Conectar-se ao Microsoft Azure para coleta de dados de registro

As detecções especializadas, a investigação de ameaças e os recursos de gerenciamento de direitos de infraestrutura em nuvem (CIEM, na sigla em inglês) do Security Command Center para o Microsoft Azure exigem a ingestão de registros do Microsoft Azure usando o pipeline de ingestão do console do Security Operations. Os tipos de registro do Microsoft Azure necessários para a ingestão variam de acordo com o que você está configurando:

  • O CIEM exige dados do tipo de registro dos Serviços de nuvem do Azure (AZURE_ACTIVITY).
  • As detecções especializadas exigem dados de vários tipos de registro. Para saber mais sobre os diferentes tipos de registro do Microsoft Azure, consulte Dispositivos compatíveis e tipos de registros necessários.

Detecções especializadas

As detecções especializadas no nível Enterprise do Security Command Center ajudam a identificar ameaças em ambientes do Microsoft Azure usando dados de eventos e de contexto.

Esses conjuntos de regras exigem os dados a seguir para funcionar conforme projetado. É necessário ingerir dados do Azure de cada uma dessas fontes de dados para ter a cobertura máxima de regras.

Para mais informações, consulte o seguinte na documentação do Google SecOps:

Para informações sobre o tipo de dados de registro que os clientes do Security Command Center Enterprise podem ingerir diretamente no locatário do Google SecOps, consulte Coleta de dados de registro do Google SecOps.

Configurar a ingestão de registros do Microsoft Azure para CIEM

Para gerar descobertas de CIEM para seu ambiente do Microsoft Azure, os recursos de CIEM exigem dados dos registros de atividades do Azure para cada assinatura ou grupo de gerenciamento do Azure que precisa ser analisado.

Antes de começar

Para exportar registros de atividades das assinaturas ou grupos de gerenciamento do Azure, configure uma conta de armazenamento do Microsoft Azure.

Configurar a ingestão de registros do Microsoft Azure para grupos de gerenciamento

  1. Para configurar o registro de atividades do Azure para grupos de gerenciamento, use a API do grupo de gerenciamento.

  2. Para ingerir registros de atividades exportados da conta de armazenamento, configure um feed no console do Security Operations.

  3. Defina um rótulo de ingestão para o feed definindo Rótulo como CIEM e Valor como TRUE.

Configurar a ingestão de registros do Microsoft Azure para assinaturas

  1. Para configurar o registro de atividades do Azure para assinaturas, faça o seguinte:

    1. No console do Azure, pesquise Monitor.
    2. No painel de navegação à esquerda, clique no link Registro de atividades.
    3. Clique em Exportar registros de atividades.
    4. Realize as ações a seguir para cada assinatura ou grupo de gerenciamento para o qual os registros precisam ser exportados:
      1. No menu Assinatura, selecione a assinatura do Microsoft Azure da qual você quer exportar os registros de atividades.
      2. Clique em Adicionar configuração de diagnóstico.
      3. Insira um nome para a configuração de diagnóstico.
      4. Em Categorias de registro, selecione Administrativo.
      5. Em Detalhes do destino, selecione Arquivar em uma conta de armazenamento.
      6. Selecione a assinatura e a conta de armazenamento que você criou e clique em Salvar.

  2. Para ingerir registros de atividades exportados da conta de armazenamento, configure um feed no console do Security Operations.

  3. Defina um rótulo de ingestão para o feed definindo Rótulo como CIEM e Valor como TRUE.

A seguir