Mengumpulkan log Azure Firewall
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara mengekspor log Azure Firewall ke Google Security Operations menggunakan Akun Penyimpanan Azure. Parser pertama-tama mencoba memproses input sebagai JSON, mengekstrak data dari kolom Records. Jika kolom Record kosong, parser kemudian menggunakan serangkaian pola Grok dan pernyataan kondisional untuk mengekstrak kolom yang relevan dari pesan, yang menangani berbagai format dan variasi dalam log Azure Firewall.
Sebelum memulai
- Pastikan Anda memiliki instance Google Chronicle.
- Pastikan Anda memiliki tenant Azure yang aktif.
- Pastikan Anda memiliki akses dengan hak istimewa ke Azure.
Mengonfigurasi Akun Azure Storage
- Di konsol Azure, telusuri Storage accounts.
- Klik + Create.
- Tentukan nilai untuk parameter input berikut:
- Langganan: pilih langganan.
- Resource Group: pilih grup resource.
- Region: pilih region.
- Performa: pilih performa (Standar direkomendasikan).
- Redundansi: pilih redundansi (GRS atau LRS direkomendasikan).
- Nama akun penyimpanan: masukkan nama untuk akun penyimpanan baru.
- Klik Review + create.
- Tinjau ringkasan akun, lalu klik Buat.
- Dari halaman Ringkasan Akun Penyimpanan, pilih submenu Kunci akses di Keamanan + jaringan.
- Klik Tampilkan di samping kunci1 atau kunci2
- Klik Salin ke papan klip untuk menyalin kunci.
- Simpan kunci di lokasi yang aman untuk digunakan nanti.
- Dari halaman Ringkasan Akun Penyimpanan, pilih submenu Endpoint di Setelan.
- Klik Salin ke papan klip untuk menyalin URL endpoint Layanan blob (misalnya,
https://<storageaccountname>.blob.core.windows.net) - Simpan URL endpoint di lokasi yang aman untuk digunakan nanti.
Mengonfigurasi Ekspor Log untuk Log Azure Firewall
- Login ke Portal Azure menggunakan akun dengan hak istimewa.
- Buka Firewall dan pilih firewall yang diperlukan.
- Pilih Monitoring > Diagnostic Services.
- Klik + Tambahkan setelan diagnostik.
- Masukkan nama deskriptif untuk setelan diagnostik.
- Pilih allLogs.
- Pilih kotak centang Arsipkan ke akun penyimpanan sebagai tujuan.
- Tentukan Langganan dan Akun Penyimpanan.
- Klik Simpan.
Mengonfigurasi feed di Google SecOps untuk menyerap log Azure Firewall
- Buka Setelan SIEM > Feed.
- Klik Tambahkan baru.
- Di kolom Feed name, masukkan nama untuk feed (misalnya, Azure Firewall Logs).
- Pilih Microsoft Azure Blob Storage sebagai Jenis sumber.
- Pilih Azure Firewall sebagai Jenis log.
- Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- URI Azure: URL endpoint blob.
ENDPOINT_URL/BLOB_NAME- Ganti kode berikut:
ENDPOINT_URL: URL endpoint blob (https://<storageaccountname>.blob.core.windows.net)BLOB_NAME: nama blob (seperti,<logname>-logs)
- URI adalah: pilih JENIS URI sesuai dengan konfigurasi aliran log (File tunggal | Direktori | Direktori yang menyertakan subdirektori).
Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
Kunci bersama: kunci akses ke Azure Blob Storage.
Namespace aset: namespace aset.
Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.
- URI Azure: URL endpoint blob.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.
Pemetaan UDM
| Kolom log | Pemetaan UDM | Logika |
|---|---|---|
| @stempel waktu | metadata.event_timestamp | Mengonversi kolom log mentah @timestamp ke Format UDM. |
| kategori | security_result.rule_type | Memetakan kolom log mentah category ke UDM. |
| operationName | metadata.product_event_type | Memetakan kolom log mentah operationName ke UDM. |
| properties.Action | security_result.action | Memetakan kolom log mentah properties.Action ke UDM, mengonversi ALLOW menjadi ALLOW, DENY menjadi BLOCK, dan nilai lainnya menjadi UNKNOWN_ACTION. |
| properties.DestinationIp | target.ip | Memetakan kolom log mentah properties.DestinationIp ke UDM. |
| properties.DestinationPort | target.port | Memetakan kolom log mentah properties.DestinationPort ke UDM. |
| properties.DnssecOkBit | additional.fields.value.bool_value | Memetakan kolom log mentah properties.DnssecOkBit ke UDM. |
| properties.EDNS0BufferSize | additional.fields.value.number_value | Memetakan kolom log mentah properties.EDNS0BufferSize ke UDM. |
| properties.ErrorMessage | additional.fields.value.string_value | Memetakan kolom log mentah properties.ErrorMessage ke UDM. |
| properties.ErrorNumber | additional.fields.value.number_value | Memetakan kolom log mentah properties.ErrorNumber ke UDM. |
| properties.Policy | security_result.detection_fields.value | Memetakan kolom log mentah properties.Policy ke UDM. |
| properties.Protocol | network.ip_protocol | Memetakan kolom log mentah properties.Protocol ke UDM jika bukan HTTPS atau HTTP. |
| properties.Protocol | network.application_protocol | Memetakan kolom log mentah properties.Protocol ke UDM jika HTTPS atau HTTP. |
| properties.QueryClass | network.dns.questions.class | Memetakan kolom log mentah properties.QueryClass ke UDM menggunakan tabel pencarian untuk memetakan class kueri DNS. |
| properties.QueryId | network.dns.id | Memetakan kolom log mentah properties.QueryId ke UDM. |
| properties.QueryName | network.dns.questions.name | Memetakan kolom log mentah properties.QueryName ke UDM. |
| properties.QueryType | network.dns.questions.type | Memetakan kolom log mentah properties.QueryType ke UDM menggunakan tabel pencarian untuk memetakan jenis data DNS. |
| properties.RequestSize | network.sent_bytes | Memetakan kolom log mentah properties.RequestSize ke UDM. |
| properties.ResponseCode | network.dns.response_code | Memetakan kolom log mentah properties.ResponseCode ke UDM menggunakan tabel pencarian untuk memetakan kode respons DNS. |
| properties.ResponseFlags | additional.fields.value.string_value | Memetakan kolom log mentah properties.ResponseFlags ke UDM. |
| properties.ResponseSize | network.received_bytes | Memetakan kolom log mentah properties.ResponseSize ke UDM. |
| properties.Rule | security_result.rule_name | Memetakan kolom log mentah properties.Rule ke UDM. |
| properties.RuleCollection | security_result.detection_fields.value | Memetakan kolom log mentah properties.RuleCollection ke UDM. |
| properties.RuleCollectionGroup | security_result.detection_fields.value | Memetakan kolom log mentah properties.RuleCollectionGroup ke UDM. |
| properties.SourceIp | principal.ip | Memetakan kolom log mentah properties.SourceIp ke UDM. |
| properties.SourcePort | principal.port | Memetakan kolom log mentah properties.SourcePort ke UDM. |
| properties.msg | security_result.description | Memetakan kolom log mentah properties.msg ke UDM setelah mengekstrak kolom lain darinya. |
| records.category | security_result.rule_type | Memetakan kolom log mentah records.category ke UDM. |
| records.operationName | metadata.product_event_type | Memetakan kolom log mentah records.operationName ke UDM. |
| records.properties.msg | Kolom ini digunakan untuk mengekstrak beberapa kolom menggunakan pola Grok dan tidak memiliki pemetaan langsung ke UDM. | |
| records.resourceId | metadata.product_log_id | Memetakan kolom log mentah records.resourceId ke UDM. |
| resourceId | metadata.product_log_id | Memetakan kolom log mentah resourceId ke UDM. |
| waktu | metadata.event_timestamp | Mengonversi kolom log mentah time ke Format UDM. |
| metadata.vendor_name | Kolom ini diisi oleh parser dengan nilai Microsoft Inc.. |
|
| metadata.product_name | Kolom ini diisi oleh parser dengan nilai Azure Firewall Application Rule. |
|
| metadata.log_type | Kolom ini diisi oleh parser dengan nilai AZURE_FIREWALL. |
|
| additional.fields.key | Kolom ini diisi oleh parser dengan kunci untuk kolom tambahan. | |
| security_result.detection_fields.key | Kolom ini diisi oleh parser dengan kunci untuk kolom deteksi. | |
| network.application_protocol | Kolom ini diisi oleh parser dengan nilai DNS untuk log DNS. |
|
| metadata.event_type | Kolom ini diisi oleh parser berdasarkan pesan log. Dapat berupa NETWORK_CONNECTION, GENERIC_EVENT, STATUS_UPDATE, atau NETWORK_DNS. |
Perubahan
2024-12-26
Perbaikan bug:
- Jika log berisi kata kunci
Alert, pemetaannya adalahsecurity_result.actionkeALLOW.
2024-11-13
Peningkatan:
- Memetakan
Actionkesecurity_result.detection_fields. - Memetakan
Signaturekesecurity_result.detection_fields. - Memetakan
IDSkesecurity_result.detection_fields. - Memetakan
Prioritykesecurity_result.priority_details. - Memetakan
Classificationkesecurity_result.detection_fields.
2024-09-04
Peningkatan:
- Memetakan
from_ipkedns.questions.nameuntuk peristiwa DNS.
2024-07-02
Peningkatan:
- Menambahkan dukungan untuk menangani format stempel waktu baru.
2024-04-29
Peningkatan:
- Menambahkan dukungan untuk menangani format log baru yang diserap.
2024-02-07
Peningkatan:
- Memetakan
ICMP typekeadditional.fields. - Memetakan
Actiondanproperties.Actionkesecurity_result.action_details.
2023-06-01
Peningkatan:
- Log JSON kategori
AZFWDnsQueryyang baru diserap akan diuraikan. properties.msgyang dipetakan dalam log JSON kategoriAzureFirewallNetworkRuleyang baru ditransfer.
2022-04-29
Perbaikan bug:
- Log JSON yang baru ditransfer akan diuraikan untuk meningkatkan persentase penguraian secara keseluruhan.
- operationName dipetakan ke metadata.product_event_type.
- resourceId dipetakan ke metadata.product_log_id.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.