En este documento, se muestra cómo configurar un centro de eventos de Azure para enviar datos de seguridad a Google Security Operations. Puedes crear hasta 10 feeds de Azure Event Hub, incluidos los feeds activos e inactivos.
Para configurar un feed de Azure, completa los siguientes procesos:
Crea un centro de eventos en Azure: Configura la infraestructura necesaria en tu entorno de Azure para recibir y almacenar el flujo de datos de seguridad.
Configura el feed en Google SecOps: Configura el feed en Google SecOps para conectarte a tu centro de eventos de Azure y comenzar a transferir datos.
Crea un centro de eventos de Azure
Para crear un centro de eventos en Azure, haz lo siguiente:
Para garantizar una transferencia de datos óptima, implementa el espacio de nombres de Event Hub en la misma región que tu instancia de Google SecOps. Implementar el centro de eventos en una región diferente puede reducir el rendimiento que se transfiere a Google SecOps.
Establece el recuento de particiones en 40 para un escalamiento óptimo.
Para evitar la pérdida de datos debido a los límites de cuota de Google SecOps, establece un tiempo de retención prolongado para tu centro de eventos. Esto garantiza que los registros no se borren antes de que se reanude la transferencia después de una limitación de cuota. Para obtener más información sobre la retención de eventos y las limitaciones de tiempo de retención, consulta Retención de eventos.
En los niveles básico y estándar, una unidad de procesamiento (TU) en Azure Event Hubs admite hasta 1 MB por segundo de ingesta de datos. Si el volumen de eventos entrantes supera la capacidad de las TU configuradas, es posible que se pierdan datos. Por ejemplo, si configuras 5 TU, la tasa de transferencia máxima admitida es de 5 MB por segundo. Si los eventos se envían a 20 MB por segundo, es posible que Event Hub falle. Como resultado, es posible que se pierdan registros a nivel del centro de eventos antes de que lleguen a Google SecOps.
Obtén la cadena de conexión del centro de eventos que Google SecOps necesita para transferir datos del centro de eventos de Azure. Esta cadena de conexión autoriza a Google SecOps a acceder a los datos de seguridad de tu centro de eventos y recopilarlos. Tienes dos opciones para proporcionar una cadena de conexión:
Nivel del espacio de nombres del centro de eventos: Funciona para todos los centros de eventos dentro del espacio de nombres. Es una opción más simple si usas varios centros de eventos y deseas usar la misma cadena de conexión para todos ellos en la configuración de tu feed.
Nivel del centro de eventos: Se aplica a un solo centro de eventos.
Esta es una opción segura si solo necesitas otorgar acceso a un centro de eventos.
Asegúrate de quitar EntityPath del final de la cadena de conexión.
Por ejemplo, cambia Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME> a Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>.
Usuarios de Microsoft Defender: Cuando configuren la transmisión de Microsoft Defender, asegúrense de ingresar el nombre existente de su centro de eventos. Si dejas este campo en blanco, es posible que el sistema cree centros de eventos innecesarios y consuma tu cuota limitada de feeds.
Para mantener todo organizado, usa nombres de centros de eventos que coincidan con el tipo de registro.
Configura el feed de Azure
Para configurar el feed de Azure en Google SecOps, haz lo siguiente:
En el menú de Google SecOps, selecciona Configuración del SIEM y, luego, haz clic en Feeds.
Haz clic en Agregar nueva.
En el campo Nombre del feed, ingresa un nombre para el feed.
En la lista Tipo de fuente, selecciona Microsoft Azure Event Hub.
Selecciona el Tipo de registro. Por ejemplo, para crear un feed para el marco de trabajo Open Cybersecurity Schema Framework, selecciona Open Cybersecurity Schema Framework (OCSF) como el Tipo de registro.
Haz clic en Siguiente. Aparecerá la ventana Agregar feed.
Recupera la información del centro de eventos que creaste anteriormente en Azure Portal para completar los siguientes campos:
Nombre del centro de eventos: El nombre del centro de eventos
Grupo de consumidores del centro de eventos: Es el grupo de consumidores asociado con tu centro de eventos.
Cadena de conexión del centro de eventos: Cadena de conexión del centro de eventos
Cadena de conexión de Azure Storage: Opcional. Cadena de conexión del almacenamiento de blobs
Nombre del contenedor de Azure Storage: Opcional. Nombre del contenedor de Blob Storage
Etiquetas de transferencia: Opcional. Es la etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente. Aparecerá la pantalla Finalizar.
Revisa la configuración del feed y, luego, haz clic en Enviar.
Verifica el flujo de datos
Para verificar que tus datos se transfieran a Google SecOps y que tu centro de eventos funcione correctamente, puedes realizar las siguientes verificaciones:
En Google SecOps, examina los paneles y usa la búsqueda de registros sin procesar o del modelo de datos unificado (UDM) para verificar que los datos transferidos estén en el formato correcto.
En el portal de Azure, navega a la página de tu centro de eventos y examina los gráficos que muestran los bytes entrantes y salientes. Asegúrate de que las tasas de entrada y salida sean aproximadamente equivalentes, lo que indica que los mensajes se están procesando y no hay tareas pendientes.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-04 (UTC)"],[[["\u003cp\u003eThis guide explains how to set up an Azure Event Hub feed to ingest security data into Google Security Operations, allowing for a maximum of 10 feeds.\u003c/p\u003e\n"],["\u003cp\u003eCreating an Azure Event Hub involves setting up an event hub with a partition count of 32, configuring a long retention time to prevent data loss, and optionally enabling auto inflate for standard tier event hubs.\u003c/p\u003e\n"],["\u003cp\u003eConfiguring the feed in Google SecOps requires providing the event hub name, consumer group, event hub connection string, Azure storage details, and SAS token.\u003c/p\u003e\n"],["\u003cp\u003eIt is necessary to obtain both event hub and Azure blob storage connection strings, alongside a SAS token, to ensure Google SecOps can access and ingest data from the event hub correctly.\u003c/p\u003e\n"],["\u003cp\u003eVerification of the data flow can be done by checking dashboards and search functionality in Google SecOps, as well as monitoring incoming and outgoing bytes in the Azure portal for the event hub.\u003c/p\u003e\n"]]],[],null,["# Create an Azure Event Hub feed\n==============================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n\nThis document shows you how to set up an Azure Event Hub to send security data\nto Google Security Operations. You can create up to 10 Azure Event Hub feeds, which\nincludes both active and inactive feeds.\n| **Note:** Azure feeds collect data continuously. As a result, Google SecOps does not populate the **LAST SUCCEEDED ON** column for these feeds.\nTo set up an Azure feed, complete the following processes:\n\n\u003cbr /\u003e\n\n1. **[Create an event hub in Azure](#create-azure-event-hub):** set up the\n required infrastructure in your Azure environment to receive and store the\n security data stream.\n\n2. **[Configure the feed in Google SecOps](#configure-azure-feed):**\n configure the feed in Google SecOps to connect to your Azure\n event hub and to begin ingesting data.\n\n### Create an Azure Event Hub\n\nTo create an event hub in Azure, do the following:\n\n1. Create an [event hub namespace and event hub](https://learn.microsoft.com/en-us/azure/event-hubs/event-hubs-create).\n\n - To ensure optimal data ingestion, deploy the Event Hub namespace in the same region\n as your Google SecOps instance. Deploying the event hub in a\n different region can reduce the throughput ingested into Google SecOps.\n\n - Set the partition count to 40 for optimal scaling.\n\n | **Note:** You can't change the partition count later in the standard and basic tiers. Partition count does not affect cost.\n\n \u003cbr /\u003e\n\n - To help prevent data loss due to Google SecOps quota limits, set a\n long retention time for your event hub. This ensures that logs aren't\n deleted before ingestion resumes after a quota throttle. For more information\n about event retention and retention time limitations, see [Event retention](https://learn.microsoft.com/en-us/azure/event-hubs/event-hubs-features#event-retention).\n\n - For standard tier event hubs, enable **Auto inflate** to automatically scale\n throughput as needed. See [Automatically scale up Azure Event Hubs throughput units](https://learn.microsoft.com/en-us/azure/event-hubs/event-hubs-auto-inflate) for more information.\n\n - For basic and standard tiers, one throughput unit (TU) in Azure Event Hub supports\n up to 1 MB per second of data ingestion. If the incoming event volume exceeds\n the capacity of the configured TUs, data loss may occur. For example, if you\n configure 5 TUs, the maximum supported ingestion rate is 5 MB per second. If\n events are sent at 20 MB per second, the Event Hub may crash. As a result, logs may\n be lost at the Event Hub level before they reach Google SecOps.\n\n2. [Obtain the event hub connection string](https://learn.microsoft.com/en-us/azure/event-hubs/event-hubs-get-connection-string#azure-portal) required for\n Google SecOps to ingest data from the Azure event hub. This\n connection string authorizes Google SecOps to access and collect\n security data from your event hub. You have two options for providing a\n connection string:\n\n - **Event hub namespace level**: works for all event\n hubs within the namespace. It's a simpler option if you're using multiple\n event hubs and want to use the same connection string for all of them in\n your feed setup.\n\n - **Event hub level** : applies to a single event hub.\n This is a secure option if you need to grant access to only one event hub.\n Ensure that you remove `EntityPath` from the end of the connection string.\n\n For example, change `Endpoint=\u003cENDPOINT\u003e;SharedAccessKeyName=\u003cKEY_NAME\u003e;SharedAccessKey=\u003cKEY\u003e;EntityPath=\u003cEVENT_HUB_NAME\u003e`\n to `Endpoint=\u003cENDPOINT\u003e;SharedAccessKeyName=\u003cKEY_NAME\u003e;SharedAccessKey=\u003cKEY\u003e`.\n3. Configure your applications, such as [Web Application Firewall](https://docs.microsoft.com/en-us/azure/web-application-firewall/afds/waf-front-door-monitor) or [Microsoft Defender](https://learn.microsoft.com/en-us/defender),\n to send their logs to the event hub.\n\n **Microsoft Defender users:** When configuring Microsoft Defender streaming,\n ensure that you enter your existing event hub name. If you leave this field blank, the\n system might create unnecessary event hubs and consume your limited feed quota.\n To keep things organized, use event hub names that match the log type.\n\n### Configure the Azure feed\n\nTo configure the Azure feed in Google SecOps, do the following:\n\n1. In the Google SecOps menu, select **SIEM Settings** , and then\n click **Feeds**.\n\n2. Click **Add new**.\n\n3. In the **Feed name** field, enter a name for the feed.\n\n4. In the **Source type** list, select **Microsoft Azure Event Hub**.\n\n5. Select the **Log type** . For example, to create a feed for Open Cybersecurity\n Schema Framework, select **Open Cybersecurity Schema Framework (OCSF)** as the\n **Log type**.\n\n6. Click **Next** . The **Add feed** window appears.\n\n7. Retrieve the information from the event hub that you created earlier in the\n Azure portal to fill in the following fields:\n\n - **Event hub name**: the event hub name\n - **Event hub consumer group**: the consumer group associated with your\n event hub\n\n | **Caution:** Don't create subscribers or retrieve data programmatically through the Data Explorer tab in the Azure portal for the consumer group. Doing so may result in data loss.\n - **Event hub connection string**: the event hub connection string\n\n - **Azure storage connection string**: Optional. The blob storage connection string\n\n - **Azure storage container name**: Optional. The blob storage container name\n\n - **Azure SAS token**: Optional. The SAS token\n\n - **Asset namespace** : Optional. The [asset namespace](/chronicle/docs/investigation/asset-namespaces)\n\n - **Ingestion labels**: Optional. The label to be applied to the events from this feed\n\n | **Note:** Google SecOps manages its own checkpointing when ingesting data from Azure Event Hub. Only the event hub connection string is required. The other optional fields don't affect the checkpointing.\n8. Click **Next** . The **Finalize** screen appears.\n\n9. Review your feed configuration, and then click **Submit**.\n\n### Verify data flow\n\nTo verify that your data is flowing into Google SecOps and your\nevent hub is functioning correctly, you can perform these checks:\n\n- In Google SecOps, examine the dashboards and use the Raw Log Scan\n or Unified Data Model (UDM) search to verify that the ingested data\n is present in the correct format.\n\n- In the Azure portal, navigate to your event hub's page and inspect the\n graphs that display incoming and outgoing bytes. Ensure that the incoming and\n outgoing rates are roughly equivalent, indicating that messages are being\n processed and there is no backlog.\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]