Ingerir registros de atividades do Microsoft Azure

Compatível com:

Este documento descreve as etapas necessárias para ingerir os registros de atividades do Microsoft Azure (AZURE_ACTIVITY) no Google Security Operations.

Configurar uma conta de armazenamento

Conclua as etapas a seguir para configurar uma conta do Storage:

  1. No console do Azure, pesquise Contas de armazenamento.
  2. Clique em Criar.
  3. Selecione a assinatura, o grupo de recursos, a região, o desempenho (recomendar o Padrão) e a Redundância (recomendamos GRS ou LRS) necessários para a conta e insira um nome para a nova conta do Storage.
  4. Clique em Revisar + criar, revise a visão geral da conta e clique em Criar.
  5. Na página Visão geral da conta de armazenamento, selecione Chaves de acesso no painel de navegação à esquerda da janela.
  6. Clique em Mostrar chaves e anote a chave compartilhada da conta de armazenamento.
  7. Selecione Endpoints no menu de navegação à esquerda da janela.
  8. Anote o endpoint do serviço de blob. (https://<storageaccountname>.blob.core.windows.net/)

Configurar o registro de atividades do Azure

Conclua as etapas a seguir para configurar a geração de registros de atividades do Azure:

  1. No console do Azure, pesquise Monitor.
  2. Clique no link Registro de atividades no painel de navegação à esquerda da página.
  3. Clique em Exportar registros de atividades na parte superior da janela.
  4. Clique em Adicionar configuração de diagnóstico.
  5. Selecione todas as categorias que você quer exportar para as Operações de segurança do Google.
  6. Em Detalhes do destino, selecione Arquivar para uma conta de armazenamento.
  7. Selecione a assinatura e a conta de armazenamento que você criou na etapa anterior.
  8. Clique em Salvar.

Configurar um feed nas Operações de segurança do Google para ingerir os registros do Azure

Siga estas etapas para configurar um feed nas Operações de segurança do Google e processar os registros do Azure:

  1. Acesse as configurações do Google Security Operations e clique em Feeds.
  2. Clique em Adicionar novo.
  3. Selecione Microsoft Azure Blob Storage como Tipo de origem.
  4. Selecione Atividade do Microsoft Azure em Tipo de registro.
  5. Clique em Próxima.
  6. Em URI do Azure, insira o valor do endpoint do serviço de blobs que você registrou anteriormente, com o sufixo insights-activity-logs (por exemplo, https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs)
  7. Em URI Source Type, selecione Directories including subdirectories.
  8. Em Chave compartilhada, insira o valor da chave compartilhada que você capturou anteriormente.
  9. Clique em Próxima e em Concluir.