Criar um feed do Azure Event Hub

Compatível com:

Este documento orienta você no processo de estabelecimento de um feed do Azure Event Hub para ingerir dados de segurança nas operações de segurança do Google. É possível criar até 10 feeds do Azure Event Hub, incluindo feeds ativos e inativos. Para configurar um feed do Azure, conclua os seguintes processos:

  1. Criar um hub de eventos no Azure:configure a infraestrutura necessária no seu ambiente do Azure para receber e armazenar o fluxo de dados de segurança.

  2. Configure o feed no Google SecOps:configure o feed no Google SecOps para se conectar ao hub de eventos do Azure e começar a ingerir dados.

Criar um hub de eventos no Azure

Para criar um hub de eventos no Azure, faça o seguinte:

  1. Crie um namespace e um hub de eventos.

    • Defina a contagem de partições como 32 para dimensionamento ideal. Isso não pode ser alterado mais tarde para níveis padrão e básicos.

    • Para evitar a perda de dados devido aos limites de cota do Google SecOps, use um tempo de retenção longo no hub de eventos. Isso garante que os registros não sejam excluídos antes da retomada da transferência após um limite de cota. Para mais informações sobre a retenção de eventos e as limitações de tempo de retenção, consulte Retenção de eventos.

    • Para hubs de eventos de nível padrão, ative o inflamento automático para dimensionar automaticamente a taxa de transferência conforme necessário. Consulte Aumente automaticamente as unidades de throughput do Azure Event Hubs para mais informações.

  2. Obter a string de conexão do hub de eventos necessária para que o Google SecOps ingira dados do hub de eventos do Azure. Essa string de conexão autoriza o Google SecOps a acessar e coletar dados de segurança do seu hub de eventos. Você tem duas opções para fornecer uma string de conexão:

    • Nível do namespace do hub de eventos: essa string de conexão funciona para todos os hubs de eventos no namespace. Essa é uma opção mais simples se você estiver usando vários hubs de eventos e quiser usar a mesma string de conexão para todos eles na configuração do feed.

    • Nível do hub de eventos: essa string de conexão é específica para um único hub de eventos. Essa é uma opção segura se você precisar conceder acesso a apenas um hub de eventos. Remova EntityPath do final da string de conexão.

    Por exemplo, altere Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME> para Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>.

  3. Crie um armazenamento de blobs do Azure para armazenar seus dados de segurança e receber a string de conexão. Essa string de conexão autoriza o Google SecOps a acessar metadados armazenados no contêiner de armazenamento de blobs do Azure, o que garante que os dados sejam buscados com precisão no hub de eventos.

  4. Gere um token SAS. O Google SecOps precisa acompanhar o fluxo de dados do hub de eventos para dimensionar os recursos. Isso é feito usando uma API do Azure que exige um token SAS para acesso.

    Defina um prazo de validade longo para o token SAS (por exemplo, seis meses). Atualize-o antes da data de validade para evitar a interrupção do serviço.

  5. Configure seus aplicativos, como o firewall de aplicativos da Web ou o Microsoft Defender, para enviar os logs ao hub de eventos.

    Usuários do Microsoft Defender:ao configurar o streaming do Microsoft Defender, insira o nome do hub de eventos. Deixar esse campo em branco pode levar à criação de hubs de eventos desnecessários, consumindo sua cota de feed limitada. Para uma melhor organização, é recomendável usar nomes de hubs de eventos que correspondam ao tipo de registro.

Configurar o feed do Azure no Google SecOps

Para configurar o feed do Azure no Google SecOps, faça o seguinte:

  1. No menu do Google SecOps, selecione Configurações do SIEM e clique em Feeds.

  2. Clique em Adicionar novo.

  3. No campo Nome do feed, insira um nome para o feed.

  4. Na lista Tipo de origem, selecione Microsoft Azure Event Hub.

  5. Selecione o Tipo de registro. Por exemplo, para criar um feed para o Open Cybersecurity Schema Framework, selecione Open Cybersecurity Schema Framework (OCSF) como o Tipo de registro.

  6. Clique em Próxima. A janela Adicionar feed vai aparecer.

  7. Extraia as informações do hub de eventos que você criou anteriormente no portal do Azure para preencher os seguintes campos:

    • Nome do hub de eventos: o nome do hub de eventos.
    • Grupo de consumidores do hub de eventos: o grupo de consumidores associado ao seu hub de eventos.

    • String de conexão do hub de eventos: a string de conexão do hub de eventos

    • String de conexão do Armazenamento do Azure:a string de conexão do Armazenamento de blobs.

    • Nome do contêiner de armazenamento do Azure:o nome do contêiner de Armazenamento de blobs.

    • Token SAS do Azure:o token SAS.

    • Namespace de recursos: o namespace de recursos

    • Rótulos de ingestão: o rótulo a ser aplicado aos eventos desse feed

  8. Clique em Próxima. A tela Finalizar é exibida.

  9. Revise a configuração do feed e clique em Enviar.

Verificar o fluxo de dados

Para verificar se os dados estão fluindo para o Google SecOps e se o hub de eventos está funcionando corretamente, faça estas verificações:

  • No Google SecOps, examine os painéis e use a pesquisa de modelo de dados universal (UDM, na sigla em inglês) ou de verificação de registro bruto para verificar se os dados ingeridos estão no formato correto.

  • No portal do Azure, navegue até a página do hub de eventos e inspecione os gráficos que mostram bytes de entrada e saída. Verifique se as taxas de entrada e saída são aproximadamente equivalentes, indicando que as mensagens estão sendo processadas e não há atraso.