Azure Event Hub-Feed erstellen

Unterstützt in:

In diesem Dokument erfahren Sie, wie Sie einen Azure Event Hub-Feed einrichten, um Sicherheitsdaten in Google Security Operations aufzunehmen. Sie können maximal 10 Azure Event Hub-Feeds erstellen, sowohl aktive als auch inaktive. So richten Sie einen Azure-Feed ein:

  1. Event Hub in Azure erstellen:Richten Sie die erforderliche Infrastruktur in Ihrer Azure-Umgebung ein, um den Sicherheitsdatenstream zu empfangen und zu speichern.

  2. Feed in Google SecOps konfigurieren:Konfigurieren Sie den Feed in Google SecOps, um eine Verbindung zu Ihrem Azure-Ereignishub herzustellen und mit der Datenaufnahme zu beginnen.

Event Hub in Azure erstellen

So erstellen Sie einen Event-Hub in Azure:

  1. Erstellen Sie einen Event Hub-Namespace und einen Event Hub.

    • Legen Sie die Partitionszahl auf 32 fest, um eine optimale Skalierung zu erreichen. Diese Einstellung kann bei der Standard- und der Basisstufe später nicht mehr geändert werden.

    • Verwenden Sie eine lange Aufbewahrungsdauer für Ihren Ereignishub, um Datenverluste aufgrund von Google SecOps-Kontingentlimits zu vermeiden. So wird verhindert, dass Protokolle gelöscht werden, bevor die Datenaufnahme nach einer Kontingentbegrenzung fortgesetzt wird. Weitere Informationen zur Aufbewahrung von Ereignissen und zu Einschränkungen der Aufbewahrungsdauer finden Sie unter Aufbewahrung von Ereignissen.

    • Aktivieren Sie für Eventhubs der Standardebene die automatische Ausweitung, um den Durchsatz bei Bedarf automatisch zu skalieren. Weitere Informationen finden Sie unter Durchsatzeinheiten von Azure Event Hubs automatisch hochskalieren.

  2. Holen Sie sich den Event Hub-Verbindungsstring, der erforderlich ist, damit Google SecOps Daten aus dem Azure-Event Hub aufnehmen kann. Mit diesem Verbindungsstring wird Google SecOps autorisiert, auf Sicherheitsdaten in Ihrem Event Hub zuzugreifen und diese zu erheben. Sie haben zwei Möglichkeiten, einen Verbindungsstring anzugeben:

    • Ebene des Event Hub-Namespaces: Dieser Verbindungsstring funktioniert für alle Event Hubs innerhalb des Namespaces. Diese Option ist einfacher, wenn Sie mehrere Ereignishubs verwenden und in Ihrer Feedeinrichtung für alle denselben Verbindungsstring verwenden möchten.

    • Ereignishubebene: Dieser Verbindungsstring ist für einen einzelnen Ereignishub spezifisch. Dies ist eine sichere Option, wenn Sie nur einem Event Hub Zugriff gewähren müssen. Entfernen Sie EntityPath vom Ende des Verbindungsstrings.

    Ändern Sie beispielsweise Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME> in Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>.

  3. Erstellen Sie einen Azure Blob Storage, um Ihre Sicherheitsdaten zu speichern und den Verbindungsstring abzurufen. Mit diesem Verbindungsstring wird Google SecOps der Zugriff auf Metadaten gewährt, die im Azure Blob Storage-Container gespeichert sind. So werden Daten korrekt aus Ihrem Event Hub abgerufen.

  4. Erstelle ein SAS-Token. Google SecOps muss den Datenfluss Ihres Event Hubs erfassen, um die Ressourcen zu skalieren. Dazu wird eine Azure API verwendet, für die ein SAS-Token für den Zugriff erforderlich ist.

    Legen Sie eine lange Ablaufzeit für Ihr SAS-Token fest (z. B. 6 Monate). Aktualisieren Sie sie vor Ablauf, um Dienstunterbrechungen zu vermeiden.

  5. Konfigurieren Sie Ihre Anwendungen, z. B. die Webanwendungs-Firewall oder Microsoft Defender, so, dass ihre Protokolle an den Event Hub gesendet werden.

    Microsoft Defender-Nutzer:Geben Sie beim Konfigurieren des Microsoft Defender-Streams den Namen Ihres vorhandenen Event Hubs ein. Wenn Sie dieses Feld leer lassen, kann das zur Erstellung unnötiger Ereignishubs führen, wodurch Ihr begrenztes Feedkontingent aufgebraucht wird. Für eine bessere Organisation wird empfohlen, Eventhub-Namen zu verwenden, die dem Logtyp entsprechen.

Azure-Feed in Google SecOps konfigurieren

So konfigurieren Sie den Azure-Feed in Google SecOps:

  1. Wählen Sie im Google SecOps-Menü SIEM-Einstellungen und dann Feeds aus.

  2. Klicken Sie auf Neu hinzufügen.

  3. Geben Sie im Feld Feedname einen Namen für den Feed ein.

  4. Wählen Sie in der Liste Quelltyp die Option Microsoft Azure Event Hub aus.

  5. Wählen Sie den Protokolltyp aus. Wenn Sie beispielsweise einen Feed für das Open Cybersecurity Schema Framework erstellen möchten, wählen Sie Open Cybersecurity Schema Framework (OCSF) als Log-Typ aus.

  6. Klicken Sie auf Weiter. Das Fenster Feed hinzufügen wird angezeigt.

  7. Rufen Sie die Informationen aus dem Event Hub ab, den Sie zuvor im Azure-Portal erstellt haben, und füllen Sie die folgenden Felder aus:

    • Name des Event Hubs: Der Name des Event Hubs.

    • Event Hub-Nutzergruppe: Die mit Ihrem Event Hub verknüpfte Nutzergruppe

    • Event Hub-Verbindungsstring: Der Event Hub-Verbindungsstring

    • Azure Storage-Verbindungsstring:Der Blob Storage-Verbindungsstring

    • Name des Azure-Speichercontainers:der Name des Blob-Speichercontainers

    • Azure-SAS-Token:das SAS-Token

    • Asset-Namespace: Asset-Namespace

    • Aufnahmelabels: das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll

  8. Klicken Sie auf Weiter. Der Bildschirm Finalize (Abschließen) wird angezeigt.

  9. Prüfen Sie die Feedkonfiguration und klicken Sie dann auf Senden.

Datenfluss prüfen

So prüfen Sie, ob Ihre Daten in Google SecOps fließen und Ihr Ereignishub ordnungsgemäß funktioniert:

  • Prüfen Sie in Google SecOps die Dashboards und verwenden Sie die Suche im Rohprotokoll oder im Unified Data Model (UDM), um sicherzustellen, dass die aufgenommenen Daten im richtigen Format vorliegen.

  • Rufen Sie im Azure-Portal die Seite Ihres Event Hubs auf und sehen Sie sich die Diagramme mit den ein- und ausgehenden Bytes an. Die Raten für eingehende und ausgehende Nachrichten sollten ungefähr gleich sein. Das bedeutet, dass Nachrichten verarbeitet werden und es keinen Rückstau gibt.