Microsoft Azure-Aktivitätslogs aufnehmen

In diesem Dokument werden die Schritte beschrieben, die zum Aufnehmen von Microsoft Azure-Aktivitätslogs (AZURE_ACTIVITY) in Google Security Operations erforderlich sind.

Speicherkonto konfigurieren

So konfigurieren Sie ein Storage-Konto:

  1. Suchen Sie in der Azure-Konsole nach Storage-Konten.
  2. Klicken Sie auf Erstellen.
  3. Wählen Sie für das Konto erforderliche Abonnement, Ressourcengruppe, Region, Leistung (empfohlen wird Standard) und Redundanz (Empfehlung: GRS oder LRS) und geben Sie einen Namen für das neue Speicherkonto ein.
  4. Klicken Sie auf Überprüfen und erstellen, sehen Sie sich die Übersicht des Kontos an und klicken Sie auf Erstellen.
  5. Wählen Sie auf der Seite Übersicht über das Speicherkonto in der linken Navigationsleiste des Fensters die Option Zugriffstasten aus.
  6. Klicken Sie auf Schlüssel anzeigen und notieren Sie sich den freigegebenen Schlüssel für das Speicherkonto.
  7. Wählen Sie in der linken Navigationsleiste des Fensters Endpunkte aus.
  8. Notieren Sie sich den Endpunkt des Blob-Diensts. (https://<storageaccountname>.blob.core.windows.net/)

Azure-Aktivitäts-Logging konfigurieren

Führen Sie die folgenden Schritte aus, um das Azure-Aktivitäts-Logging zu konfigurieren:

  1. Suchen Sie in der Azure-Konsole nach Monitor.
  2. Klicken Sie im linken Navigationsbereich der Seite auf den Link Aktivitätsprotokoll.
  3. Klicken Sie oben im Fenster auf Aktivitätsprotokolle exportieren.
  4. Klicken Sie auf Diagnoseeinstellung hinzufügen.
  5. Wählen Sie alle Kategorien aus, die Sie in Google Security Operations exportieren möchten.
  6. Wählen Sie unter Zieldetails die Option In Speicherkonto archivieren aus.
  7. Wählen Sie das Abo und das Speicherkonto aus, das Sie im vorherigen Schritt erstellt haben.
  8. Klicken Sie auf Speichern.

Konfigurieren Sie einen Feed in Google Security Operations, um die Azure-Logs aufzunehmen

Führen Sie die folgenden Schritte aus, um einen Feed in Google Security Operations zu konfigurieren, um die Azure-Logs aufzunehmen:

  1. Rufen Sie die Google Security Operations-Einstellungen auf und klicken Sie auf Feeds.
  2. Klicken Sie auf Add New (Neu hinzufügen).
  3. Wählen Sie als Quelltyp die Option Microsoft Azure Blob Storage aus.
  4. Wählen Sie Microsoft Azure Activity als Log Type aus.
  5. Klicken Sie auf Weiter.
  6. Geben Sie unter Azure-URI den Endpunktwert für den Blob-Dienst ein, den Sie zuvor notiert haben, gefolgt von insights-activity-logs (z. B. https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs).
  7. Wählen Sie unter URI Source Type (URI-Quelltyp) die Option Directories einschließlich Unterverzeichnisse aus.
  8. Geben Sie unter Freigegebener Schlüssel den Wert des freigegebenen Schlüssels ein, den Sie zuvor erfasst haben.
  9. Klicken Sie auf Weiter und Fertigstellen.