Azure-Aktivitätslogs aufnehmen
Überblick
In diesem Dokument werden die Schritte beschrieben, die erforderlich sind, um Ihre Azure-Aktivitätsprotokolle in Google Security Operations aufzunehmen.
Speicherkonto konfigurieren
Führen Sie die folgenden Schritte aus, um ein Speicherkonto zu konfigurieren:
- Suchen Sie in der Azure-Konsole nach Speicherkonten.
- Klicken Sie auf Erstellen.
- Wählen Sie das Abo, die Ressourcengruppe, die Region, die Leistung (empfohlen, Standard) und die Redundanz (Empfehlung: GRS oder LRS) aus, die für das Konto erforderlich sind, und geben Sie einen Namen für das neue Speicherkonto ein.
- Klicken Sie auf Überprüfen + erstellen, sehen Sie sich die Übersicht des Kontos an und klicken Sie auf Erstellen.
- Wählen Sie auf der Seite Speicherkontoübersicht in der linken Navigationsleiste des Fensters die Option Zugriffsschlüssel aus.
- Klicken Sie auf Schlüssel anzeigen und notieren Sie sich den freigegebenen Schlüssel für das Speicherkonto.
- Wählen Sie in der linken Navigationsleiste des Fensters Endpunkte aus.
- Notieren Sie sich den Endpunkt des Blob-Dienstes. (https://<storageaccountname>.blob.core.windows.net/)
Azure-Aktivitäts-Logging konfigurieren
Führen Sie die folgenden Schritte aus, um das Azure-Aktivitäts-Logging zu konfigurieren:
- Suchen Sie in der Azure-Konsole nach Monitor (Überwachen).
- Klicken Sie im linken Navigationsbereich der Seite auf den Link Aktivitätsprotokoll.
- Klicken Sie oben im Fenster auf Aktivitätsprotokolle exportieren.
- Klicken Sie auf Diagnoseeinstellung hinzufügen.
- Wählen Sie alle Kategorien aus, die Sie in Google Security Operations exportieren möchten.
- Wählen Sie unter Zieldetails die Option In Speicherkonto archivieren aus.
- Wählen Sie das Abo und das Speicherplatzabo aus, das Sie im vorherigen Schritt erstellt haben.
- Klicken Sie auf Speichern.
Feed in Google Security Operations für die Aufnahme der Azure-Logs konfigurieren
Führen Sie die folgenden Schritte aus, um einen Feed in Google Security Operations für die Aufnahme der Azure-Protokolle zu konfigurieren:
- Rufen Sie die Google Security Operations-Einstellungen auf und klicken Sie auf Feeds.
- Klicken Sie auf Neu hinzufügen.
- Wählen Sie als Quelltyp die Option Microsoft Azure Blob Storage aus.
- Wählen Sie als Logtyp die Option Microsoft Azure-Aktivität aus.
- Klicken Sie auf Weiter.
- Geben Sie unter Azure-URI den Wert für den Blob Service-Endpunkt ein, den Sie zuvor notiert haben und dem insights-activity-logs angehängt ist, z. B. https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs.
- Wählen Sie unter URI-Quelltyp die Option Verzeichnisse einschließlich Unterverzeichnissen aus.
- Geben Sie unter Freigegebener Schlüssel den Wert ein, den Sie zuvor erfasst haben.
- Klicken Sie auf Weiter und Fertigstellen.