Crea un feed de Azure Event Hubs
En este documento, se explica el proceso para establecer un feed de Azure Event Hub para transferir datos de seguridad a Google Security Operations. Puedes crear un máximo de 10 feeds de Azure Event Hub, incluidos los feeds activos y los inactivos. Para configurar un feed de Azure, completa los siguientes procesos:
Crea un centro de eventos en Azure: Configura la infraestructura necesaria en tu entorno de Azure para recibir y almacenar el flujo de datos de seguridad.
Configura el feed en Google SecOps: Configura el feed en Google SecOps para conectarte a tu centro de eventos de Azure y comenzar a transferir datos.
Crea un centro de eventos en Azure
Para crear un centro de eventos en Azure, haz lo siguiente:
Crea un espacio de nombres y un centro de eventos.
Establece el recuento de particiones en 32 para obtener una escala óptima (no se puede cambiar más adelante para los niveles estándar y básicos).
Para evitar la pérdida de datos debido a los límites de cuota de Google SecOps, usa un tiempo de retención prolongado para tu centro de eventos. Esto garantiza que los registros no se eliminen antes de que se reanude la transferencia después de un regulador de cuota. Para obtener más información sobre la retención de eventos y las limitaciones de tiempo de retención, consulta Retención de eventos.
En el caso de los centros de eventos de nivel estándar, habilita el aumento automático para escalar la productividad automáticamente según sea necesario. Consulta Cómo aumentar automáticamente las unidades de rendimiento de Azure Event Hubs para obtener más información.
Obtén la cadena de conexión del centro de eventos necesaria para que Google SecOps transfiera datos desde el centro de eventos de Azure. Esta cadena de conexión autoriza a Google SecOps a acceder a los datos de seguridad de tu centro de eventos y recopilarlos. Tienes dos opciones para proporcionar una cadena de conexión:
Nivel del espacio de nombres de Event Hubs: Esta cadena de conexión funciona para todos los centros de eventos dentro del espacio de nombres. Es una opción más sencilla si usas varios centros de eventos y deseas usar la misma cadena de conexión para todos ellos en la configuración de tu feed.
Nivel del centro de eventos: Esta cadena de conexión es específica de un solo centro de eventos. Esta es una opción segura si necesitas otorgar acceso a un solo centro de eventos. Asegúrate de quitar
EntityPath
del final de la cadena de conexión.
Por ejemplo, cambia
Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME>
aEndpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>
.Crea un almacenamiento de objetos blob de Azure para almacenar tus datos de seguridad y obtener la cadena de conexión. Esta cadena de conexión autoriza a Google SecOps a acceder a los metadatos almacenados en el contenedor de almacenamiento de Azure Blob, lo que garantiza que recupere datos con precisión de tu centro de eventos.
Genera un token SAS. Google SecOps debe hacer un seguimiento del flujo de datos de tu centro de eventos para escalar los recursos. Esto se hace con una API de Azure que requiere un token SAS para el acceso.
Establece un tiempo de vencimiento prolongado para tu token SAS (por ejemplo, 6 meses). Asegúrate de actualizarlo antes de la fecha de vencimiento para evitar interrupciones del servicio.
Configura tus aplicaciones, como el firewall de aplicaciones web o Microsoft Defender, para que envíen sus registros al centro de eventos.
Usuarios de Microsoft Defender: Cuando configures la transmisión de Microsoft Defender, asegúrate de ingresar el nombre de tu centro de eventos existente. Si dejas este campo en blanco, es posible que se creen centros de eventos innecesarios, lo que consumirá tu cuota de feed limitada. Para una mejor organización, se recomienda usar nombres de centros de eventos que coincidan con el tipo de registro.
Configura el feed de Azure en Google SecOps
Para configurar el feed de Azure en Google SecOps, haz lo siguiente:
En el menú de Google SecOps, selecciona Configuración de SIEM y, luego, haz clic en Feeds.
Haz clic en Agregar nueva.
En el campo Nombre del feed, ingresa un nombre para el feed.
En la lista Tipo de fuente, selecciona Microsoft Azure Event Hub.
Selecciona el Tipo de registro. Por ejemplo, para crear un feed para Open Cybersecurity Schema Framework, selecciona Open Cybersecurity Schema Framework (OCSF) como el tipo de registro.
Haz clic en Siguiente. Aparecerá la ventana Agregar feed.
Recupera la información del centro de eventos que creaste antes en el portal de Azure para completar los siguientes campos:
- Nombre del centro de eventos: Es el nombre del centro de eventos.
Grupo de consumidores del centro de eventos: Es el grupo de consumidores asociado con tu centro de eventos.
Cadena de conexión del centro de eventos: Es la cadena de conexión del centro de eventos.
Cadena de conexión de Azure Storage: Es la cadena de conexión de almacenamiento de objetos blob.
Nombre del contenedor de almacenamiento de Azure: Es el nombre del contenedor de almacenamiento de objetos blob.
Token SAS de Azure: Es el token SAS.
Espacio de nombres del activo: Es el espacio de nombres del activo.
Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente. Aparecerá la pantalla Finalizar.
Revisa la configuración del feed y, luego, haz clic en Enviar.
Verifica el flujo de datos
Para verificar que tus datos se transfieran a Google SecOps y que el centro de eventos funcione correctamente, puedes realizar estas verificaciones:
En Google SecOps, examina los paneles y usa el análisis de registros sin procesar o la búsqueda del modelo de datos unificado (UDM) para verificar que los datos transferidos estén en el formato correcto.
En el portal de Azure, navega a la página de tu centro de eventos y, luego, inspecciona los gráficos que muestran los bytes entrantes y salientes. Asegúrate de que las tasas entrantes y salientes sean aproximadamente equivalentes, lo que indica que los mensajes se están procesando y que no hay una acumulación de tareas pendientes.