收集 Azure App Service 記錄

支援的國家/地區:

本文說明如何使用 Azure 儲存空間帳戶,將 Azure App Service 記錄檔匯出至 Google Security Operations。剖析器會將原始 JSON 格式的 Azure App Service 記錄轉換為結構化統一資料模型 (UDM)。這個外掛程式會從原始記錄中擷取相關欄位,執行資料清理和正規化作業,並將擷取的資訊對應至相應的 UDM 欄位,最終為每個記錄項目輸出符合 UDM 規範的 JSON 物件。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • 有效的 Azure 租用戶
  • Azure 特殊存取權

設定 Azure 儲存體帳戶

  1. 在 Azure 控制台中,搜尋「Storage accounts」(儲存體帳戶)
  2. 點選「+ 建立」
  3. 指定下列輸入參數的值:
    • 訂閱:選取訂閱方案。
    • 資源群組:選取資源群組。
    • 區域:選取區域。
    • 成效:選取成效 (建議使用「標準」)。
    • 備援:選取備援 (建議使用 GRS 或 LRS)。
    • 「儲存體帳戶名稱」:輸入新儲存體帳戶的名稱。
  4. 按一下「Review + create」
  5. 查看帳戶總覽,然後按一下「建立」
  6. 在「儲存空間帳戶總覽」頁面中,選取「安全性 + 網路」中的「存取金鑰」子選單。
  7. 按一下「key1」或「key2」旁邊的「顯示」
  8. 按一下「複製到剪貼簿」即可複製金鑰。
  9. 將金鑰妥善儲存於安全的位置,以供日後使用。
  10. 在「儲存空間帳戶總覽」頁面中,選取「設定」中的「端點」子選單。
  11. 按一下「複製到剪貼簿」,複製「Blob 服務」端點網址,例如 https://<storageaccountname>.blob.core.windows.net
  12. 請將端點網址儲存於安全位置,以供日後使用。

如何設定 Azure App Service 記錄的記錄匯出功能

  1. 使用具備權限的帳戶登入 Azure 入口網站
  2. 前往「應用程式服務」,然後選取目前使用的必要應用程式服務。
  3. 選取「Monitoring」>「App Service Logs」
  4. 將「應用程式記錄 (Blob)」設為「開啟」
  5. 在「Web Service Logging」(網路服務記錄) 下方選取「Storage」(儲存空間)
  6. 選取「訂閱項目」和「儲存空間帳戶」
  7. 根據需求定義「保留期限」和「配額」
  8. 將「詳細錯誤訊息」設為「開啟」
  9. 將「失敗的要求追蹤」設為「開啟」
  10. 按一下 [儲存]

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 依序點選「SIEM 設定」>「動態饋給」>「新增」
  • 依序點選「內容中心」「內容包」「開始使用」

如何設定 Azure App Service 動態饋給

  1. 按一下「Azure Platform」套件。
  2. 找到「Azure App Service」記錄類型,然後按一下「新增動態消息」

  3. 為下列欄位指定值:

    • 來源類型:Microsoft Azure Blob 儲存體 V2。
    • Azure URI:Blob 端點 URL。
      • ENDPOINT_URL/BLOB_NAME
        • 取代下列項目:
          • ENDPOINT_URL:Blob 端點網址 (https://<storageaccountname>.blob.core.windows.net)
          • BLOB_NAME:Blob 的名稱 (例如 <logname>-logs)

    • 來源刪除選項:根據擷取偏好設定選取刪除選項。

    • 檔案存在時間上限:包含在過去天數內修改的檔案。 預設值為 180 天。

    • 共用金鑰:Azure Blob 儲存體的存取金鑰。

    進階選項

    • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
    • 資產命名空間與動態饋給相關聯的命名空間
    • 擷取標籤:套用至這個動態饋給所有事件的標籤。

  4. 點選「建立動態饋給」

如要進一步瞭解如何為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。

UDM 對應表

記錄欄位 UDM 對應 邏輯
AppRoleInstance read_only_udm.principal.resource.product_object_id 直接對應
AppRoleName read_only_udm.principal.resource.name 直接對應
AppVersion read_only_udm.principal.resource.attribute.labels.value 直接對應
類別 read_only_udm.metadata.product_event_type 直接對應
CIp read_only_udm.target.asset.ip 直接對應
CIp read_only_udm.target.ip 直接對應
ClientCity read_only_udm.principal.location.city 直接對應
ClientCountryOrRegion read_only_udm.principal.location.country_or_region 直接對應
ClientIP read_only_udm.principal.asset.ip 直接對應
ClientIP read_only_udm.principal.ip 直接對應
ClientStateOrProvince read_only_udm.principal.location.state 直接對應
ClientType read_only_udm.additional.fields.value.string_value 直接對應
ComputerName read_only_udm.principal.asset.hostname 直接對應
ComputerName read_only_udm.principal.hostname 直接對應
Cookie read_only_udm.principal.resource.attribute.labels.value 直接對應
CsBytes read_only_udm.network.sent_bytes 已從 CsBytes 重新命名
CsHost read_only_udm.additional.fields.value.string_value 直接對應
CsMethod read_only_udm.network.http.method 直接對應
CsUriQuery read_only_udm.principal.resource.attribute.labels.value 直接對應
CsUriStem read_only_udm.additional.fields.value.string_value 直接對應
CsUriStem read_only_udm.target.url 直接對應
CsUsername read_only_udm.principal.user.user_display_name 直接對應
EventIpAddress read_only_udm.principal.asset.ip 直接對應
EventIpAddress read_only_udm.principal.ip 直接對應
EventPrimaryStampName read_only_udm.additional.fields.value.string_value 直接對應
EventStampName read_only_udm.additional.fields.value.string_value 直接對應
EventStampType read_only_udm.additional.fields.value.string_value 直接對應
主機 read_only_udm.principal.asset.hostname 直接對應
主機 read_only_udm.principal.hostname 直接對應
IKey read_only_udm.target.resource.attribute.labels.value 直接對應
執行個體 read_only_udm.additional.fields.value.string_value 直接對應
名稱 read_only_udm.additional.fields.value.string_value 直接對應
通訊協定 read_only_udm.additional.fields.value.string_value 直接對應
通訊協定 read_only_udm.network.application_protocol 如果通訊協定為 HTTP/1.1,則對應至 HTTP
參照網址 read_only_udm.network.http.referral_url 直接對應
ResourceGUID read_only_udm.target.resource.product_object_id 已從 ResourceGUID 重新命名
SDKVersion read_only_udm.additional.fields.value.string_value 直接對應
SDKVersion read_only_udm.principal.resource.attribute.labels.value 直接對應
SPort read_only_udm.principal.port 從 SPort 重新命名
ScBytes read_only_udm.network.received_bytes 從 ScBytes 重新命名
ScStatus read_only_udm.network.http.response_code 從 ScStatus 重新命名
TimeTaken read_only_udm.additional.fields.value.string_value 直接對應
類型 read_only_udm.additional.fields.value.string_value 直接對應
使用者 read_only_udm.principal.user.userid 直接對應
UserAddress read_only_udm.principal.asset.ip 如果這是有效的 IP 位址,則會從 UserAddress 擷取
UserAddress read_only_udm.principal.ip 如果這是有效的 IP 位址,則會從 UserAddress 擷取
UserAgent read_only_udm.network.http.user_agent 直接對應
UserDisplayName read_only_udm.principal.user.user_display_name 直接對應
category read_only_udm.metadata.product_event_type 直接對應
level read_only_udm.security_result.severity 從層級改為大寫並重新命名
位置 read_only_udm.principal.location.name 直接對應
operationName read_only_udm.additional.fields.value.string_value 直接對應
record.properties.Protocol read_only_udm.additional.fields.value.string_value 直接對應
record.properties.Result read_only_udm.security_result.summary 直接對應
record.time read_only_udm.metadata.event_timestamp 剖析為 RFC 3339 時間戳記
resourceId read_only_udm.target.resource.attribute.labels.value 直接對應
resourceId read_only_udm.target.resource.product_object_id 從 resourceId 重新命名
read_only_udm.metadata.event_type 根據主體、目標和通訊協定是否存在而定。如果主體、目標和 Protocol=HTTP 都存在,請設為 NETWORK_HTTP。如果主體和目標都存在,請設為 NETWORK_CONNECTION。如果只有主體存在,請設為 STATUS_UPDATE。否則請設為 GENERIC_EVENT

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。