Esta página se ha traducido con Cloud Translation API.

Crear un feed de Azure Event Hub

Disponible en:

SecOps de Google SIEM

En este documento se explica cómo configurar un centro de eventos de Azure para enviar datos de seguridad a Google Security Operations. Puedes crear hasta 10 feeds de Azure Event Hub, incluidos los feeds activos e inactivos.

Para configurar un feed de Azure, sigue estos pasos:

Crea un centro de eventos en Azure: configura la infraestructura necesaria en tu entorno de Azure para recibir y almacenar el flujo de datos de seguridad.
Configura el feed en Google SecOps: configura el feed en Google SecOps para conectarlo a tu centro de eventos de Azure y empezar a ingerir datos.

Crear un centro de eventos de Azure

Para crear un centro de eventos en Azure, siga estos pasos:

Crea un espacio de nombres de centro de eventos y un centro de eventos.
- Para que la ingestión de datos sea óptima, implementa el espacio de nombres de Event Hub en la misma región que tu instancia de Google SecOps. Si implementas el centro de eventos en otra región, se puede reducir el volumen de datos ingeridos en Google SecOps.
- Define el número de particiones en 40 para conseguir un escalado óptimo.
  Nota: No puedes cambiar el número de particiones más adelante en los niveles Estándar y Básico. El recuento de particiones no afecta al coste.
- Para evitar que se pierdan datos debido a los límites de cuota de Google SecOps, define un tiempo de conservación largo para tu centro de eventos. De esta forma, los registros no se eliminan antes de que se reanude la ingestión tras un estrangulamiento de cuota. Para obtener más información sobre la conservación de eventos y las limitaciones del tiempo de conservación, consulte el artículo Conservación de eventos.
- En los centros de eventos de nivel estándar, habilita Inflado automático para escalar automáticamente el rendimiento según sea necesario. Para obtener más información, consulte Aumentar automáticamente las unidades de procesamiento de Azure Event Hubs.
- En los niveles básico y estándar, una unidad de rendimiento (TU) de Azure Event Hub admite hasta 1 MB por segundo de ingesta de datos. Si el volumen de eventos entrantes supera la capacidad de las unidades de transferencia configuradas, se pueden perder datos. Por ejemplo, si configura 5 unidades de transacción, la tasa de ingestión máxima admitida es de 5 MB por segundo. Si se envían eventos a 20 MB por segundo, el centro de eventos puede fallar. Por lo tanto, es posible que se pierdan registros a nivel de Event Hub antes de que lleguen a Google SecOps.
Obtén la cadena de conexión del centro de eventos necesaria para que Google SecOps ingiera datos del centro de eventos de Azure. Esta cadena de conexión autoriza a Google SecOps a acceder y recoger datos de seguridad de tu centro de eventos. Tienes dos opciones para proporcionar una cadena de conexión:
- Nivel de espacio de nombres del centro de eventos: funciona para todos los centros de eventos del espacio de nombres. Es una opción más sencilla si usas varios centros de eventos y quieres usar la misma cadena de conexión para todos ellos en la configuración de tu feed.
- Nivel de centro de eventos: se aplica a un solo centro de eventos. Esta es una opción segura si solo necesitas conceder acceso a un centro de eventos. Asegúrate de quitar EntityPath del final de la cadena de conexión.
Por ejemplo, cambia Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME> por Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>.
Configure sus aplicaciones, como Web Application Firewall o Microsoft Defender, para que envíen sus registros al centro de eventos.

Usuarios de Microsoft Defender: al configurar la transmisión de Microsoft Defender, asegúrese de introducir el nombre del centro de eventos que ya tenga. Si dejas este campo en blanco, el sistema podría crear centros de eventos innecesarios y consumir tu cuota de feeds limitada. Para mantener el orden, usa nombres de centros de eventos que coincidan con el tipo de registro.

Configurar el feed de Azure

Para configurar el feed de Azure en Google SecOps, haz lo siguiente:

En el menú de Google SecOps, selecciona Configuración de SIEM y, a continuación, haz clic en Feeds (Feeds).
Haz clic en Añadir nuevo.
En el campo Nombre del feed, escriba el nombre del feed.
En la lista Tipo de fuente, selecciona Microsoft Azure Event Hub.
Seleccione el Tipo de registro. Por ejemplo, para crear un feed para Open Cybersecurity Schema Framework, seleccione Open Cybersecurity Schema Framework (OCSF) como Tipo de registro.
Haz clic en Siguiente. Aparecerá la ventana Añadir feed.
Obtenga la información del centro de eventos que ha creado anteriormente en el portal de Azure para rellenar los siguientes campos:
- Nombre del centro de eventos: el nombre del centro de eventos.
- Grupo de consumidores del centro de eventos: el grupo de consumidores asociado a tu centro de eventos.
  
  Precaución: No cree suscriptores ni recupere datos de forma programática a través de la pestaña Explorador de datos del portal de Azure para el grupo de consumidores. Si lo haces, es posible que se pierdan datos.
- Cadena de conexión del centro de eventos: la cadena de conexión del centro de eventos.
- Cadena de conexión de Azure Storage: opcional. Cadena de conexión de almacenamiento de blobs
- Nombre del contenedor de almacenamiento de Azure: opcional. Nombre del contenedor de almacenamiento de blobs
- Token de SAS de Azure: opcional. El token de SAS
- Espacio de nombres de recursos: opcional. El espacio de nombres de recursos
- Etiquetas de ingestión: opcional. Etiqueta que se aplicará a los eventos de este feed.
Nota: Google SecOps gestiona su propio proceso de creación de puntos de control al ingerir datos de Azure Event Hub. Solo se necesita la cadena de conexión del centro de eventos. Los otros campos opcionales no afectan al proceso de creación de puntos de control.
Haz clic en Siguiente. Aparecerá la pantalla Finalizar.
Revise la configuración del feed y haga clic en Enviar.

Verificar el flujo de datos

Para verificar que tus datos se están enviando a Google SecOps y que tu centro de eventos funciona correctamente, puedes hacer estas comprobaciones:

En Google SecOps, examina los paneles de control y usa la búsqueda de análisis de registros sin procesar o de modelo de datos unificado (UDM) para verificar que los datos insertados estén en el formato correcto.
En Azure Portal, vaya a la página del centro de eventos e inspeccione los gráficos que muestran los bytes entrantes y salientes. Asegúrate de que las tasas de mensajes entrantes y salientes sean aproximadamente equivalentes, lo que indica que los mensajes se están procesando y que no hay una acumulación de trabajo.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.