Halaman ini diterjemahkan oleh Cloud Translation API.

Membuat feed Azure Event Hub

Didukung di:

Google SecOps SIEM

Dokumen ini memandu Anda melalui proses pembuatan feed Azure Event Hub untuk menyerap data keamanan ke dalam Google Security Operations. Anda dapat membuat maksimal 10 feed Azure Event Hub, termasuk feed aktif dan nonaktif. Untuk menyiapkan feed Azure, selesaikan proses berikut:

Membuat event hub di Azure: menyiapkan infrastruktur yang diperlukan di lingkungan Azure Anda untuk menerima dan menyimpan streaming data keamanan.
Mengonfigurasi feed di Google SecOps: konfigurasi feed di Google SecOps untuk terhubung ke event hub Azure Anda dan mulai menyerap data.

Membuat event hub di Azure

Untuk membuat event hub di Azure, lakukan langkah berikut:

Buat namespace dan hub peristiwa event hub.
- Tetapkan jumlah partisi ke 32 untuk penskalaan yang optimal (ini tidak dapat diubah nanti untuk tingkat standar dan dasar).
  
  Catatan: Jumlah partisi tidak memengaruhi biaya.
- Untuk menghindari kehilangan data karena batas kuota Google SecOps, gunakan waktu retensi yang lama untuk hub peristiwa Anda. Hal ini memastikan bahwa log tidak dihapus sebelum penyerapan dilanjutkan setelah throttle kuota. Untuk mengetahui informasi selengkapnya tentang retensi peristiwa dan batasan waktu retensi, lihat Retensi peristiwa.
- Untuk hub peristiwa tingkat standar, aktifkan pengisian otomatis untuk menskalakan throughput secara otomatis sesuai kebutuhan. Lihat Menskalakan unit throughput Azure Event Hubs secara otomatis untuk mengetahui informasi selengkapnya.
Dapatkan string koneksi event hub yang diperlukan agar Google SecOps dapat menyerap data dari event hub Azure. String koneksi ini memberi otorisasi kepada SecOps Google untuk mengakses dan mengumpulkan data keamanan dari hub peristiwa Anda. Anda memiliki dua opsi untuk memberikan string koneksi:
- Tingkat namespace hub peristiwa: string koneksi ini berfungsi untuk semua hub peristiwa dalam namespace. Ini adalah opsi yang lebih sederhana jika Anda menggunakan beberapa hub peristiwa dan ingin menggunakan string koneksi yang sama untuk semuanya dalam penyiapan feed.
- Tingkat event hub: string koneksi ini khusus untuk satu event hub. Ini adalah opsi yang aman jika Anda hanya perlu memberikan akses ke satu hub peristiwa. Pastikan Anda menghapus EntityPath dari akhir string koneksi.
Misalnya, ubah Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME> menjadi Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>.
Buat penyimpanan blob Azure untuk menyimpan data keamanan dan mendapatkan string koneksi. String koneksi ini memberi otorisasi kepada Google SecOps untuk mengakses metadata yang disimpan di penampung penyimpanan Blob Azure, yang memastikan bahwa metadata mengambil data dari event hub Anda secara akurat.

Catatan: Jangan gunakan penampung $logs default yang otomatis dibuat dengan akun penyimpanan Anda. Menggunakan penampung default untuk tujuan ini tidak akan berfungsi.
Buat token SAS. Google SecOps perlu melacak aliran data hub peristiwa Anda untuk menskalakan resource. Hal ini dilakukan menggunakan Azure API yang memerlukan token SAS untuk akses.

Tetapkan waktu habis masa berlaku yang lama untuk token SAS Anda (misalnya, 6 bulan). Pastikan Anda memperbaruinya sebelum masa berlakunya berakhir untuk mencegah gangguan layanan.
Konfigurasikan aplikasi Anda, seperti Web Application Firewall atau Microsoft Defender, untuk mengirim log ke event hub.

Pengguna Microsoft Defender: Saat mengonfigurasi streaming Microsoft Defender, pastikan Anda memasukkan nama hub peristiwa yang ada. Membiarkan kolom ini kosong dapat menyebabkan pembuatan hub peristiwa yang tidak perlu, yang menghabiskan kuota feed Anda yang terbatas. Sebaiknya gunakan nama hub peristiwa yang cocok dengan jenis log untuk pengaturan yang lebih baik.

Mengonfigurasi feed Azure di Google SecOps

Untuk mengonfigurasi feed Azure di Google SecOps, lakukan hal berikut:

Dari menu Google SecOps, pilih SIEM Settings, lalu klik Feeds.
Klik Tambahkan baru.
Di kolom Nama feed, masukkan nama untuk feed.
Dalam daftar Source type, pilih Microsoft Azure Event Hub.
Pilih Jenis log. Misalnya, untuk membuat feed untuk Open Cybersecurity Schema Framework, pilih Open Cybersecurity Schema Framework (OCSF) sebagai Log type.
Klik Berikutnya. Jendela Tambahkan feed akan muncul.
Ambil informasi dari event hub yang Anda buat sebelumnya di portal Azure untuk mengisi kolom berikut:
- Nama event hub: nama event hub
- Grup konsumen hub peristiwa: grup konsumen yang terkait dengan hub peristiwa Anda
  
  Perhatian: Jangan membuat subscriber atau mengambil data secara terprogram melalui tab Penjelajah Data di portal Azure untuk grup konsumen. Tindakan ini dapat mengakibatkan hilangnya data.
- String koneksi event hub: string koneksi event hub
- String koneksi penyimpanan Azure: string koneksi penyimpanan blob
- Nama penampung penyimpanan Azure: nama penampung penyimpanan blob
- Token SAS Azure: token SAS
- Namespace aset: namespace aset
- Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini
Klik Berikutnya. Layar Finalize akan muncul.
Tinjau konfigurasi feed Anda, lalu klik Kirim.

Memverifikasi alur data

Untuk memverifikasi bahwa data Anda mengalir ke Google SecOps dan event hub berfungsi dengan benar, Anda dapat melakukan pemeriksaan berikut:

Di Google SecOps, periksa dasbor dan gunakan Pemindaian Log Mentah atau penelusuran Unified Data Model (UDM) untuk memverifikasi bahwa data yang diserap ada dalam format yang benar.
Di portal Azure, buka halaman event hub Anda dan periksa grafik yang menampilkan byte masuk dan keluar. Pastikan rasio masuk dan keluar kira-kira sama, yang menunjukkan bahwa pesan sedang diproses dan tidak ada backlog.