Recoger registros de auditoría de Azure DevOps

Información general

Este analizador gestiona los registros de auditoría de Azure DevOps en formato JSON. Extrae campos de estructuras JSON anidadas y de nivel superior, y los asigna al UDM. La lógica condicional basada en valores de campos específicos clasifica los eventos y enriquece el resultado con información de seguridad relevante. El analizador también gestiona los mensajes con formato no JSON intentando extraer una carga útil JSON mediante patrones grok.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

• Instancia de Google SecOps
• Una organización de Azure DevOps activa
• Acceso privilegiado a la organización de Azure DevOps y a Azure

Configurar feeds

Hay dos puntos de entrada diferentes para configurar feeds en la plataforma Google SecOps:

• Configuración de SIEM > Feeds > Añadir nuevo
• Centro de contenido > Paquetes de contenido > Empezar

Cómo configurar el feed de auditoría de Azure DevOps

1. Haz clic en el paquete Plataforma de Azure.
2. Busca el tipo de registro Auditoría de Azure DevOps y haz clic en Añadir nuevo feed.

3. Especifique los valores de los siguientes campos:

   • Tipo de fuente: Microsoft Azure Blob Storage V2.
   • URI de Azure: la URL del endpoint del blob.
     • ENDPOINT_URL/BLOB_NAME
       • Sustituye lo siguiente:
         • ENDPOINT_URL: URL del endpoint de blob (https://<storageaccountname>.blob.core.windows.net)
         • BLOB_NAME: el nombre del blob (por ejemplo, insights-logs-<logname>)

   • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras según tus preferencias de ingesta.

   • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es de 180 días.

   • Clave compartida: clave compartida (una cadena aleatoria de 512 bits codificada en base 64) que se usa para acceder a los recursos de Azure.

   Opciones avanzadas

   • Nombre del feed: valor rellenado automáticamente que identifica el feed.
   • Espacio de nombres de recursos: el espacio de nombres de recursos.
   • Etiquetas de ingestión: la etiqueta aplicada a los eventos de este feed.

4. Haga clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros en esta familia de productos, consulta el artículo Configurar feeds por producto.

Crear una clave de API para la feed de webhook

1. Ve a la consolaGoogle Cloud > Credenciales.

   Ir a Credenciales

2. Haz clic en Crear credenciales y, a continuación, selecciona Clave de API.

3. Restringe el acceso de la clave de API a la API Google Security Operations.

Especificar la URL del endpoint

1. En tu aplicación cliente, especifica la URL del endpoint HTTPS proporcionada en el feed de webhook.

2. Para habilitar la autenticación, especifica la clave de API y la clave secreta como parte del encabezado personalizado con el siguiente formato:

   X-goog-api-key = API_KEY
   X-Webhook-Access-Key = SECRET
   

   Recomendación: Especifica la clave de API como encabezado en lugar de hacerlo en la URL. Si tu cliente de webhook no admite encabezados personalizados, puedes especificar la clave de API y la clave secreta mediante parámetros de consulta con el siguiente formato:

   ENDPOINT_URL?key=API_KEY&secret=SECRET
   

Haz los cambios siguientes:

• ENDPOINT_URL: URL del endpoint del feed.
• API_KEY: la clave de API para autenticarte en Google Security Operations.
• SECRET: la clave secreta que has generado para autenticar el feed.

Configurar la función de auditoría en Azure DevOps

1. Inicia sesión en tu organización (https://dev.azure.com/{yourorganization}).
2. Selecciona el icono de rueda dentada para acceder a la configuración de la organización.
3. Selecciona Políticas en Seguridad.
4. Activa el botón Registrar eventos de auditoría.

Configurar un tema de Event Grid en Azure

1. Inicia sesión en Azure Portal.
2. Busca y accede a Event Grid.
3. Busca Temas en Eventos personalizados.
4. Haz clic en + Crear.
5. Seleccione su Suscripción y su Grupo de recursos. Proporcione un nombre (por ejemplo, DevopsAuditLog) y seleccione la región. Haz clic en Revisar y crear.
6. Accede al nuevo Tema y copia la URL del endpoint del tema.
7. Ve a Configuración > Teclas de acceso y copia Clave 1.

Configurar el flujo de registros de Azure DevOps en Event Grid

1. Inicia sesión en tu organización (https://dev.azure.com/{yourorganization}).
2. Selecciona el icono de rueda dentada para acceder a la configuración de la organización.
3. Selecciona Auditoría.
4. Ve a la pestaña Streams (Flujos) y selecciona New stream (Nuevo flujo) > Event Grid (Event Grid).
5. Introduce el endpoint del tema y la clave de acceso creados en Configurar un tema de Event Grid en Azure.

Configurar un webhook en Azure DevOps para Google SecOps

1. En Azure Portal, busca y accede a Event Grid.
2. Selecciona un tema creado anteriormente.
3. Vaya a Entidades > Suscripción a eventos.
4. Haz clic en + Event Subscription (+ Suscripción a evento).
5. Proporcione un nombre descriptivo (por ejemplo, *Google SecOps Integration).
6. Seleccione Web Hook (Webhook) y haga clic en Configurar un endpoint.
7. Configura el endpoint:
   1. Endpoint del suscriptor: introduce la URL del endpoint de la API Google SecOps.
   2. En la sección Encabezados HTTP, añade los siguientes encabezados:
      • Encabezado 1:
        • Clave: X-goog-api-key
        • Valor: la clave de API que has creado en la sección Crear una clave de API para el feed de webhook.
      • Encabezado 2:
        • Clave: X-Webhook-Access-Key
        • Valor: la clave secreta que has generado en la sección Configurar un feed en Google SecOps para ingerir los registros de Azure DevOps.
   3. Asigna el valor application/json al encabezado Content-Type.
8. Haz clic en Crear.

Tabla de asignación de UDM

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.