注入 Azure 活动日志
概览
本文档介绍将 Azure 活动日志注入 Google Security Operations 所需的步骤。
配置存储账号
完成以下步骤以配置存储账号:
- 在 Azure 控制台中,搜索存储账号。
- 点击创建。
- 选择账号所需的订阅、资源组、区域、性能(建议使用“标准”)和冗余(建议使用 GRS 或 LRS),输入新存储账号的名称。
- 点击审核 + 创建,查看账号概览,然后点击创建。
- 在存储账号概览页面上,从窗口左侧导航栏中选择访问密钥。
- 点击显示密钥,然后记下存储账号的共享密钥。
- 从窗口的左侧导航栏中选择端点。
- 记下 Blob 服务端点。(https://<storageaccountname>.blob.core.windows.net/)
配置 Azure 活动日志记录
完成以下步骤以配置 Azure 活动日志记录:
- 在 Azure 控制台中,搜索监控。
- 点击页面左侧导航中的活动日志链接。
- 点击窗口顶部的导出活动日志。
- 点击添加诊断设置。
- 选择您要导出到 Google Security Operations 的所有类别。
- 在目标位置详细信息下,选择归档到存储账号。
- 选择您在上一步中创建的订阅和存储账号。
- 点击保存。
在 Google Security Operations 中配置 Feed 以注入 Azure 日志
如需在 Google Security Operations 中配置 Feed 以注入 Azure 日志,请完成以下步骤:
- 转到 Google Security Operations 设置,然后点击 Feed。
- 点击新增。
- 选择 Microsoft Azure Blob 存储作为来源类型。
- 对于日志类型,选择 Microsoft Azure 活动。
- 点击下一步。
- 在 Azure URI 下,输入您之前记录的 Blob Service 端点值,以 insights-activity-logs 为后缀(例如 https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs)
- 在 URI 来源类型下,选择目录(包括子目录)。
- 在共享密钥下,输入您之前捕获的共享密钥值。
- 点击下一步,然后点击完成。