Questo documento mostra come configurare un hub eventi Azure per inviare dati di sicurezza
a Google Security Operations. Puoi creare fino a 10 feed Azure Event Hub, inclusi quelli attivi e inattivi.
Per configurare un feed Azure, completa le seguenti procedure:
Crea un hub eventi in Azure: configura l'infrastruttura
richiesta nel tuo ambiente Azure per ricevere e archiviare lo
stream di dati di sicurezza.
Configura il feed in Google SecOps:
configura il feed in Google SecOps per connetterti all'hub eventi di Azure e iniziare a importare i dati.
Per garantire l'inserimento ottimale dei dati, esegui il deployment dello spazio dei nomi Event Hub nella stessa regione
della tua istanza di Google SecOps. Il deployment dell'hub eventi in una
regione diversa può ridurre la velocità effettiva inserita in Google SecOps.
Imposta il conteggio delle partizioni su 40 per una scalabilità ottimale.
Per evitare perdite di dati dovute ai limiti di quota di Google SecOps, imposta un periodo di conservazione lungo per l'hub eventi. In questo modo, i log non vengono eliminati prima della ripresa dell'importazione dopo una limitazione della quota. Per saperne di più
sulla conservazione degli eventi e sui limiti di tempo di conservazione, consulta Conservazione degli eventi.
Per i livelli di base e standard, un'unità di velocità effettiva (TU) in Azure Event Hub supporta
l'importazione dati fino a 1 MB al secondo. Se il volume di eventi in entrata supera
la capacità delle TU configurate, potrebbe verificarsi una perdita di dati. Ad esempio, se configuri 5 TU, la velocità di importazione massima supportata è di 5 MB al secondo. Se gli eventi vengono inviati a 20 MB al secondo, l'hub eventi potrebbe arrestarsi in modo anomalo. Di conseguenza, i log potrebbero
essere persi a livello di Hub eventi prima di raggiungere Google SecOps.
Ottieni la stringa di connessione dell'hub eventi necessaria per
Google SecOps per importare i dati dall'hub eventi Azure. Questa
stringa di connessione autorizza Google SecOps ad accedere e raccogliere
dati di sicurezza dal tuo hub eventi. Hai due opzioni per fornire una
stringa di connessione:
A livello di spazio dei nomi dell'hub eventi: funziona per tutti gli hub eventi all'interno dello spazio dei nomi. È un'opzione più semplice se utilizzi più hub eventi e vuoi utilizzare la stessa stringa di connessione per tutti nella configurazione del feed.
Livello hub eventi: si applica a un singolo hub eventi.
Questa è un'opzione sicura se devi concedere l'accesso a un solo hub eventi.
Assicurati di rimuovere EntityPath dalla fine della stringa di connessione.
Ad esempio, modifica Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME>
in Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>.
Utenti di Microsoft Defender: quando configuri lo streaming di Microsoft Defender,
assicurati di inserire il nome dell'hub eventi esistente. Se lasci vuoto questo campo, il sistema potrebbe creare hub eventi non necessari e consumare la quota limitata di feed.
Per mantenere l'organizzazione, utilizza nomi di hub eventi che corrispondano al tipo di log.
Configura il feed Azure
Per configurare il feed Azure in Google SecOps:
Nel menu di Google SecOps, seleziona Impostazioni SIEM e poi
fai clic su Feed.
Fai clic su Aggiungi nuovo.
Nel campo Nome feed, inserisci un nome per il feed.
Nell'elenco Tipo di origine, seleziona Microsoft Azure Event Hub.
Seleziona il Tipo di log. Ad esempio, per creare un feed per Open Cybersecurity
Schema Framework, seleziona Open Cybersecurity Schema Framework (OCSF) come
Tipo di log.
Fai clic su Avanti. Viene visualizzata la finestra Aggiungi feed.
Recupera le informazioni dall'hub eventi creato in precedenza nel
portale Azure per compilare i seguenti campi:
Nome dell'hub di eventi: il nome dell'hub di eventi
Gruppo di consumatori dell'hub eventi: il gruppo di consumatori associato al tuo
hub eventi
Stringa di connessione dell'hub eventi: la stringa di connessione dell'hub eventi
Stringa di connessione dell'archiviazione di Azure: facoltativo. Stringa di connessione dello spazio di archiviazione blob
Nome del container di archiviazione di Azure: facoltativo. Il nome del container Blob Storage
Etichette di importazione: facoltativo. L'etichetta da applicare agli eventi di questo feed
Fai clic su Avanti. Viene visualizzata la schermata Finalizza.
Rivedi la configurazione del feed e poi fai clic su Invia.
Verificare il flusso di dati
Per verificare che i dati vengano inviati a Google SecOps e che l'hub eventi funzioni correttamente, puoi eseguire i seguenti controlli:
In Google SecOps, esamina i dashboard e utilizza la ricerca Raw Log Scan
o Unified Data Model (UDM) per verificare che i dati importati
siano presenti nel formato corretto.
Nel portale Azure, vai alla pagina dell'hub eventi e controlla i grafici che mostrano i byte in entrata e in uscita. Assicurati che le tariffe in entrata e in uscita siano più o meno equivalenti, il che indica che i messaggi vengono elaborati e non ci sono arretrati.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-04 UTC."],[[["\u003cp\u003eThis guide explains how to set up an Azure Event Hub feed to ingest security data into Google Security Operations, allowing for a maximum of 10 feeds.\u003c/p\u003e\n"],["\u003cp\u003eCreating an Azure Event Hub involves setting up an event hub with a partition count of 32, configuring a long retention time to prevent data loss, and optionally enabling auto inflate for standard tier event hubs.\u003c/p\u003e\n"],["\u003cp\u003eConfiguring the feed in Google SecOps requires providing the event hub name, consumer group, event hub connection string, Azure storage details, and SAS token.\u003c/p\u003e\n"],["\u003cp\u003eIt is necessary to obtain both event hub and Azure blob storage connection strings, alongside a SAS token, to ensure Google SecOps can access and ingest data from the event hub correctly.\u003c/p\u003e\n"],["\u003cp\u003eVerification of the data flow can be done by checking dashboards and search functionality in Google SecOps, as well as monitoring incoming and outgoing bytes in the Azure portal for the event hub.\u003c/p\u003e\n"]]],[],null,["# Create an Azure Event Hub feed\n==============================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n\nThis document shows you how to set up an Azure Event Hub to send security data\nto Google Security Operations. You can create up to 10 Azure Event Hub feeds, which\nincludes both active and inactive feeds.\n| **Note:** Azure feeds collect data continuously. As a result, Google SecOps does not populate the **LAST SUCCEEDED ON** column for these feeds.\nTo set up an Azure feed, complete the following processes:\n\n\u003cbr /\u003e\n\n1. **[Create an event hub in Azure](#create-azure-event-hub):** set up the\n required infrastructure in your Azure environment to receive and store the\n security data stream.\n\n2. **[Configure the feed in Google SecOps](#configure-azure-feed):**\n configure the feed in Google SecOps to connect to your Azure\n event hub and to begin ingesting data.\n\n### Create an Azure Event Hub\n\nTo create an event hub in Azure, do the following:\n\n1. Create an [event hub namespace and event hub](https://learn.microsoft.com/en-us/azure/event-hubs/event-hubs-create).\n\n - To ensure optimal data ingestion, deploy the Event Hub namespace in the same region\n as your Google SecOps instance. Deploying the event hub in a\n different region can reduce the throughput ingested into Google SecOps.\n\n - Set the partition count to 40 for optimal scaling.\n\n | **Note:** You can't change the partition count later in the standard and basic tiers. Partition count does not affect cost.\n\n \u003cbr /\u003e\n\n - To help prevent data loss due to Google SecOps quota limits, set a\n long retention time for your event hub. This ensures that logs aren't\n deleted before ingestion resumes after a quota throttle. For more information\n about event retention and retention time limitations, see [Event retention](https://learn.microsoft.com/en-us/azure/event-hubs/event-hubs-features#event-retention).\n\n - For standard tier event hubs, enable **Auto inflate** to automatically scale\n throughput as needed. See [Automatically scale up Azure Event Hubs throughput units](https://learn.microsoft.com/en-us/azure/event-hubs/event-hubs-auto-inflate) for more information.\n\n - For basic and standard tiers, one throughput unit (TU) in Azure Event Hub supports\n up to 1 MB per second of data ingestion. If the incoming event volume exceeds\n the capacity of the configured TUs, data loss may occur. For example, if you\n configure 5 TUs, the maximum supported ingestion rate is 5 MB per second. If\n events are sent at 20 MB per second, the Event Hub may crash. As a result, logs may\n be lost at the Event Hub level before they reach Google SecOps.\n\n2. [Obtain the event hub connection string](https://learn.microsoft.com/en-us/azure/event-hubs/event-hubs-get-connection-string#azure-portal) required for\n Google SecOps to ingest data from the Azure event hub. This\n connection string authorizes Google SecOps to access and collect\n security data from your event hub. You have two options for providing a\n connection string:\n\n - **Event hub namespace level**: works for all event\n hubs within the namespace. It's a simpler option if you're using multiple\n event hubs and want to use the same connection string for all of them in\n your feed setup.\n\n - **Event hub level** : applies to a single event hub.\n This is a secure option if you need to grant access to only one event hub.\n Ensure that you remove `EntityPath` from the end of the connection string.\n\n For example, change `Endpoint=\u003cENDPOINT\u003e;SharedAccessKeyName=\u003cKEY_NAME\u003e;SharedAccessKey=\u003cKEY\u003e;EntityPath=\u003cEVENT_HUB_NAME\u003e`\n to `Endpoint=\u003cENDPOINT\u003e;SharedAccessKeyName=\u003cKEY_NAME\u003e;SharedAccessKey=\u003cKEY\u003e`.\n3. Configure your applications, such as [Web Application Firewall](https://docs.microsoft.com/en-us/azure/web-application-firewall/afds/waf-front-door-monitor) or [Microsoft Defender](https://learn.microsoft.com/en-us/defender),\n to send their logs to the event hub.\n\n **Microsoft Defender users:** When configuring Microsoft Defender streaming,\n ensure that you enter your existing event hub name. If you leave this field blank, the\n system might create unnecessary event hubs and consume your limited feed quota.\n To keep things organized, use event hub names that match the log type.\n\n### Configure the Azure feed\n\nTo configure the Azure feed in Google SecOps, do the following:\n\n1. In the Google SecOps menu, select **SIEM Settings** , and then\n click **Feeds**.\n\n2. Click **Add new**.\n\n3. In the **Feed name** field, enter a name for the feed.\n\n4. In the **Source type** list, select **Microsoft Azure Event Hub**.\n\n5. Select the **Log type** . For example, to create a feed for Open Cybersecurity\n Schema Framework, select **Open Cybersecurity Schema Framework (OCSF)** as the\n **Log type**.\n\n6. Click **Next** . The **Add feed** window appears.\n\n7. Retrieve the information from the event hub that you created earlier in the\n Azure portal to fill in the following fields:\n\n - **Event hub name**: the event hub name\n - **Event hub consumer group**: the consumer group associated with your\n event hub\n\n | **Caution:** Don't create subscribers or retrieve data programmatically through the Data Explorer tab in the Azure portal for the consumer group. Doing so may result in data loss.\n - **Event hub connection string**: the event hub connection string\n\n - **Azure storage connection string**: Optional. The blob storage connection string\n\n - **Azure storage container name**: Optional. The blob storage container name\n\n - **Azure SAS token**: Optional. The SAS token\n\n - **Asset namespace** : Optional. The [asset namespace](/chronicle/docs/investigation/asset-namespaces)\n\n - **Ingestion labels**: Optional. The label to be applied to the events from this feed\n\n | **Note:** Google SecOps manages its own checkpointing when ingesting data from Azure Event Hub. Only the event hub connection string is required. The other optional fields don't affect the checkpointing.\n8. Click **Next** . The **Finalize** screen appears.\n\n9. Review your feed configuration, and then click **Submit**.\n\n### Verify data flow\n\nTo verify that your data is flowing into Google SecOps and your\nevent hub is functioning correctly, you can perform these checks:\n\n- In Google SecOps, examine the dashboards and use the Raw Log Scan\n or Unified Data Model (UDM) search to verify that the ingested data\n is present in the correct format.\n\n- In the Azure portal, navigate to your event hub's page and inspect the\n graphs that display incoming and outgoing bytes. Ensure that the incoming and\n outgoing rates are roughly equivalent, indicating that messages are being\n processed and there is no backlog.\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]