Ingérer les journaux d'activité Microsoft Azure

Compatible avec:

Ce document décrit les étapes requises pour insérer les journaux d'activité Microsoft Azure (AZURE_ACTIVITY) dans Google Security Operations.

Configurer un compte de stockage

Pour configurer un compte de stockage, procédez comme suit:

  1. Dans la console Azure, recherchez Comptes de stockage.
  2. Cliquez sur Create (Créer).
  3. Sélectionnez l'abonnement, le groupe de ressources, la région, les performances (Standard recommandé) et la redondance (recommandation GRS ou LRS) requis pour le compte, puis saisissez un nom pour le nouveau compte de stockage.
  4. Cliquez sur Vérifier + Créer, examinez la vue d'ensemble du compte, puis cliquez sur Créer.
  5. Sur la page Vue d'ensemble du compte de stockage, sélectionnez Clés d'accès dans le panneau de navigation de gauche de la fenêtre.
  6. Cliquez sur Afficher les clés et notez la clé partagée du compte de stockage.
  7. Sélectionnez Points de terminaison dans le panneau de navigation de gauche de la fenêtre.
  8. Notez le point de terminaison du service Blob. (https://<storageaccountname>.blob.core.windows.net/)

Configurer la journalisation des activités Azure

Pour configurer la journalisation des activités Azure, procédez comme suit :

  1. Dans la console Azure, recherchez Monitor (Surveillance).
  2. Cliquez sur le lien Journal d'activité dans le panneau de navigation de gauche.
  3. Cliquez sur Exporter les journaux d'activité en haut de la fenêtre.
  4. Cliquez sur Ajouter un paramètre de diagnostic.
  5. Sélectionnez toutes les catégories que vous souhaitez exporter vers Google Security Operations.
  6. Sous Détails de la destination, sélectionnez Archiver dans un compte de stockage.
  7. Sélectionnez l'abonnement et le compte de stockage que vous avez créés à l'étape précédente.
  8. Cliquez sur Enregistrer.

Configurer un flux dans Google Security Operations pour ingérer les journaux Azure

Pour configurer un flux dans Google Security Operations afin d'ingérer les journaux Azure, procédez comme suit :

  1. Accédez aux paramètres Google Security Operations, puis cliquez sur Flux.
  2. Cliquez sur Ajouter.
  3. Sélectionnez Microsoft Azure Blob Storage pour Type de source.
  4. Sélectionnez Activité Microsoft Azure pour Type de journal.
  5. Cliquez sur Suivant.
  6. Sous URI Azure, saisissez la valeur du point de terminaison Blob Service que vous avez enregistrée précédemment, avec le suffixe insights-activity-logs (par exemple, https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs).
  7. Sous Type de source d'URI, sélectionnez Répertoires, y compris les sous-répertoires.
  8. Sous Clé partagée, saisissez la valeur de la clé partagée que vous avez capturée précédemment.
  9. Cliquez sur Suivant, puis sur Terminer.