Azure-Aktivitätslogs aufnehmen

Überblick

In diesem Dokument werden die Schritte beschrieben, die erforderlich sind, um Ihre Azure-Aktivitätsprotokolle in Google Security Operations aufzunehmen.

Speicherkonto konfigurieren

Führen Sie die folgenden Schritte aus, um ein Speicherkonto zu konfigurieren:

  1. Suchen Sie in der Azure-Konsole nach Speicherkonten.
  2. Klicken Sie auf Erstellen.
  3. Wählen Sie das Abo, die Ressourcengruppe, die Region, die Leistung (empfohlen, Standard) und die Redundanz (Empfehlung: GRS oder LRS) aus, die für das Konto erforderlich sind, und geben Sie einen Namen für das neue Speicherkonto ein.
  4. Klicken Sie auf Überprüfen + erstellen, sehen Sie sich die Übersicht des Kontos an und klicken Sie auf Erstellen.
  5. Wählen Sie auf der Seite Speicherkontoübersicht in der linken Navigationsleiste des Fensters die Option Zugriffsschlüssel aus.
  6. Klicken Sie auf Schlüssel anzeigen und notieren Sie sich den freigegebenen Schlüssel für das Speicherkonto.
  7. Wählen Sie in der linken Navigationsleiste des Fensters Endpunkte aus.
  8. Notieren Sie sich den Endpunkt des Blob-Dienstes. (https://<storageaccountname>.blob.core.windows.net/)

Azure-Aktivitäts-Logging konfigurieren

Führen Sie die folgenden Schritte aus, um das Azure-Aktivitäts-Logging zu konfigurieren:

  1. Suchen Sie in der Azure-Konsole nach Monitor (Überwachen).
  2. Klicken Sie im linken Navigationsbereich der Seite auf den Link Aktivitätsprotokoll.
  3. Klicken Sie oben im Fenster auf Aktivitätsprotokolle exportieren.
  4. Klicken Sie auf Diagnoseeinstellung hinzufügen.
  5. Wählen Sie alle Kategorien aus, die Sie in Google Security Operations exportieren möchten.
  6. Wählen Sie unter Zieldetails die Option In Speicherkonto archivieren aus.
  7. Wählen Sie das Abo und das Speicherplatzabo aus, das Sie im vorherigen Schritt erstellt haben.
  8. Klicken Sie auf Speichern.

Feed in Google Security Operations für die Aufnahme der Azure-Logs konfigurieren

Führen Sie die folgenden Schritte aus, um einen Feed in Google Security Operations für die Aufnahme der Azure-Protokolle zu konfigurieren:

  1. Rufen Sie die Google Security Operations-Einstellungen auf und klicken Sie auf Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Wählen Sie als Quelltyp die Option Microsoft Azure Blob Storage aus.
  4. Wählen Sie als Logtyp die Option Microsoft Azure-Aktivität aus.
  5. Klicken Sie auf Weiter.
  6. Geben Sie unter Azure-URI den Wert für den Blob Service-Endpunkt ein, den Sie zuvor notiert haben und dem insights-activity-logs angehängt ist, z. B. https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs.
  7. Wählen Sie unter URI-Quelltyp die Option Verzeichnisse einschließlich Unterverzeichnissen aus.
  8. Geben Sie unter Freigegebener Schlüssel den Wert ein, den Sie zuvor erfasst haben.
  9. Klicken Sie auf Weiter und Fertigstellen.