최적의 데이터 수집을 위해 Google SecOps 인스턴스와 동일한 리전에 Event Hub 네임스페이스를 배포합니다. 다른 리전에 이벤트 허브를 배포하면 Google SecOps에 수집되는 처리량이 줄어들 수 있습니다.
최적의 확장을 위해 파티션 수를 40으로 설정합니다.
Google SecOps 할당량 한도로 인한 데이터 손실을 방지하려면 이벤트 허브의 보관 기간을 길게 설정하세요. 이렇게 하면 할당량 제한 후 수집이 재개되기 전에 로그가 삭제되지 않습니다. 이벤트 보관 및 보관 기간 제한에 대한 자세한 내용은 이벤트 보관을 참고하세요.
기본 및 표준 등급의 경우 Azure Event Hub의 처리량 단위 (TU) 하나가 초당 최대 1MB의 데이터 수집을 지원합니다. 수신 이벤트 볼륨이 구성된 TU의 용량을 초과하면 데이터 손실이 발생할 수 있습니다. 예를 들어 5개의 TU를 구성하는 경우 지원되는 최대 처리 속도는 초당 5MB입니다. 이벤트가 초당 20MB로 전송되면 Event Hub가 비정상 종료될 수 있습니다. 따라서 로그가 Google SecOps에 도달하기 전에 Event Hub 수준에서 손실될 수 있습니다.
Google SecOps가 Azure 이벤트 허브에서 데이터를 수집하는 데 필요한 이벤트 허브 연결 문자열을 가져옵니다. 이 연결 문자열은 Google SecOps가 이벤트 허브의 보안 데이터에 액세스하고 이를 수집하도록 승인합니다. 연결 문자열을 제공하는 방법에는 두 가지가 있습니다.
이벤트 허브 네임스페이스 수준: 네임스페이스 내의 모든 이벤트 허브에 적용됩니다. 여러 이벤트 허브를 사용하고 피드 설정에서 모든 이벤트 허브에 동일한 연결 문자열을 사용하려는 경우 더 간단한 옵션입니다.
이벤트 허브 수준: 단일 이벤트 허브에 적용됩니다.
이 옵션은 이벤트 허브 하나에만 액세스 권한을 부여해야 하는 경우에 안전합니다.
연결 문자열 끝에서 EntityPath를 삭제해야 합니다.
예를 들어 Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME>를 Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>으로 변경합니다.
Microsoft Defender 사용자: Microsoft Defender 스트리밍을 구성할 때 기존 이벤트 허브 이름을 입력해야 합니다. 이 입력란을 비워두면 시스템에서 불필요한 이벤트 허브를 만들어 제한된 피드 할당량을 사용할 수 있습니다.
체계적으로 관리하려면 로그 유형과 일치하는 이벤트 허브 이름을 사용하세요.
Azure 피드 구성
Google SecOps에서 Azure 피드를 구성하려면 다음 단계를 따르세요.
Google SecOps 메뉴에서 SIEM 설정을 선택한 후 피드를 클릭합니다.
새로 추가를 클릭합니다.
피드 이름 필드에 피드 이름을 입력합니다.
소스 유형 목록에서 Microsoft Azure Event Hub를 선택합니다.
로그 유형을 선택합니다. 예를 들어 개방형 사이버 보안 스키마 프레임워크의 피드를 만들려면 로그 유형으로 개방형 사이버 보안 스키마 프레임워크 (OCSF)를 선택합니다.
다음을 클릭합니다. 피드 추가 창이 표시됩니다.
Azure Portal에서 이전에 만든 이벤트 허브에서 정보를 가져와 다음 필드를 입력합니다.
[[["이해하기 쉬움","easyToUnderstand","thumb-up"],["문제가 해결됨","solvedMyProblem","thumb-up"],["기타","otherUp","thumb-up"]],[["이해하기 어려움","hardToUnderstand","thumb-down"],["잘못된 정보 또는 샘플 코드","incorrectInformationOrSampleCode","thumb-down"],["필요한 정보/샘플이 없음","missingTheInformationSamplesINeed","thumb-down"],["번역 문제","translationIssue","thumb-down"],["기타","otherDown","thumb-down"]],["최종 업데이트: 2025-09-04(UTC)"],[[["\u003cp\u003eThis guide explains how to set up an Azure Event Hub feed to ingest security data into Google Security Operations, allowing for a maximum of 10 feeds.\u003c/p\u003e\n"],["\u003cp\u003eCreating an Azure Event Hub involves setting up an event hub with a partition count of 32, configuring a long retention time to prevent data loss, and optionally enabling auto inflate for standard tier event hubs.\u003c/p\u003e\n"],["\u003cp\u003eConfiguring the feed in Google SecOps requires providing the event hub name, consumer group, event hub connection string, Azure storage details, and SAS token.\u003c/p\u003e\n"],["\u003cp\u003eIt is necessary to obtain both event hub and Azure blob storage connection strings, alongside a SAS token, to ensure Google SecOps can access and ingest data from the event hub correctly.\u003c/p\u003e\n"],["\u003cp\u003eVerification of the data flow can be done by checking dashboards and search functionality in Google SecOps, as well as monitoring incoming and outgoing bytes in the Azure portal for the event hub.\u003c/p\u003e\n"]]],[],null,["# Create an Azure Event Hub feed\n==============================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n\nThis document shows you how to set up an Azure Event Hub to send security data\nto Google Security Operations. You can create up to 10 Azure Event Hub feeds, which\nincludes both active and inactive feeds.\n| **Note:** Azure feeds collect data continuously. As a result, Google SecOps does not populate the **LAST SUCCEEDED ON** column for these feeds.\nTo set up an Azure feed, complete the following processes:\n\n\u003cbr /\u003e\n\n1. **[Create an event hub in Azure](#create-azure-event-hub):** set up the\n required infrastructure in your Azure environment to receive and store the\n security data stream.\n\n2. **[Configure the feed in Google SecOps](#configure-azure-feed):**\n configure the feed in Google SecOps to connect to your Azure\n event hub and to begin ingesting data.\n\n### Create an Azure Event Hub\n\nTo create an event hub in Azure, do the following:\n\n1. Create an [event hub namespace and event hub](https://learn.microsoft.com/en-us/azure/event-hubs/event-hubs-create).\n\n - To ensure optimal data ingestion, deploy the Event Hub namespace in the same region\n as your Google SecOps instance. Deploying the event hub in a\n different region can reduce the throughput ingested into Google SecOps.\n\n - Set the partition count to 40 for optimal scaling.\n\n | **Note:** You can't change the partition count later in the standard and basic tiers. Partition count does not affect cost.\n\n \u003cbr /\u003e\n\n - To help prevent data loss due to Google SecOps quota limits, set a\n long retention time for your event hub. This ensures that logs aren't\n deleted before ingestion resumes after a quota throttle. For more information\n about event retention and retention time limitations, see [Event retention](https://learn.microsoft.com/en-us/azure/event-hubs/event-hubs-features#event-retention).\n\n - For standard tier event hubs, enable **Auto inflate** to automatically scale\n throughput as needed. See [Automatically scale up Azure Event Hubs throughput units](https://learn.microsoft.com/en-us/azure/event-hubs/event-hubs-auto-inflate) for more information.\n\n - For basic and standard tiers, one throughput unit (TU) in Azure Event Hub supports\n up to 1 MB per second of data ingestion. If the incoming event volume exceeds\n the capacity of the configured TUs, data loss may occur. For example, if you\n configure 5 TUs, the maximum supported ingestion rate is 5 MB per second. If\n events are sent at 20 MB per second, the Event Hub may crash. As a result, logs may\n be lost at the Event Hub level before they reach Google SecOps.\n\n2. [Obtain the event hub connection string](https://learn.microsoft.com/en-us/azure/event-hubs/event-hubs-get-connection-string#azure-portal) required for\n Google SecOps to ingest data from the Azure event hub. This\n connection string authorizes Google SecOps to access and collect\n security data from your event hub. You have two options for providing a\n connection string:\n\n - **Event hub namespace level**: works for all event\n hubs within the namespace. It's a simpler option if you're using multiple\n event hubs and want to use the same connection string for all of them in\n your feed setup.\n\n - **Event hub level** : applies to a single event hub.\n This is a secure option if you need to grant access to only one event hub.\n Ensure that you remove `EntityPath` from the end of the connection string.\n\n For example, change `Endpoint=\u003cENDPOINT\u003e;SharedAccessKeyName=\u003cKEY_NAME\u003e;SharedAccessKey=\u003cKEY\u003e;EntityPath=\u003cEVENT_HUB_NAME\u003e`\n to `Endpoint=\u003cENDPOINT\u003e;SharedAccessKeyName=\u003cKEY_NAME\u003e;SharedAccessKey=\u003cKEY\u003e`.\n3. Configure your applications, such as [Web Application Firewall](https://docs.microsoft.com/en-us/azure/web-application-firewall/afds/waf-front-door-monitor) or [Microsoft Defender](https://learn.microsoft.com/en-us/defender),\n to send their logs to the event hub.\n\n **Microsoft Defender users:** When configuring Microsoft Defender streaming,\n ensure that you enter your existing event hub name. If you leave this field blank, the\n system might create unnecessary event hubs and consume your limited feed quota.\n To keep things organized, use event hub names that match the log type.\n\n### Configure the Azure feed\n\nTo configure the Azure feed in Google SecOps, do the following:\n\n1. In the Google SecOps menu, select **SIEM Settings** , and then\n click **Feeds**.\n\n2. Click **Add new**.\n\n3. In the **Feed name** field, enter a name for the feed.\n\n4. In the **Source type** list, select **Microsoft Azure Event Hub**.\n\n5. Select the **Log type** . For example, to create a feed for Open Cybersecurity\n Schema Framework, select **Open Cybersecurity Schema Framework (OCSF)** as the\n **Log type**.\n\n6. Click **Next** . The **Add feed** window appears.\n\n7. Retrieve the information from the event hub that you created earlier in the\n Azure portal to fill in the following fields:\n\n - **Event hub name**: the event hub name\n - **Event hub consumer group**: the consumer group associated with your\n event hub\n\n | **Caution:** Don't create subscribers or retrieve data programmatically through the Data Explorer tab in the Azure portal for the consumer group. Doing so may result in data loss.\n - **Event hub connection string**: the event hub connection string\n\n - **Azure storage connection string**: Optional. The blob storage connection string\n\n - **Azure storage container name**: Optional. The blob storage container name\n\n - **Azure SAS token**: Optional. The SAS token\n\n - **Asset namespace** : Optional. The [asset namespace](/chronicle/docs/investigation/asset-namespaces)\n\n - **Ingestion labels**: Optional. The label to be applied to the events from this feed\n\n | **Note:** Google SecOps manages its own checkpointing when ingesting data from Azure Event Hub. Only the event hub connection string is required. The other optional fields don't affect the checkpointing.\n8. Click **Next** . The **Finalize** screen appears.\n\n9. Review your feed configuration, and then click **Submit**.\n\n### Verify data flow\n\nTo verify that your data is flowing into Google SecOps and your\nevent hub is functioning correctly, you can perform these checks:\n\n- In Google SecOps, examine the dashboards and use the Raw Log Scan\n or Unified Data Model (UDM) search to verify that the ingested data\n is present in the correct format.\n\n- In the Azure portal, navigate to your event hub's page and inspect the\n graphs that display incoming and outgoing bytes. Ensure that the incoming and\n outgoing rates are roughly equivalent, indicating that messages are being\n processed and there is no backlog.\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]