Microsoft Azure-Aktivitätslogs aufnehmen
In diesem Dokument werden die Schritte beschrieben, die zum Aufnehmen von Microsoft Azure-Aktivitätslogs (AZURE_ACTIVITY
) in Google Security Operations erforderlich sind.
Speicherkonto konfigurieren
So konfigurieren Sie ein Storage-Konto:
- Suchen Sie in der Azure-Konsole nach Storage-Konten.
- Klicken Sie auf Erstellen.
- Wählen Sie für das Konto erforderliche Abonnement, Ressourcengruppe, Region, Leistung (empfohlen wird Standard) und Redundanz (Empfehlung: GRS oder LRS) und geben Sie einen Namen für das neue Speicherkonto ein.
- Klicken Sie auf Überprüfen und erstellen, sehen Sie sich die Übersicht des Kontos an und klicken Sie auf Erstellen.
- Wählen Sie auf der Seite Übersicht über das Speicherkonto in der linken Navigationsleiste des Fensters die Option Zugriffstasten aus.
- Klicken Sie auf Schlüssel anzeigen und notieren Sie sich den freigegebenen Schlüssel für das Speicherkonto.
- Wählen Sie in der linken Navigationsleiste des Fensters Endpunkte aus.
- Notieren Sie sich den Endpunkt des Blob-Diensts. (https://<storageaccountname>.blob.core.windows.net/)
Azure-Aktivitäts-Logging konfigurieren
Führen Sie die folgenden Schritte aus, um das Azure-Aktivitäts-Logging zu konfigurieren:
- Suchen Sie in der Azure-Konsole nach Monitor.
- Klicken Sie im linken Navigationsbereich der Seite auf den Link Aktivitätsprotokoll.
- Klicken Sie oben im Fenster auf Aktivitätsprotokolle exportieren.
- Klicken Sie auf Diagnoseeinstellung hinzufügen.
- Wählen Sie alle Kategorien aus, die Sie in Google Security Operations exportieren möchten.
- Wählen Sie unter Zieldetails die Option In Speicherkonto archivieren aus.
- Wählen Sie das Abo und das Speicherkonto aus, das Sie im vorherigen Schritt erstellt haben.
- Klicken Sie auf Speichern.
Konfigurieren Sie einen Feed in Google Security Operations, um die Azure-Logs aufzunehmen
Führen Sie die folgenden Schritte aus, um einen Feed in Google Security Operations zu konfigurieren, um die Azure-Logs aufzunehmen:
- Rufen Sie die Google Security Operations-Einstellungen auf und klicken Sie auf Feeds.
- Klicken Sie auf Add New (Neu hinzufügen).
- Wählen Sie als Quelltyp die Option Microsoft Azure Blob Storage aus.
- Wählen Sie Microsoft Azure Activity als Log Type aus.
- Klicken Sie auf Weiter.
- Geben Sie unter Azure-URI den Endpunktwert für den Blob-Dienst ein, den Sie zuvor notiert haben, gefolgt von insights-activity-logs (z. B. https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs).
- Wählen Sie unter URI Source Type (URI-Quelltyp) die Option Directories einschließlich Unterverzeichnisse aus.
- Geben Sie unter Freigegebener Schlüssel den Wert des freigegebenen Schlüssels ein, den Sie zuvor erfasst haben.
- Klicken Sie auf Weiter und Fertigstellen.