Microsoft Azure のアクティビティ ログを取り込む

このドキュメントでは、Microsoft Azure のアクティビティ ログ（AZURE_ACTIVITY）を Google Security Operations に取り込むために必要な手順について説明します。

ストレージ アカウントを構成する

ストレージ アカウントを構成するには、次の手順を行います。

1. Azure コンソールで、[ストレージ アカウント] を検索します。
2. [作成] をクリックします。
3. アカウントに必要なサブスクリプション、リソース グループ、リージョン、パフォーマンス（標準を推奨）、冗長性（GRS または LRS を推奨）を選択し、新しいストレージ アカウントの名前を入力します。
4. [確認 + 作成] をクリックし、アカウントの概要を確認して、[作成] をクリックします。
5. [ストレージ アカウントの概要] ページで、ウィンドウの左側のナビゲーションから [アクセスキー] を選択します。
6. [鍵を表示] をクリックし、ストレージ アカウントの共有鍵をメモしておきます。
7. ウィンドウの左側のナビゲーションから [エンドポイント] を選択します。
8. Blob サービスのエンドポイントをメモしておきます（https://<storageaccountname>.blob.core.windows.net/）。

Azure アクティビティ ログを構成する

次の手順に沿って、Azure アクティビティ ログを構成します。

1. Azure コンソールで、[モニタリング] を検索します。
2. ページの左側のナビゲーションにある [アクティビティ ログ] リンクをクリックします。
3. ウィンドウ上部の [アクティビティ ログをエクスポート] をクリックします。
4. [診断設定を追加] をクリックします。
5. Google Security Operations にエクスポートするカテゴリをすべて選択します。
6. [宛先の詳細] で、[ストレージ アカウントにアーカイブ] を選択します。
7. 前のステップで作成したサブスクリプションとストレージ アカウントを選択します。
8. [Save] をクリックします。

Google Security Operations でフィードを構成して、Azure ログを取り込む

Azure ログを取り込むように Google Security Operations でフィードを構成するには、次の手順を行います。

1. Google Security Operations の設定に移動し、[フィード] をクリックします。
2. [Add New] をクリックします。
3. [ソースタイプ] で [Microsoft Azure Blob Storage] を選択します。
4. [ログタイプ] で [Microsoft Azure Activity] を選択します。
5. [Next] をクリックします。
6. [Azure URI] で、先ほど記録した Blob Service エンドポイントの値を入力し、末尾に insights-activity-logs（例: https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs）を入力します。
7. [URI ソースタイプ] で [サブディレクトリを含むディレクトリ] を選択します。
8. [共有キー] に、以前にキャプチャした共有キーの値を入力します。
9. [次へ] をクリックして [終了] をクリックします。