Importa i log delle attività di Microsoft Azure

Questo documento descrive i passaggi necessari per importare i log delle attività di Microsoft Azure (AZURE_ACTIVITY) in Google Security Operations.

Configura un account di archiviazione

Completa i seguenti passaggi per configurare un account per lo spazio di archiviazione:

  1. Nella console Azure, cerca Account Storage.
  2. Fai clic su Crea.
  3. Seleziona sottoscrizione, gruppo di risorse, regione, prestazioni (opzione standard consigliata) e ridondanza (consigli GRS o LRS) necessari per l'account e inserisci un nome per il nuovo account di archiviazione.
  4. Fai clic su Esamina e crea, esamina la panoramica dell'account e fai clic su Crea.
  5. Nella pagina Panoramica dell'account di archiviazione, seleziona Chiavi di accesso dal menu di navigazione a sinistra della finestra.
  6. Fai clic su Mostra chiavi e prendi nota della chiave condivisa per l'account di archiviazione.
  7. Seleziona Endpoint dal menu di navigazione a sinistra della finestra.
  8. Prendi nota dell'endpoint del servizio BLOB. (https://<storageaccountname>.blob.core.windows.net/)

Configura il logging delle attività di Azure

Completa i passaggi seguenti per configurare il logging delle attività di Azure:

  1. Nella console Azure, cerca Monitor.
  2. Fai clic sul link Log delle attività nella barra di navigazione a sinistra nella pagina.
  3. Fai clic su Esporta log delle attività nella parte superiore della finestra.
  4. Fai clic su Aggiungi impostazione diagnostica.
  5. Seleziona tutte le categorie che vuoi esportare in Google Security Operations.
  6. In Dettagli destinazione seleziona Archivia in un account di archiviazione.
  7. Seleziona l'account di abbonamento e archiviazione che hai creato nel passaggio precedente.
  8. Fai clic su Salva.

Configura un feed in Google Security Operations per importare i log di Azure

Completa i seguenti passaggi per configurare un feed in Google Security Operations per importare i log di Azure:

  1. Vai alle impostazioni di Google Security Operations e fai clic su Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Seleziona Microsoft Azure Blob Storage (Archiviazione BLOB di Microsoft Azure) per Source Type (Tipo di origine).
  4. Seleziona Microsoft Azure Activity (Attività di Microsoft Azure) per Log Type (Tipo di log).
  5. Fai clic su Avanti.
  6. In URI Azure, inserisci il valore dell'endpoint Blob Service registrato in precedenza, con il suffisso insights-activity-logs (ad esempio, https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs)
  7. In Tipo di origine URI, seleziona Directory comprese le sottodirectory.
  8. In Chiave condivisa, inserisci il valore della chiave condivisa acquisito in precedenza.
  9. Fai clic su Avanti e Fine.