Crie um feed do Azure Event Hub
Este documento mostra como configurar um Hub de Eventos do Azure para enviar dados de segurança para o Google Security Operations. Pode criar até 10 feeds do Azure Event Hub, que incluem feeds ativos e inativos.
Para configurar um feed do Azure, conclua os seguintes processos:Crie um hub de eventos no Azure: configure a infraestrutura necessária no seu ambiente do Azure para receber e armazenar a stream de dados de segurança.
Configure o feed no Google SecOps: configure o feed no Google SecOps para estabelecer ligação ao seu hub de eventos do Azure e começar a carregar dados.
Crie um Hub de Eventos do Azure
Para criar um hub de eventos no Azure, faça o seguinte:
Crie um espaço de nomes do hub de eventos e um hub de eventos.
Para garantir o carregamento ideal de dados, implemente o espaço de nomes do Event Hub na mesma região que a sua instância do Google SecOps. A implementação do hub de eventos numa região diferente pode reduzir o débito carregado no Google SecOps.
Defina a contagem de partições como 40 para uma escalabilidade ideal.
Para ajudar a evitar a perda de dados devido aos limites de quota do Google SecOps, defina um tempo de retenção longo para o seu hub de eventos. Isto garante que os registos não são eliminados antes de a carregamento ser retomado após uma restrição de quota. Para mais informações sobre a retenção de eventos e as limitações do tempo de retenção, consulte o artigo Retenção de eventos.
Para hubs de eventos de nível padrão, ative a opção Aumentar automaticamente para dimensionar automaticamente a taxa de transferência conforme necessário. Consulte o artigo Aumente automaticamente as unidades de débito dos Hubs de Eventos do Azure para mais informações.
Para os níveis básico e padrão, uma unidade de débito (TU) no Azure Event Hub suporta até 1 MB por segundo de carregamento de dados. Se o volume de eventos recebidos exceder a capacidade das UFs configuradas, pode ocorrer perda de dados. Por exemplo, se configurar 5 UDs, a taxa de carregamento máxima suportada é de 5 MB por segundo. Se forem enviados eventos a 20 MB por segundo, o Hub de Eventos pode falhar. Como resultado, os registos podem ser perdidos ao nível do Event Hub antes de chegarem ao Google SecOps.
Obtenha a string de ligação do hub de eventos necessária para que o Google SecOps carregue dados do hub de eventos do Azure. Esta string de ligação autoriza o Google SecOps a aceder e recolher dados de segurança do seu hub de eventos. Tem duas opções para fornecer uma string de ligação:
Nível do espaço de nomes do hub de eventos: funciona para todos os hubs de eventos no espaço de nomes. É uma opção mais simples se estiver a usar vários hubs de eventos e quiser usar a mesma string de ligação para todos na configuração do feed.
Nível do hub de eventos: aplica-se a um único hub de eventos. Esta é uma opção segura se precisar de conceder acesso apenas a um hub de eventos. Certifique-se de que remove
EntityPathdo final da string de ligação.
Por exemplo, altere
Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME>paraEndpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>.Configure as suas aplicações, como a firewall de aplicações Web ou o Microsoft Defender, para enviar os respetivos registos para o hub de eventos.
Utilizadores do Microsoft Defender: ao configurar o streaming do Microsoft Defender, certifique-se de que introduz o nome do hub de eventos existente. Se deixar este campo em branco, o sistema pode criar hubs de eventos desnecessários e consumir a sua quota de feeds limitada. Para manter tudo organizado, use nomes de hub de eventos que correspondam ao tipo de registo.
Configure o feed do Azure
Para configurar o feed do Azure no Google SecOps, faça o seguinte:
No menu do Google SecOps, selecione Definições do SIEM e, de seguida, clique em Feeds.
Clique em Adicionar novo.
No campo Nome do feed, introduza um nome para o feed.
Na lista Tipo de origem, selecione Microsoft Azure Event Hub.
Selecione o Tipo de registo. Por exemplo, para criar um feed para o Open Cybersecurity Schema Framework, selecione Open Cybersecurity Schema Framework (OCSF) como o Tipo de registo.
Clicar em Seguinte. É apresentada a janela Adicionar feed.
Obtenha as informações do hub de eventos que criou anteriormente no portal do Azure para preencher os seguintes campos:
- Nome do hub de eventos: o nome do hub de eventos
Grupo de consumidores do Hub de Eventos: o grupo de consumidores associado ao seu Hub de Eventos
String de ligação do hub de eventos: a string de ligação do hub de eventos
String de ligação do armazenamento do Azure: opcional. A string de ligação do armazenamento de blobs
Nome do contentor de armazenamento do Azure: opcional. O nome do contentor de armazenamento de blobs
Token SAS do Azure: opcional. O token SAS
Espaço de nomes do recurso: opcional. O espaço de nomes do recurso
Etiquetas de carregamento: opcional. A etiqueta a aplicar aos eventos deste feed
Clicar em Seguinte. É apresentado o ecrã Finalize (Finalizar).
Reveja a configuração do feed e, de seguida, clique em Enviar.
Valide o fluxo de dados
Para verificar se os seus dados estão a fluir para o Google SecOps e se o hub de eventos está a funcionar corretamente, pode efetuar estas verificações:
No Google SecOps, examine os painéis de controlo e use a análise de registos não processados ou a pesquisa do modelo de dados unificado (UDM) para verificar se os dados carregados estão no formato correto.
No portal do Azure, navegue para a página do hub de eventos e inspecione os gráficos que apresentam os bytes recebidos e enviados. Certifique-se de que as taxas de entrada e saída são aproximadamente equivalentes, o que indica que as mensagens estão a ser processadas e não existe um atraso.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.