Crie um feed do Azure Event Hub

Este documento mostra como configurar um Hub de Eventos do Azure para enviar dados de segurança para o Google Security Operations. Pode criar até 10 feeds do Azure Event Hub, que incluem feeds ativos e inativos.

Para configurar um feed do Azure, conclua os seguintes processos:

1. Crie um hub de eventos no Azure: configure a infraestrutura necessária no seu ambiente do Azure para receber e armazenar a stream de dados de segurança.

2. Configure o feed no Google SecOps: configure o feed no Google SecOps para estabelecer ligação ao seu hub de eventos do Azure e começar a carregar dados.

Crie um Hub de Eventos do Azure

Para criar um hub de eventos no Azure, faça o seguinte:

1. Crie um espaço de nomes do hub de eventos e um hub de eventos.

   • Para garantir o carregamento ideal de dados, implemente o espaço de nomes do Event Hub na mesma região que a sua instância do Google SecOps. A implementação do hub de eventos numa região diferente pode reduzir o débito carregado no Google SecOps.

   • Defina a contagem de partições como 40 para uma escalabilidade ideal.

   • Para ajudar a evitar a perda de dados devido aos limites de quota do Google SecOps, defina um tempo de retenção longo para o seu hub de eventos. Isto garante que os registos não são eliminados antes de a carregamento ser retomado após uma restrição de quota. Para mais informações sobre a retenção de eventos e as limitações do tempo de retenção, consulte o artigo Retenção de eventos.

   • Para hubs de eventos de nível padrão, ative a opção Aumentar automaticamente para dimensionar automaticamente a taxa de transferência conforme necessário. Consulte o artigo Aumente automaticamente as unidades de débito dos Hubs de Eventos do Azure para mais informações.

   • Para os níveis básico e padrão, uma unidade de débito (TU) no Azure Event Hub suporta até 1 MB por segundo de carregamento de dados. Se o volume de eventos recebidos exceder a capacidade das UFs configuradas, pode ocorrer perda de dados. Por exemplo, se configurar 5 UDs, a taxa de carregamento máxima suportada é de 5 MB por segundo. Se forem enviados eventos a 20 MB por segundo, o Hub de Eventos pode falhar. Como resultado, os registos podem ser perdidos ao nível do Event Hub antes de chegarem ao Google SecOps.

2. Obtenha a string de ligação do hub de eventos necessária para que o Google SecOps carregue dados do hub de eventos do Azure. Esta string de ligação autoriza o Google SecOps a aceder e recolher dados de segurança do seu hub de eventos. Tem duas opções para fornecer uma string de ligação:

   • Nível do espaço de nomes do hub de eventos: funciona para todos os hubs de eventos no espaço de nomes. É uma opção mais simples se estiver a usar vários hubs de eventos e quiser usar a mesma string de ligação para todos na configuração do feed.

   • Nível do hub de eventos: aplica-se a um único hub de eventos. Esta é uma opção segura se precisar de conceder acesso apenas a um hub de eventos. Certifique-se de que remove EntityPath do final da string de ligação.

   Por exemplo, altere Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME> para Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>.

3. Configure as suas aplicações, como a firewall de aplicações Web ou o Microsoft Defender, para enviar os respetivos registos para o hub de eventos.

   Utilizadores do Microsoft Defender: ao configurar o streaming do Microsoft Defender, certifique-se de que introduz o nome do hub de eventos existente. Se deixar este campo em branco, o sistema pode criar hubs de eventos desnecessários e consumir a sua quota de feeds limitada. Para manter tudo organizado, use nomes de hub de eventos que correspondam ao tipo de registo.

Configure o feed do Azure

Para configurar o feed do Azure no Google SecOps, faça o seguinte:

1. No menu do Google SecOps, selecione Definições do SIEM e, de seguida, clique em Feeds.

2. Clique em Adicionar novo.

3. No campo Nome do feed, introduza um nome para o feed.

4. Na lista Tipo de origem, selecione Microsoft Azure Event Hub.

5. Selecione o Tipo de registo. Por exemplo, para criar um feed para o Open Cybersecurity Schema Framework, selecione Open Cybersecurity Schema Framework (OCSF) como o Tipo de registo.

6. Clicar em Seguinte. É apresentada a janela Adicionar feed.

7. Obtenha as informações do hub de eventos que criou anteriormente no portal do Azure para preencher os seguintes campos:

   • Nome do hub de eventos: o nome do hub de eventos

   • Grupo de consumidores do Hub de Eventos: o grupo de consumidores associado ao seu Hub de Eventos

   • String de ligação do hub de eventos: a string de ligação do hub de eventos

   • String de ligação do armazenamento do Azure: opcional. A string de ligação do armazenamento de blobs

   • Nome do contentor de armazenamento do Azure: opcional. O nome do contentor de armazenamento de blobs

   • Token SAS do Azure: opcional. O token SAS

   • Espaço de nomes do recurso: opcional. O espaço de nomes do recurso

   • Etiquetas de carregamento: opcional. A etiqueta a aplicar aos eventos deste feed

8. Clicar em Seguinte. É apresentado o ecrã Finalize (Finalizar).

9. Reveja a configuração do feed e, de seguida, clique em Enviar.

Valide o fluxo de dados

Para verificar se os seus dados estão a fluir para o Google SecOps e se o hub de eventos está a funcionar corretamente, pode efetuar estas verificações:

• No Google SecOps, examine os painéis de controlo e use a análise de registos não processados ou a pesquisa do modelo de dados unificado (UDM) para verificar se os dados carregados estão no formato correto.

• No portal do Azure, navegue para a página do hub de eventos e inspecione os gráficos que apresentam os bytes recebidos e enviados. Certifique-se de que as taxas de entrada e saída são aproximadamente equivalentes, o que indica que as mensagens estão a ser processadas e não existe um atraso.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.