Ce document explique comment configurer un hub d'événements Azure pour envoyer des données de sécurité à Google Security Operations. Vous pouvez créer jusqu'à 10 flux Azure Event Hub, y compris les flux actifs et inactifs.
Pour configurer un flux Azure, procédez comme suit :
Créez un hub d'événements dans Azure : configurez l'infrastructure requise dans votre environnement Azure pour recevoir et stocker le flux de données de sécurité.
Configurez le flux dans Google SecOps : configurez le flux dans Google SecOps pour vous connecter à votre hub d'événements Azure et commencer à ingérer des données.
Créer un hub d'événements Azure
Pour créer un hub d'événements dans Azure, procédez comme suit :
Pour garantir une ingestion optimale des données, déployez l'espace de noms Event Hub dans la même région que votre instance Google SecOps. Le déploiement du hub d'événements dans une autre région peut réduire le débit ingéré dans Google SecOps.
Définissez le nombre de partitions sur 40 pour une mise à l'échelle optimale.
Pour éviter toute perte de données due aux limites de quota Google SecOps, définissez une longue durée de conservation pour votre hub d'événements. Cela garantit que les journaux ne sont pas supprimés avant la reprise de l'ingestion après une limitation du quota. Pour en savoir plus sur la conservation des événements et les limites de durée de conservation, consultez Conservation des événements.
Pour les niveaux de base et standard, une unité de débit (TU) dans Azure Event Hub prend en charge jusqu'à 1 Mo par seconde d'ingestion de données. Si le volume d'événements entrants dépasse la capacité des UT configurées, des pertes de données peuvent se produire. Par exemple, si vous configurez cinq unités de traitement, le taux d'ingestion maximal accepté est de 5 Mo par seconde. Si des événements sont envoyés à 20 Mo par seconde, le hub d'événements peut planter. Par conséquent, des journaux peuvent être perdus au niveau de l'Event Hub avant d'atteindre Google SecOps.
Obtenez la chaîne de connexion du hub d'événements requise pour que Google SecOps ingère les données du hub d'événements Azure. Cette chaîne de connexion autorise Google SecOps à accéder aux données de sécurité de votre hub d'événements et à les collecter. Vous disposez de deux options pour fournir une chaîne de connexion :
Au niveau de l'espace de noms Event Hubs : fonctionne pour tous les hubs d'événements de l'espace de noms. Il s'agit d'une option plus simple si vous utilisez plusieurs hubs d'événements et que vous souhaitez utiliser la même chaîne de connexion pour tous dans la configuration de votre flux.
Au niveau du hub d'événements : s'applique à un seul hub d'événements.
Il s'agit d'une option sécurisée si vous n'avez besoin d'accorder l'accès qu'à un seul hub d'événements.
Veillez à supprimer EntityPath à la fin de la chaîne de connexion.
Par exemple, remplacez Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME> par Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>.
Utilisateurs de Microsoft Defender : lorsque vous configurez le streaming Microsoft Defender, assurez-vous de saisir le nom de votre hub d'événements existant. Si vous laissez ce champ vide, le système risque de créer des hubs d'événements inutiles et de consommer votre quota de flux limité.
Pour rester organisé, utilisez des noms de hubs d'événements qui correspondent au type de journal.
Configurer le flux Azure
Pour configurer le flux Azure dans Google SecOps, procédez comme suit :
Dans le menu Google SecOps, sélectionnez Paramètres du SIEM, puis cliquez sur Flux.
Cliquez sur Ajouter.
Dans le champ Nom du flux, saisissez un nom pour le flux.
Dans la liste Type de source, sélectionnez Microsoft Azure Event Hub.
Sélectionnez le type de journal. Par exemple, pour créer un flux pour Open Cybersecurity Schema Framework, sélectionnez Open Cybersecurity Schema Framework (OCSF) comme Type de journal.
Cliquez sur Suivant. La fenêtre Ajouter un flux s'affiche.
Récupérez les informations du hub d'événements que vous avez créé précédemment dans le portail Azure pour remplir les champs suivants :
Nom du hub d'événements : nom du hub d'événements
Groupe de consommateurs du hub d'événements : groupe de consommateurs associé à votre hub d'événements.
Chaîne de connexion du hub d'événements : chaîne de connexion du hub d'événements
Chaîne de connexion au stockage Azure : facultatif. Chaîne de connexion Blob Storage
Nom du conteneur Azure Storage : facultatif. Nom du conteneur Blob Storage
Étiquettes d'ingestion : facultatif. Libellé à appliquer aux événements de ce flux
Cliquez sur Suivant. L'écran Finalize (Finaliser) s'affiche.
Vérifiez la configuration de votre flux, puis cliquez sur Envoyer.
Vérifier le flux de données
Pour vérifier que vos données sont transférées vers Google SecOps et que votre hub d'événements fonctionne correctement, vous pouvez effectuer les vérifications suivantes :
Dans Google SecOps, examinez les tableaux de bord et utilisez la recherche "Analyse des journaux bruts" ou "Unified Data Model (UDM)" pour vérifier que les données ingérées sont présentes au bon format.
Dans le portail Azure, accédez à la page de votre hub d'événements et examinez les graphiques qui affichent les octets entrants et sortants. Assurez-vous que les taux d'entrée et de sortie sont à peu près équivalents, ce qui indique que les messages sont traités et qu'il n'y a pas de tâches en attente.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/04 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/04 (UTC)."],[[["\u003cp\u003eThis guide explains how to set up an Azure Event Hub feed to ingest security data into Google Security Operations, allowing for a maximum of 10 feeds.\u003c/p\u003e\n"],["\u003cp\u003eCreating an Azure Event Hub involves setting up an event hub with a partition count of 32, configuring a long retention time to prevent data loss, and optionally enabling auto inflate for standard tier event hubs.\u003c/p\u003e\n"],["\u003cp\u003eConfiguring the feed in Google SecOps requires providing the event hub name, consumer group, event hub connection string, Azure storage details, and SAS token.\u003c/p\u003e\n"],["\u003cp\u003eIt is necessary to obtain both event hub and Azure blob storage connection strings, alongside a SAS token, to ensure Google SecOps can access and ingest data from the event hub correctly.\u003c/p\u003e\n"],["\u003cp\u003eVerification of the data flow can be done by checking dashboards and search functionality in Google SecOps, as well as monitoring incoming and outgoing bytes in the Azure portal for the event hub.\u003c/p\u003e\n"]]],[],null,["# Create an Azure Event Hub feed\n==============================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n\nThis document shows you how to set up an Azure Event Hub to send security data\nto Google Security Operations. You can create up to 10 Azure Event Hub feeds, which\nincludes both active and inactive feeds.\n| **Note:** Azure feeds collect data continuously. As a result, Google SecOps does not populate the **LAST SUCCEEDED ON** column for these feeds.\nTo set up an Azure feed, complete the following processes:\n\n\u003cbr /\u003e\n\n1. **[Create an event hub in Azure](#create-azure-event-hub):** set up the\n required infrastructure in your Azure environment to receive and store the\n security data stream.\n\n2. **[Configure the feed in Google SecOps](#configure-azure-feed):**\n configure the feed in Google SecOps to connect to your Azure\n event hub and to begin ingesting data.\n\n### Create an Azure Event Hub\n\nTo create an event hub in Azure, do the following:\n\n1. Create an [event hub namespace and event hub](https://learn.microsoft.com/en-us/azure/event-hubs/event-hubs-create).\n\n - To ensure optimal data ingestion, deploy the Event Hub namespace in the same region\n as your Google SecOps instance. Deploying the event hub in a\n different region can reduce the throughput ingested into Google SecOps.\n\n - Set the partition count to 40 for optimal scaling.\n\n | **Note:** You can't change the partition count later in the standard and basic tiers. Partition count does not affect cost.\n\n \u003cbr /\u003e\n\n - To help prevent data loss due to Google SecOps quota limits, set a\n long retention time for your event hub. This ensures that logs aren't\n deleted before ingestion resumes after a quota throttle. For more information\n about event retention and retention time limitations, see [Event retention](https://learn.microsoft.com/en-us/azure/event-hubs/event-hubs-features#event-retention).\n\n - For standard tier event hubs, enable **Auto inflate** to automatically scale\n throughput as needed. See [Automatically scale up Azure Event Hubs throughput units](https://learn.microsoft.com/en-us/azure/event-hubs/event-hubs-auto-inflate) for more information.\n\n - For basic and standard tiers, one throughput unit (TU) in Azure Event Hub supports\n up to 1 MB per second of data ingestion. If the incoming event volume exceeds\n the capacity of the configured TUs, data loss may occur. For example, if you\n configure 5 TUs, the maximum supported ingestion rate is 5 MB per second. If\n events are sent at 20 MB per second, the Event Hub may crash. As a result, logs may\n be lost at the Event Hub level before they reach Google SecOps.\n\n2. [Obtain the event hub connection string](https://learn.microsoft.com/en-us/azure/event-hubs/event-hubs-get-connection-string#azure-portal) required for\n Google SecOps to ingest data from the Azure event hub. This\n connection string authorizes Google SecOps to access and collect\n security data from your event hub. You have two options for providing a\n connection string:\n\n - **Event hub namespace level**: works for all event\n hubs within the namespace. It's a simpler option if you're using multiple\n event hubs and want to use the same connection string for all of them in\n your feed setup.\n\n - **Event hub level** : applies to a single event hub.\n This is a secure option if you need to grant access to only one event hub.\n Ensure that you remove `EntityPath` from the end of the connection string.\n\n For example, change `Endpoint=\u003cENDPOINT\u003e;SharedAccessKeyName=\u003cKEY_NAME\u003e;SharedAccessKey=\u003cKEY\u003e;EntityPath=\u003cEVENT_HUB_NAME\u003e`\n to `Endpoint=\u003cENDPOINT\u003e;SharedAccessKeyName=\u003cKEY_NAME\u003e;SharedAccessKey=\u003cKEY\u003e`.\n3. Configure your applications, such as [Web Application Firewall](https://docs.microsoft.com/en-us/azure/web-application-firewall/afds/waf-front-door-monitor) or [Microsoft Defender](https://learn.microsoft.com/en-us/defender),\n to send their logs to the event hub.\n\n **Microsoft Defender users:** When configuring Microsoft Defender streaming,\n ensure that you enter your existing event hub name. If you leave this field blank, the\n system might create unnecessary event hubs and consume your limited feed quota.\n To keep things organized, use event hub names that match the log type.\n\n### Configure the Azure feed\n\nTo configure the Azure feed in Google SecOps, do the following:\n\n1. In the Google SecOps menu, select **SIEM Settings** , and then\n click **Feeds**.\n\n2. Click **Add new**.\n\n3. In the **Feed name** field, enter a name for the feed.\n\n4. In the **Source type** list, select **Microsoft Azure Event Hub**.\n\n5. Select the **Log type** . For example, to create a feed for Open Cybersecurity\n Schema Framework, select **Open Cybersecurity Schema Framework (OCSF)** as the\n **Log type**.\n\n6. Click **Next** . The **Add feed** window appears.\n\n7. Retrieve the information from the event hub that you created earlier in the\n Azure portal to fill in the following fields:\n\n - **Event hub name**: the event hub name\n - **Event hub consumer group**: the consumer group associated with your\n event hub\n\n | **Caution:** Don't create subscribers or retrieve data programmatically through the Data Explorer tab in the Azure portal for the consumer group. Doing so may result in data loss.\n - **Event hub connection string**: the event hub connection string\n\n - **Azure storage connection string**: Optional. The blob storage connection string\n\n - **Azure storage container name**: Optional. The blob storage container name\n\n - **Azure SAS token**: Optional. The SAS token\n\n - **Asset namespace** : Optional. The [asset namespace](/chronicle/docs/investigation/asset-namespaces)\n\n - **Ingestion labels**: Optional. The label to be applied to the events from this feed\n\n | **Note:** Google SecOps manages its own checkpointing when ingesting data from Azure Event Hub. Only the event hub connection string is required. The other optional fields don't affect the checkpointing.\n8. Click **Next** . The **Finalize** screen appears.\n\n9. Review your feed configuration, and then click **Submit**.\n\n### Verify data flow\n\nTo verify that your data is flowing into Google SecOps and your\nevent hub is functioning correctly, you can perform these checks:\n\n- In Google SecOps, examine the dashboards and use the Raw Log Scan\n or Unified Data Model (UDM) search to verify that the ingested data\n is present in the correct format.\n\n- In the Azure portal, navigate to your event hub's page and inspect the\n graphs that display incoming and outgoing bytes. Ensure that the incoming and\n outgoing rates are roughly equivalent, indicating that messages are being\n processed and there is no backlog.\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
