Collecter les journaux Azure API Management

Ce document explique comment exporter des journaux Azure API Management vers Google Security Operations à l'aide d'un compte de stockage Azure.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

• Instance Google SecOps
• Un locataire Azure actif
• Accès privilégié à Azure

Configurer un compte de stockage Azure

1. Dans la console Azure, recherchez Comptes de stockage.
2. Cliquez sur + Créer.
3. Spécifiez les valeurs des paramètres d'entrée suivants :
   • Abonnement : sélectionnez l'abonnement.
   • Groupe de ressources : sélectionnez le groupe de ressources.
   • Région : sélectionnez la région.
   • Performances : sélectionnez les performances (standard recommandé).
   • Redondance : sélectionnez la redondance (GRS ou LRS recommandé).
   • Nom du compte de stockage : saisissez un nom pour le nouveau compte de stockage.
4. Cliquez sur Examiner et créer.
5. Examinez l'aperçu du compte, puis cliquez sur Créer.
6. Sur la page Présentation du compte de stockage, sélectionnez le sous-menu Clés d'accès dans Sécurité et mise en réseau.
7. Cliquez sur Afficher à côté de key1 ou key2.
8. Cliquez sur Copier dans le presse-papiers pour copier la clé.
9. Enregistrez la clé dans un endroit sûr pour une utilisation ultérieure.
10. Sur la page Présentation du compte de stockage, sélectionnez le sous-menu Points de terminaison dans Paramètres.
11. Cliquez sur Copier dans le presse-papiers pour copier l'URL du point de terminaison Blob service (Service Blob). Par exemple, https://<storageaccountname>.blob.core.windows.net.
12. Enregistrez l'URL du point de terminaison dans un endroit sûr pour une utilisation ultérieure.

Configurer l'exportation de journaux pour les journaux Azure API Management

1. Connectez-vous au portail Azure à l'aide de votre compte privilégié.
2. Dans le portail Azure, recherchez et sélectionnez l'instance du service Gestion des API.
3. Sélectionnez Surveillance > Paramètres de diagnostic.
4. Cliquez sur + Ajouter un paramètre de diagnostic.
   • Attribuez un nom descriptif au paramètre de diagnostic.
5. Sélectionnez les journaux liés à ApiManagement Gateway.
6. Cochez la case Archiver dans un compte de stockage comme destination.
   • Spécifiez l'abonnement et le compte de stockage.
7. Cliquez sur Enregistrer.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

• Paramètres SIEM> Flux > Ajouter
• Plate-forme de contenu> Packs de contenu> Premiers pas

Configurer le flux Azure API Management

1. Cliquez sur le pack Plate-forme Azure.
2. Recherchez le type de journal Azure API Management et cliquez sur Ajouter un flux.

3. Indiquez les valeurs des champs suivants :

   • Type de source : Microsoft Azure Blob Storage V2.
   • URI Azure : URL du point de terminaison du blob.
     • ENDPOINT_URL/BLOB_NAME
       • Remplacez l'élément suivant :
         • ENDPOINT_URL : URL du point de terminaison du blob (https://<storageaccountname>.blob.core.windows.net)
         • BLOB_NAME : nom du blob (par exemple, insights-logs-<logname>)

   • Options de suppression de la source : sélectionnez l'option de suppression en fonction de vos préférences d'ingestion.

   • Âge maximal du fichier : inclut les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.

   • Clé partagée : clé d'accès à Azure Blob Storage.

   Options avancées

   • Nom du flux : valeur préremplie qui identifie le flux.
   • Espace de noms de l'élément : espace de noms associé au flux.
   • Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

4. Cliquez sur Créer un flux.

Pour en savoir plus sur la configuration de plusieurs flux pour différents types de journaux dans cette famille de produits, consultez Configurer des flux par produit.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.