提取 Microsoft Azure 活动日志

支持的平台:

本文档介绍了将 Microsoft Azure 活动日志 (AZURE_ACTIVITY) 注入到 Google Security Operations 中所需的步骤。

配置存储账号

完成以下步骤以配置存储账号:

  1. 在 Azure 控制台中,搜索存储账号
  2. 点击创建
  3. 选择账号所需的订阅、资源组、区域、性能(建议使用“标准”)和冗余(建议使用 GRS 或 LRS),输入新存储账号的名称。
  4. 点击审核 + 创建,查看账号概览,然后点击创建
  5. 存储账号概览页面上,从窗口左侧导航栏中选择访问密钥
  6. 点击显示密钥,然后记下存储账号的共享密钥。
  7. 从窗口的左侧导航栏中选择端点
  8. 记下 Blob 服务端点。(https://<storageaccountname>.blob.core.windows.net/)

配置 Azure 活动日志记录

如需配置 Azure 活动日志记录,请完成以下步骤:

  1. 在 Azure 控制台中,搜索监控
  2. 点击页面左侧导航中的活动日志链接。
  3. 点击窗口顶部的导出活动日志
  4. 点击添加诊断设置
  5. 选择您要导出到 Google Security Operations 的所有类别。
  6. 目标位置详细信息下,选择归档到存储账号
  7. 选择您在上一步中创建的订阅和存储账号。
  8. 点击保存

在 Google Security Operations 中配置 Feed 以提取 Azure 日志

如需在 Google Security Operations 中配置 Feed 以注入 Azure 日志,请完成以下步骤:

  1. 前往 Google Security Operations 设置,然后点击 Feed
  2. 点击新增
  3. 选择 Microsoft Azure Blob 存储作为来源类型
  4. 对于日志类型,选择 Microsoft Azure 活动
  5. 点击下一步
  6. Azure URI 下,输入您之前记录的 Blob Service 端点值,以 insights-activity-logs 为后缀(例如 https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs)
  7. URI 来源类型下,选择目录(包括子目录)
  8. 共享密钥下,输入您之前捕获的共享密钥值。
  9. 点击下一步,然后点击完成