创建 Azure Event Hub Feed
本文档将引导您完成建立 Azure Event Hub Feed 以将安全数据提取到 Google Security Operations 的流程。您最多可以创建 10 个 Azure Event Hub Feed,包括有效和无效的 Feed。如需设置 Azure Feed,请完成以下流程:
在 Azure 中创建事件中心:在 Azure 环境中设置所需的基础架构,以接收和存储安全数据流。
在 Google SecOps 中配置 Feed:在 Google SecOps 中配置 Feed,以连接到 Azure 事件中心并开始注入数据。
在 Azure 中创建事件中心
如需在 Azure 中创建事件中心,请执行以下操作:
-
将分区数量设置为 32 以实现最佳扩缩(对于标准层级和基础层级,此设置日后无法更改)。
为避免因 Google SecOps 配额限制而导致数据丢失,请为事件中心使用较长的保留期限。这样可以确保在配额节流后重新开始提取之前,不会删除日志。如需详细了解事件保留和保留时间限制,请参阅事件保留。
对于标准层级事件中心,请启用自动膨胀功能,以根据需要自动扩缩吞吐量。如需了解详情,请参阅自动扩缩 Azure Event Hubs 吞吐量单元。
获取事件中心连接字符串,以便 Google SecOps 从 Azure 事件中心提取数据。此连接字符串会授权 Google SecOps 访问和收集事件中心中的安全数据。您可以通过以下两种方式提供连接字符串:
事件中心命名空间级:此连接字符串适用于命名空间中的所有事件中心。如果您使用多个事件中心,并且希望在 Feed 设置中为所有事件中心使用相同的连接字符串,则此选项更为简单。
Event Hub 级别:此连接字符串仅适用于单个 Event Hub。 如果您只需授予对一个事件中心的访问权限,则此选项非常安全。请务必从连接字符串的末尾移除
EntityPath
。
例如,将
Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME>
更改为Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>
。创建 Azure Blob Storage 以存储安全数据并获取连接字符串。此连接字符串会授权 Google SecOps 访问存储在 Azure Blob Storage 容器中的元数据,从而确保它能够准确地从事件中心提取数据。
生成 SAS 令牌。Google SecOps 需要跟踪您的事件中心数据流,以便扩缩资源。为此,您需要使用需要 SAS 令牌才能访问的 Azure API。
为 SAS 令牌设置较长的到期时间(例如 6 个月)。请务必在到期前更新,以免服务中断。
配置您的应用(例如 Web 应用防火墙或 Microsoft Defender),以将其日志发送到事件中心。
Microsoft Defender 用户:在配置 Microsoft Defender 流式传输时,请务必输入现有的事件中心名称。如果将此字段留空,可能会导致创建不必要的事件中心,从而消耗有限的 Feed 配额。建议使用与日志类型匹配的事件中心名称,以便更好地进行整理。
在 Google SecOps 中配置 Azure Feed
如需在 Google SecOps 中配置 Azure Feed,请执行以下操作:
在 Google SecOps 菜单中,选择 SIEM 设置,然后点击 Feed。
点击新增。
在Feed 名称字段中,输入 Feed 的名称。
在来源类型列表中,选择 Microsoft Azure Event Hub。
选择日志类型。例如,若要为开放式网络安全架构 (OCSF) 创建 Feed,请选择 Open Cybersecurity Schema Framework (OCSF) 作为日志类型。
点击下一步。系统随即会显示添加 Feed 窗口。
从您之前在 Azure 门户中创建的事件中心检索信息,以填写以下字段:
- Event Hub 名称:Event Hub 名称
事件中心使用方群组:与您的事件中心关联的使用方群组
Event Hub 连接字符串:Event Hub 连接字符串
Azure 存储连接字符串:Blob 存储连接字符串
Azure Storage 容器名称:Blob Storage 容器名称
Azure SAS 令牌:SAS 令牌
资源命名空间:资源命名空间
提取标签:要应用于此 Feed 中的事件的标签
点击下一步。系统随即会显示完成屏幕。
检查 Feed 配置,然后点击提交。
验证数据流
如需验证您的数据是否流入 Google SecOps 以及您的事件中心是否正常运行,您可以执行以下检查:
在 Google SecOps 中,检查信息中心,然后使用“原始日志扫描”或“统一数据模型 (UDM)”搜索功能,验证提取的数据格式是否正确。
在 Azure 门户中,前往您的事件中心页面,然后检查显示传入和传出字节数的图表。确保传入和传出速率大致相当,这表示系统正在处理消息,且没有积压。