Microsoft Azure-Aktivitätsprotokolle aufnehmen

Unterstützt in:

In diesem Dokument werden die Schritte beschrieben, die zum Aufnehmen von Microsoft Azure-Aktivitätslogs erforderlich sind (AZURE_ACTIVITY) in Google Security Operations ein.

Speicherkonto konfigurieren

So konfigurieren Sie ein Speicherkonto:

  1. Suchen Sie in der Azure-Konsole nach Storage-Konten.
  2. Klicken Sie auf Erstellen.
  3. Wählen Sie das Abo, die Ressourcengruppe, die Region, die Leistung (wir empfehlen „Standard“) und die Redundanz (wir empfehlen „GRS“ oder „LRS“) für das Konto aus und geben Sie einen Namen für das neue Speicherkonto ein.
  4. Klicken Sie auf Überprüfen + erstellen, sehen Sie sich die Kontoübersicht an und klicken Sie auf Erstellen.
  5. Wählen Sie auf der Seite Speicherkontoübersicht im linken Navigationsbereich des Fensters Zugriffsschlüssel aus.
  6. Klicken Sie auf Schlüssel anzeigen und notieren Sie sich den freigegebenen Schlüssel für das Speicherkonto.
  7. Wählen Sie im linken Navigationsbereich des Fensters Endpunkte aus.
  8. Notieren Sie sich den Endpunkt des Blob-Diensts. (https://<storageaccountname>.blob.core.windows.net/)

Azure-Aktivitäts-Logging konfigurieren

Führen Sie die folgenden Schritte aus, um das Azure-Aktivitäts-Logging zu konfigurieren:

  1. Suchen Sie in der Azure-Konsole nach Monitor.
  2. Klicken Sie im linken Navigationsbereich der Seite auf den Link Aktivitätsprotokoll.
  3. Klicken Sie oben im Fenster auf Aktivitätsprotokolle exportieren.
  4. Klicken Sie auf Diagnoseeinstellung hinzufügen.
  5. Wählen Sie alle Kategorien aus, die Sie nach Google Security Operations exportieren möchten.
  6. Wählen Sie unter Zieldetails die Option In Speicherkonto archivieren aus.
  7. Wählen Sie das Abo und das Speicherkonto aus, das Sie im vorherigen Schritt erstellt haben.
  8. Klicken Sie auf Speichern.

Feed in Google Security Operations für die Aufnahme der Azure-Protokolle konfigurieren

Führen Sie die folgenden Schritte aus, um einen Feed in Google Security Operations zu konfigurieren, um die Azure-Protokolle zu übernehmen:

  1. Rufen Sie die Google Security Operations-Einstellungen auf und klicken Sie auf Feeds.
  2. Klicken Sie auf Hinzufügen.
  3. Wählen Sie unter Quelltyp die Option Microsoft Azure Blob Storage aus.
  4. Wählen Sie als Protokolltyp die Option Microsoft Azure-Aktivität aus.
  5. Klicken Sie auf Weiter.
  6. Geben Sie unter Azure-URI den Endpunktwert für den Blob-Dienst ein, den Sie zuvor notiert haben, gefolgt von insights-activity-logs (z. B. https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs).
  7. Wählen Sie unter URI-Quelltyp die Option Verzeichnisse einschließlich Unterverzeichnisse aus.
  8. Geben Sie unter Freigegebener Schlüssel den Wert des freigegebenen Schlüssels ein, den Sie zuvor erfasst haben.
  9. Klicken Sie auf Weiter und Fertigstellen.