Azure Event Hub-Feed erstellen

In diesem Dokument wird beschrieben, wie Sie einen Azure Event Hub einrichten, um Sicherheitsdaten an Google Security Operations zu senden. Sie können bis zu 10 Azure Event Hub-Feeds erstellen, sowohl aktive als auch inaktive.

So richten Sie einen Azure-Feed ein:

1. Event Hub in Azure erstellen:Richten Sie die erforderliche Infrastruktur in Ihrer Azure-Umgebung ein, um den Sicherheitsdatenstream zu empfangen und zu speichern.

2. Feed in Google SecOps konfigurieren:Konfigurieren Sie den Feed in Google SecOps, um eine Verbindung zu Ihrem Azure-Event Hub herzustellen und mit der Aufnahme von Daten zu beginnen.

Azure Event Hub erstellen

So erstellen Sie einen Event Hub in Azure:

1. Event Hubs-Namespace und Event Hub erstellen

   • Für eine optimale Datenerfassung sollten Sie den Event Hub-Namespace in derselben Region wie Ihre Google SecOps-Instanz bereitstellen. Wenn Sie den Event Hub in einer anderen Region bereitstellen, kann der in Google SecOps aufgenommene Durchsatz reduziert werden.

   • Legen Sie die Partitionsanzahl auf 40 fest, um eine optimale Skalierung zu erzielen.

   • Um Datenverlust aufgrund von Google SecOps-Kontingentlimits zu vermeiden, legen Sie eine lange Aufbewahrungsdauer für Ihren Ereignishub fest. So wird verhindert, dass Logs gelöscht werden, bevor die Aufnahme nach einer Kontingentdrosselung fortgesetzt wird. Weitere Informationen zur Ereignisaufbewahrung und zu Einschränkungen der Aufbewahrungsdauer finden Sie unter Ereignisaufbewahrung.

   • Aktivieren Sie für Event Hubs der Standard-Stufe Auto inflate (Automatische Aufblähung), um den Durchsatz bei Bedarf automatisch zu skalieren. Weitere Informationen finden Sie unter Automatische Aufskalierung von Azure Event Hubs-Durchsatz-Einheiten.

   • Bei den Tarifen „Basic“ und „Standard“ unterstützt eine Durchsatz-Einheit (Throughput Unit, TU) in Azure Event Hub bis zu 1 MB Datenaufnahme pro Sekunde. Wenn das eingehende Ereignisvolumen die Kapazität der konfigurierten TUs überschreitet, kann es zu Datenverlusten kommen. Wenn Sie beispielsweise 5 TUs konfigurieren, beträgt die maximal unterstützte Erfassungsrate 5 MB pro Sekunde. Wenn Ereignisse mit 20 MB pro Sekunde gesendet werden, kann der Event Hub abstürzen. Daher können Protokolle auf Event Hub-Ebene verloren gehen, bevor sie Google SecOps erreichen.

2. Rufen Sie die Event Hub-Verbindungszeichenfolge ab, die für Google SecOps erforderlich ist, um Daten aus dem Azure Event Hub aufzunehmen. Mit dieser Verbindungszeichenfolge wird Google SecOps autorisiert, auf Sicherheitsdaten aus Ihrem Event Hub zuzugreifen und diese zu erheben. Sie haben zwei Möglichkeiten, einen Verbindungsstring anzugeben:

   • Event Hubs-Namespaceebene: Funktioniert für alle Event Hubs im Namespace. Diese Option ist einfacher, wenn Sie mehrere Event Hubs verwenden und für alle in Ihrer Feedeinrichtung denselben Verbindungsstring verwenden möchten.

   • Event Hub-Ebene: Gilt für einen einzelnen Event Hub. Dies ist eine sichere Option, wenn Sie nur Zugriff auf einen Event Hub gewähren müssen. Entfernen Sie EntityPath am Ende des Verbindungsstrings.

   Ändern Sie beispielsweise Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME> in Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>.

3. Konfigurieren Sie Ihre Anwendungen, z. B. Web Application Firewall oder Microsoft Defender, so, dass ihre Protokolle an den Event Hub gesendet werden.

   Microsoft Defender-Nutzer:Achten Sie beim Konfigurieren des Microsoft Defender-Streamings darauf, dass Sie den Namen Ihres vorhandenen Event Hubs eingeben. Wenn Sie dieses Feld leer lassen, erstellt das System möglicherweise unnötige Event Hubs und verbraucht Ihr begrenztes Feedkontingent. Verwenden Sie zur besseren Übersicht Event Hub-Namen, die dem Protokolltyp entsprechen.

Azure-Feed konfigurieren

So konfigurieren Sie den Azure-Feed in Google SecOps:

1. Wählen Sie im Google SecOps-Menü SIEM Settings (SIEM-Einstellungen) und dann Feeds aus.

2. Klicken Sie auf Neu hinzufügen.

3. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein.

4. Wählen Sie in der Liste Quelltyp die Option Microsoft Azure Event Hub aus.

5. Wählen Sie den Logtyp aus. Wenn Sie beispielsweise einen Feed für das Open Cybersecurity Schema Framework erstellen möchten, wählen Sie Open Cybersecurity Schema Framework (OCSF) als Log-Typ aus.

6. Klicken Sie auf Weiter. Das Fenster Feed hinzufügen wird angezeigt.

7. Rufen Sie die Informationen aus dem Event Hub ab, den Sie zuvor im Azure-Portal erstellt haben, um die folgenden Felder auszufüllen:

   • Event Hub-Name: Der Name des Event Hubs.

   • Consumergruppe des Event Hubs: Die Consumergruppe, die Ihrem Event Hub zugeordnet ist.

   • Event Hub-Verbindungsstring: Der Event Hub-Verbindungsstring

   • Azure Storage-Verbindungsstring: Optional. Die Blob Storage-Verbindungszeichenfolge

   • Name des Azure Storage-Containers: Optional. Der Name des Blob-Speichercontainers

   • Azure-SAS-Token: Optional. Das SAS-Token

   • Asset-Namespace: Optional. Der Asset-Namespace

   • Labels für die Datenaufnahme: Optional. Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll

8. Klicken Sie auf Weiter. Der Bildschirm Abschließen wird angezeigt.

9. Prüfen Sie die Feedkonfiguration und klicken Sie dann auf Senden.

Datenfluss prüfen

So prüfen Sie, ob Ihre Daten in Google SecOps einfließen und Ihr Event-Hub ordnungsgemäß funktioniert:

• Sehen Sie sich in Google SecOps die Dashboards an und verwenden Sie die Suche nach Rohlog-Scans oder Unified Data Model (UDM), um zu prüfen, ob die aufgenommenen Daten im richtigen Format vorhanden sind.

• Rufen Sie im Azure-Portal die Seite Ihres Event Hubs auf und sehen Sie sich die Diagramme für eingehende und ausgehende Bytes an. Achten Sie darauf, dass die Raten für eingehende und ausgehende Nachrichten ungefähr gleich sind. Das deutet darauf hin, dass Nachrichten verarbeitet werden und kein Rückstau vorhanden ist.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten