Recoger registros de gestión de APIs de Azure

En este documento se explica cómo exportar registros de Azure API Management a Google Security Operations mediante una cuenta de almacenamiento de Azure.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

• Instancia de Google SecOps
• Un cliente de Azure activo
• Acceso privilegiado a Azure

Configurar la cuenta de Azure Storage

1. En la consola de Azure, busca Cuentas de almacenamiento.
2. Haz clic en + Crear.
3. Especifique valores para los siguientes parámetros de entrada:
   • Suscripción: selecciona la suscripción.
   • Grupo de recursos: selecciona el grupo de recursos.
   • Región: selecciona la región.
   • Rendimiento: selecciona el rendimiento (se recomienda Estándar).
   • Redundancia: selecciona la redundancia (se recomienda GRS o LRS).
   • Nombre de la cuenta de almacenamiento: escribe un nombre para la nueva cuenta de almacenamiento.
4. Haz clic en Revisar y crear.
5. Revisa el resumen de la cuenta y haz clic en Crear.
6. En la página Storage Account Overview (Resumen de la cuenta de almacenamiento), seleccione el submenú Access keys (Claves de acceso) en Security + networking (Seguridad y redes).
7. Haz clic en Mostrar junto a clave1 o clave2.
8. Haz clic en Copiar en el portapapeles para copiar la clave.
9. Guarda la clave en un lugar seguro para usarla más adelante.
10. En la página Resumen de la cuenta de almacenamiento, seleccione el submenú Endpoints (Endpoints) en Settings (Configuración).
11. Haz clic en Copiar en el portapapeles para copiar la URL del endpoint del servicio Blob. Por ejemplo, https://<storageaccountname>.blob.core.windows.net.
12. Guarda la URL del endpoint en una ubicación segura para usarla más adelante.

Cómo configurar la exportación de registros de Azure API Management

1. Inicia sesión en el portal de Azure con tu cuenta con privilegios.
2. En Azure Portal, busca y selecciona la instancia del servicio API Management.
3. Selecciona Monitorización > Configuración de diagnóstico.
4. Haga clic en + Añadir ajuste de diagnóstico.
   • Escribe un nombre descriptivo para el ajuste de diagnóstico.
5. Selecciona los registros relacionados con ApiManagement Gateway.
6. Seleccione la casilla Archivar en una cuenta de almacenamiento como destino.
   • Especifica la Suscripción y la Cuenta de almacenamiento.
7. Haz clic en Guardar.

Configurar feeds

Hay dos puntos de entrada diferentes para configurar feeds en la plataforma Google SecOps:

• Configuración de SIEM > Feeds > Añadir nuevo
• Centro de contenido > Paquetes de contenido > Empezar

Cómo configurar el feed de Azure API Management

1. Haz clic en el paquete Plataforma de Azure.
2. Busca el tipo de registro Azure API Management y haz clic en Añadir nuevo feed.

3. Especifique los valores de los siguientes campos:

   • Tipo de fuente: Microsoft Azure Blob Storage V2.
   • URI de Azure: la URL del endpoint del blob.
     • ENDPOINT_URL/BLOB_NAME
       • Sustituye lo siguiente:
         • ENDPOINT_URL: URL del endpoint de blob (https://<storageaccountname>.blob.core.windows.net)
         • BLOB_NAME: el nombre del blob (por ejemplo, insights-logs-<logname>)

   • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras según tus preferencias de ingesta.

   • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es de 180 días.

   • Clave compartida: la clave de acceso a Azure Blob Storage.

   Opciones avanzadas

   • Nombre del feed: valor rellenado automáticamente que identifica el feed.
   • Espacio de nombres de recursos: espacio de nombres asociado al feed.
   • Etiquetas de ingestión: etiquetas aplicadas a todos los eventos de este feed.

4. Haga clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros en esta familia de productos, consulta el artículo Configurar feeds por producto.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.