Collecter les journaux Azure API Management

Ce document explique comment exporter les journaux de gestion des API Azure vers Google Security Operations à l'aide d'un compte de stockage Azure.

Avant de commencer

• Assurez-vous de disposer d'une instance Google SecOps.
• Assurez-vous de disposer d'un locataire Azure actif.
• Assurez-vous de disposer d'un accès privilégié à Azure.

Configurer un compte de stockage Azure

1. Dans la console Azure, recherchez Comptes de stockage.
2. Cliquez sur + Créer.
3. Spécifiez les valeurs des paramètres d'entrée suivants :
   • Abonnement: sélectionnez l'abonnement.
   • Groupe de ressources: sélectionnez le groupe de ressources.
   • Région: sélectionnez la région.
   • Performances: sélectionnez les performances (standard recommandé).
   • Redondance: sélectionnez la redondance (GRS ou LRS recommandé).
   • Nom du compte de stockage: saisissez un nom pour le nouveau compte de stockage.
4. Cliquez sur Examiner et créer.
5. Consultez la présentation du compte, puis cliquez sur Créer.
6. Sur la page Vue d'ensemble du compte de stockage, sélectionnez le sous-menu Clés d'accès dans Sécurité et mise en réseau.
7. Cliquez sur Afficher à côté de clé1 ou clé2.
8. Cliquez sur Copy to clipboard (Copier dans le presse-papiers) pour copier la clé.
9. Enregistrez la clé dans un emplacement sécurisé pour pouvoir l'utiliser ultérieurement.
10. Sur la page Aperçu du compte de stockage, sélectionnez le sous-menu Points de terminaison dans Paramètres.
11. Cliquez sur Copier dans le presse-papiers pour copier l'URL du point de terminaison du service Blob (par exemple, https://<storageaccountname>.blob.core.windows.net).
12. Enregistrez l'URL du point de terminaison dans un endroit sécurisé pour une utilisation ultérieure.

Configurer l'exportation des journaux pour les journaux de gestion des API Azure

1. Connectez-vous au portail Azure à l'aide de votre compte privilégié.
2. Dans le portail Azure, recherchez et sélectionnez l'instance du service de gestion des API.
3. Sélectionnez Surveillance > Paramètres de diagnostic.
4. Cliquez sur + Ajouter un paramètre de diagnostic.
   • Attribuez un nom descriptif au paramètre de diagnostic.
5. Sélectionnez les journaux associés à la passerelle ApiManagement.
6. Cochez la case Archiver dans un compte de stockage comme destination.
   • Spécifiez l'abonnement et le compte de stockage.
7. Cliquez sur Enregistrer.

Configurer un flux dans Google SecOps pour ingérer les journaux Azure API Management

1. Accédez à SIEM Settings > Feeds (Paramètres du SIEM > Flux).
2. Cliquez sur Ajouter.
3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux de gestion des API Azure).
4. Sélectionnez Microsoft Azure Blob Storage comme Type de source.
5. Sélectionnez Gestion des API Azure comme Type de journal.
6. Cliquez sur Suivant.

7. Spécifiez les valeurs des paramètres d'entrée suivants:

   • URI Azure: URL du point de terminaison de blob.
     • ENDPOINT_URL/BLOB_NAME
       • Remplacez les éléments suivants :
       • ENDPOINT_URL: URL du point de terminaison de blob (https://<storageaccountname>.blob.core.windows.net)
       • BLOB_NAME: nom du blob (par exemple, insights-logs-<logname>)
   • L'URI est: sélectionnez le TYPE D'URI en fonction de la configuration du flux de journaux (Fichier unique | Répertoire | Répertoire incluant des sous-répertoires).

   • Options de suppression de la source: sélectionnez l'option de suppression en fonction de vos préférences.

   • Clé partagée: clé d'accès à Azure Blob Storage.

   • Espace de noms des éléments: espace de noms des éléments.

   • Libellés d'ingestion: libellé à appliquer aux événements de ce flux.

8. Cliquez sur Suivant.

9. Vérifiez la configuration de votre nouveau flux dans l'écran Finaliser, puis cliquez sur Envoyer.

Modifications

2024-10-30

• Analyseur nouvellement créé.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.