Créer un flux Azure Event Hub

Compatible avec:

Ce document vous explique comment créer un flux Azure Event Hub pour insérer des données de sécurité dans Google Security Operations. Vous pouvez créer jusqu'à 10 flux Azure Event Hub, y compris des flux actifs et inactifs. Pour configurer un flux Azure, procédez comme suit:

  1. Créer un hub d'événements dans Azure:configurez l'infrastructure requise dans votre environnement Azure pour recevoir et stocker le flux de données de sécurité.

  2. Configurer le flux dans Google SecOps:configurez le flux dans Google SecOps pour vous connecter à votre hub d'événements Azure et commencer à ingèrer des données.

Créer un hub d'événements dans Azure

Pour créer un hub d'événements dans Azure, procédez comme suit:

  1. Créez un espace de noms et un hub d'événements.

    • Définissez le nombre de partitions sur 32 pour une mise à l'échelle optimale (ce paramètre ne peut pas être modifié ultérieurement pour les niveaux standard et de base).

    • Pour éviter toute perte de données en raison des limites de quota Google SecOps, utilisez une durée de conservation longue pour votre hub d'événements. Cela garantit que les journaux ne sont pas supprimés avant la reprise de l'ingestion après un débit limité par quota. Pour en savoir plus sur la conservation des événements et les limites de durée de conservation, consultez la section Conservation des événements.

    • Pour les hubs d'événements de niveau standard, activez l'inflation automatique afin d'ajuster automatiquement la capacité de traitement en fonction des besoins. Pour en savoir plus, consultez Augmenter automatiquement les unités de débit Azure Event Hubs.

  2. Obtenez la chaîne de connexion de l'événement hub requise pour que Google SecOps ingère les données de l'événement hub Azure. Cette chaîne de connexion autorise Google SecOps à accéder aux données de sécurité de votre hub d'événements et à les collecter. Vous avez deux options pour fournir une chaîne de connexion:

    • Niveau de l'espace de noms Event Hubs: cette chaîne de connexion fonctionne pour tous les hubs d'événements de l'espace de noms. Il s'agit d'une option plus simple si vous utilisez plusieurs hubs d'événements et que vous souhaitez utiliser la même chaîne de connexion pour tous dans la configuration de votre flux.

    • Niveau du hub d'événements: cette chaîne de connexion est spécifique à un seul hub d'événements. Il s'agit d'une option sécurisée si vous ne devez accorder l'accès qu'à un seul hub d'événements. Veillez à supprimer EntityPath de la fin de la chaîne de connexion.

    Par exemple, remplacez Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME> par Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>.

  3. Créez un espace de stockage Azure Blob pour stocker vos données de sécurité et obtenir la chaîne de connexion. Cette chaîne de connexion autorise Google SecOps à accéder aux métadonnées stockées dans le conteneur Azure Blob Storage, ce qui garantit qu'il extrait précisément les données de votre hub d'événements.

  4. Générez un jeton SAS. Google SecOps doit suivre le flux de données de votre hub d'événements pour faire évoluer les ressources. Pour ce faire, utilisez une API Azure qui nécessite un jeton SAS pour l'accès.

    Définissez un délai d'expiration long pour votre jeton SAP (par exemple, six mois). Assurez-vous de le mettre à jour avant l'expiration pour éviter toute interruption de service.

  5. Configurez vos applications, telles que le pare-feu d'application Web ou Microsoft Defender, pour qu'elles envoient leurs journaux au hub d'événements.

    Utilisateurs de Microsoft Defender:lorsque vous configurez le streaming Microsoft Defender, assurez-vous d'indiquer le nom de votre hub d'événements existant. Laisser ce champ vide peut entraîner la création de hubs d'événements inutiles, ce qui consomme votre quota de flux limité. Pour une meilleure organisation, nous vous recommandons d'utiliser des noms de hubs d'événements correspondant au type de journal.

Configurer le flux Azure dans Google SecOps

Pour configurer le flux Azure dans Google SecOps, procédez comme suit:

  1. Dans le menu Google SecOps, sélectionnez Paramètres du SIEM, puis cliquez sur Flux.

  2. Cliquez sur Ajouter.

  3. Dans le champ Nom du flux, saisissez un nom pour le flux.

  4. Dans la liste Type de source, sélectionnez Microsoft Azure Event Hub.

  5. Sélectionnez le type de journal. Par exemple, pour créer un flux pour Open Cybersecurity Schema Framework, sélectionnez Open Cybersecurity Schema Framework (OCSF) comme Type de journal.

  6. Cliquez sur Suivant. La fenêtre Ajouter un flux s'affiche.

  7. Récupérez les informations du hub d'événements que vous avez créé précédemment dans le portail Azure pour renseigner les champs suivants:

    • Nom du hub d'événements: nom du hub d'événements
    • Groupe de consommateurs du hub d'événements: groupe de consommateurs associé à votre hub d'événements.

    • Chaîne de connexion du hub d'événements: chaîne de connexion du hub d'événements

    • Chaîne de connexion Azure Storage:chaîne de connexion Azure Storage

    • Nom du conteneur Azure Storage:nom du conteneur Azure Storage.

    • Jeton Azure SAS:jeton SAS

    • Espace de noms des éléments: espace de noms des éléments

    • Libellés d'ingestion: libellé à appliquer aux événements de ce flux

  8. Cliquez sur Suivant. L'écran Finaliser s'affiche.

  9. Vérifiez la configuration de votre flux, puis cliquez sur Envoyer.

Vérifier le flux de données

Pour vérifier que vos données sont transférées vers Google SecOps et que votre hub d'événements fonctionne correctement, vous pouvez effectuer les vérifications suivantes:

  • Dans Google SecOps, examinez les tableaux de bord et utilisez l'analyse des journaux bruts ou la recherche du modèle de données unifié (UDM) pour vérifier que les données ingérées sont au bon format.

  • Dans le portail Azure, accédez à la page de votre hub d'événements et inspectez les graphiques qui affichent les octets entrants et sortants. Assurez-vous que les taux entrants et sortants sont à peu près équivalents, ce qui indique que les messages sont traités et qu'il n'y a pas de retard.