Recopila registros de Azure API Management

En este documento, se explica cómo exportar registros de Azure API Management a Google Security Operations con una cuenta de almacenamiento de Azure.

Antes de comenzar

• Asegúrate de tener una instancia de Google SecOps.
• Asegúrate de tener un inquilino de Azure activo.
• Asegúrate de tener acceso con privilegios a Azure.

Configura la cuenta de Azure Storage

1. En la consola de Azure, busca Cuentas de almacenamiento.
2. Haz clic en + Crear.
3. Especifica valores para los siguientes parámetros de entrada:
   • Subscription: Selecciona la suscripción.
   • Grupo de recursos: Selecciona el grupo de recursos.
   • Región: Selecciona la región.
   • Rendimiento: Selecciona el rendimiento (se recomienda Estándar).
   • Redundancia: Selecciona la redundancia (se recomienda GRS o LRS).
   • Nombre de la cuenta de almacenamiento: Ingresa un nombre para la cuenta de almacenamiento nueva.
4. Haz clic en Revisar + crear.
5. Revisa la descripción general de la cuenta y haz clic en Crear.
6. En la página Descripción general de la cuenta de almacenamiento, selecciona el submenú Llaves de acceso en Seguridad y herramientas de redes.
7. Haz clic en Mostrar junto a clave1 o clave2.
8. Haz clic en Copiar en el portapapeles para copiar la clave.
9. Guarda la clave en una ubicación segura para usarla más adelante.
10. En la página Descripción general de la cuenta de almacenamiento, selecciona el submenú Puntos finales en Configuración.
11. Haz clic en Copiar en el portapapeles para copiar la URL del extremo del servicio de Blob (por ejemplo, https://<storageaccountname>.blob.core.windows.net).
12. Guarda la URL del extremo en una ubicación segura para usarla más adelante.

Configura la exportación de registros para los registros de Azure API Management

1. Accede al portal de Azure con tu cuenta con privilegios.
2. En el portal de Azure, busca y selecciona la instancia del servicio de administración de APIs.
3. Selecciona Supervisión > Configuración de diagnóstico.
4. Haz clic en + Agregar parámetro de configuración de diagnóstico.
   • Ingresa un nombre descriptivo para el parámetro de configuración de diagnóstico.
5. Selecciona los registros relacionados con ApiManagement Gateway.
6. Selecciona la casilla de verificación Archivar en una cuenta de almacenamiento como destino.
   • Especifica la suscripción y la cuenta de almacenamiento.
7. Haz clic en Guardar.

Configura un feed en Google SecOps para transferir los registros de la administración de APIs de Azure

1. Ve a Configuración de SIEM > Feeds.
2. Haz clic en Agregar nueva.
3. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de administración de la API de Azure).
4. Selecciona Microsoft Azure Blob Storage como el Tipo de fuente.
5. Selecciona Azure API Management como el Tipo de registro.
6. Haz clic en Siguiente.

7. Especifica valores para los siguientes parámetros de entrada:

   • URI de Azure: Es la URL del extremo del objeto blob.
     • ENDPOINT_URL/BLOB_NAME
       • Reemplaza lo siguiente:
       • ENDPOINT_URL: La URL del extremo de blob (https://<storageaccountname>.blob.core.windows.net)
       • BLOB_NAME: Es el nombre del blob (por ejemplo, insights-logs-<logname>).
   • URI is a: Selecciona el TIPO DE URI según la configuración del flujo de registro (Archivo único | Directorio | Directorio que incluye subdirectorios).

   • Opciones de eliminación de fuentes: Selecciona la opción de eliminación según tu preferencia.

   • Clave compartida: Es la clave de acceso a Azure Blob Storage.

   • Espacio de nombres de recursos: Es el espacio de nombres de recursos.

   • Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.

8. Haz clic en Siguiente.

9. Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Cambios

2024-10-30

• Sin embargo, el analizador se creó recientemente.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.