Creare un feed di Azure Event Hubs

Questo documento illustra la procedura per creare un feed di Azure Event Hub per importare i dati sulla sicurezza in Google Security Operations. Puoi creare un massimo di 10 feed di Azure Event Hub, inclusi quelli attivi e inattivi. Per configurare un feed di Azure, completa le seguenti procedure:

1. Crea un event hub in Azure: configura l'infrastruttura necessaria nel tuo ambiente Azure per ricevere e archiviare lo stream di dati sulla sicurezza.

2. Configura il feed in Google SecOps: configura il feed in Google SecOps per connetterti all'hub eventi Azure e iniziare a importare i dati.

Creare un hub eventi in Azure

Per creare un hub eventi in Azure:

1. Crea uno spazio dei nomi e un hub di eventi.

   • Imposta il conteggio delle partizioni su 32 per una scalabilità ottimale (non può essere modificato in un secondo momento per i livelli standard e di base).

   • Per evitare la perdita di dati a causa dei limiti di quota di Google SecOps, utilizza un tempo di conservazione lungo per l'hub eventi. In questo modo, i log non vengono eliminati prima che l'importazione riprenda dopo un limite di quota. Per ulteriori informazioni su conservazione degli eventi e limitazioni del tempo di conservazione, vedi Conservazione degli eventi.

   • Per gli hub eventi di livello standard, attiva l'inflazione automatica per scalare automaticamente il throughput in base alle esigenze. Per saperne di più, consulta Eseguire il ridimensionamento automatico delle unità di throughput di Azure Event Hubs.

2. Ottieni la stringa di connessione dell'hub eventi necessaria per consentire a Google SecOps di importare i dati dall'hub eventi di Azure. Questa stringa di connessione autorizza Google SecOps ad accedere e raccogliere i dati sulla sicurezza dal tuo event hub. Hai due opzioni per fornire una stringa di connessione:

   • A livello di spazio dei nomi dell'hub di eventi: questa stringa di connessione funziona per tutti gli hub di eventi all'interno dello spazio dei nomi. Si tratta di un'opzione più semplice se utilizzi più event hub e vuoi utilizzare la stessa stringa di connessione per tutti nella configurazione del feed.

   • A livello di hub eventi: questa stringa di connessione è specifica per un singolo hub eventi. Questa è un'opzione sicura se devi concedere l'accesso a un solo hub eventi. Assicurati di rimuovere EntityPath dalla fine della stringa di connessione.

   Ad esempio, cambia Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME> in Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>.

3. Crea un contenitore Azure Blob Storage per archiviare i dati di sicurezza e ottenere la stringa di connessione. Questa stringa di connessione autorizza Google SecOps ad accedere ai metadati memorizzati nel contenitore di archiviazione BLOB di Azure, il che garantisce il recupero accurato dei dati dal tuo hub eventi.

4. Genera un token SAS. Google SecOps deve monitorare il flusso di dati dell'hub eventi per scalare le risorse. Per farlo, viene utilizzata un'API Azure che richiede un token SAS per l'accesso.

   Imposta un periodo di scadenza lungo per il token SAS (ad esempio 6 mesi). Assicurati di aggiornarlo prima della scadenza per evitare interruzioni del servizio.

5. Configura le tue applicazioni, ad esempio Web Application Firewall o Microsoft Defender, per inviare i relativi log all'hub eventi.

   Utenti di Microsoft Defender: quando configuri lo streaming di Microsoft Defender, assicurati di inserire il nome dell'hub eventi esistente. Se lasci vuoto questo campo, potresti generare hub di eventi non necessari, utilizzando la tua quota di feed limitata. Per una migliore organizzazione, ti consigliamo di utilizzare nomi di hub eventi corrispondenti al tipo di log.

Configura il feed di Azure in Google SecOps

Per configurare il feed di Azure in Google SecOps:

1. Nel menu di Google SecOps, seleziona Impostazioni SIEM e poi fai clic su Feed.

2. Fai clic su Aggiungi nuovo.

3. Nel campo Nome feed, inserisci un nome per il feed.

4. Nell'elenco Tipo di origine, seleziona Event Hub di Microsoft Azure.

5. Seleziona il Tipo di log. Ad esempio, per creare un feed per Open Cybersecurity Schema Framework, seleziona Open Cybersecurity Schema Framework (OCSF) come Tipo di log.

6. Fai clic su Avanti. Viene visualizzata la finestra Aggiungi feed.

7. Recupera le informazioni dall'hub eventi creato in precedenza nel Portale di Azure per compilare i seguenti campi:

   • Nome hub di evento: il nome dell'hub di evento

   • Gruppo di consumatori dell'hub eventi: il gruppo di consumatori associato all'hub eventi

   • Stringa di connessione dell'hub di eventi: la stringa di connessione dell'hub di eventi

   • Stringa di connessione di Azure Storage:la stringa di connessione di archiviazione BLOB

   • Nome del contenitore di archiviazione di Azure:il nome del contenitore di archiviazione BLOB

   • Token SAS di Azure:il token SAS

   • Spazio dei nomi della risorsa: lo spazio dei nomi della risorsa

   • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed

8. Fai clic su Avanti. Viene visualizzata la schermata Concludi.

9. Esamina la configurazione del feed e poi fai clic su Invia.

Verificare il flusso di dati

Per verificare che i dati vengano inviati a Google SecOps e che l'hub eventi funzioni correttamente, puoi eseguire questi controlli:

• In Google SecOps, esamina le dashboard e utilizza la ricerca di scansione dei log non elaborati o del modello di dati unificato (UDM) per verificare che i dati importati siano presenti nel formato corretto.

• Nel Portale di Azure, vai alla pagina dell'hub eventi e controlla i grafici che mostrano i byte in entrata e in uscita. Assicurati che le frequenze in entrata e in uscita siano approssimativamente equivalenti, a indicare che i messaggi vengono elaborati e che non esiste un backlog.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.