividade exportados da conta de armazenamento, configure um feed na consola do Security Operations.

  3. Defina uma etiqueta de carregamento para o feed definindo Label como CIEM e Value como TRUE.

O que se segue?