本頁面由 Cloud Translation API 翻譯而成。

收集 Azure 防火牆記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Azure 儲存空間帳戶，將 Azure 防火牆記錄匯出至 Google Security Operations。剖析器會先嘗試將輸入內容處理為 JSON，並從「記錄」欄位擷取資料。如果「記錄」欄位空白，剖析器就會使用一系列 Grok 模式和條件陳述式，從訊息中擷取相關欄位，處理 Azure 防火牆記錄檔中的不同格式和變化。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
有效的 Azure 租用戶
Azure 特殊存取權

設定 Azure 儲存體帳戶

在 Azure 控制台中，搜尋「Storage accounts」(儲存體帳戶)。
點選「+ 建立」。
指定下列輸入參數的值：
- 訂閱方案：選取訂閱方案。
- 資源群組：選取資源群組。
- 區域：選取區域。
- 成效：選取成效 (建議使用「標準」)。
- 備援：選取備援 (建議使用 GRS 或 LRS)。
- 「儲存體帳戶名稱」：輸入新儲存體帳戶的名稱。
按一下「Review + create」。
查看帳戶總覽，然後按一下「建立」。
在「儲存空間帳戶總覽」頁面中，選取「安全性 + 網路」中的「存取金鑰」子選單。
按一下「key1」或「key2」旁邊的「顯示」。
按一下「複製到剪貼簿」即可複製金鑰。
將金鑰妥善儲存於安全的位置，以供日後使用。
在「儲存空間帳戶總覽」頁面中，選取「設定」中的「端點」子選單。
按一下「複製到剪貼簿」，複製「Blob 服務」端點網址，例如 https://<storageaccountname>.blob.core.windows.net。
請將端點網址儲存於安全位置，以供日後使用。

如何設定 Azure 防火牆記錄的記錄匯出功能

使用具備權限的帳戶登入 Azure 入口網站。
前往「Firewalls」(防火牆)，然後選取所需防火牆。
選取「監控」>「診斷服務」。
按一下「+ 新增診斷設定」。
- 輸入診斷設定的描述性名稱。
選取「allLogs」allLogs。
選取「封存至儲存空間帳戶」核取方塊做為目的地。
- 指定「訂閱項目」和「儲存空間帳戶」。
按一下 [儲存]。

設定動態饋給

在 Google SecOps 平台中，有兩種不同的進入點可設定動態饋給：

依序點選「SIEM Settings」>「Feeds」>「Add New Feed」
依序點選「內容中心」「內容包」「開始使用」

如何設定 Azure 防火牆動態饋給

按一下「Azure Platform」套件。
找出 Azure 防火牆記錄類型，然後按一下「新增動態饋給」。
為下列欄位指定值：
- 來源類型：Microsoft Azure Blob 儲存體 V2。
- Azure URI：Blob 端點 URL。
  - ENDPOINT_URL/BLOB_NAME
    - 取代下列項目：
      - ENDPOINT_URL：Blob 端點網址 (https://<storageaccountname>.blob.core.windows.net)
      - BLOB_NAME：Blob 的名稱 (例如 <logname>-logs)
- 來源刪除選項：根據擷取偏好設定選取刪除選項。
  
  注意： 如果選取 Delete transferred files 或 Delete transferred files and empty directories 選項，請務必授予服務帳戶適當的權限。
- 檔案存在時間上限：包含在過去天數內修改的檔案。預設值為 180 天。
- 共用金鑰：用於存取 Azure 資源的共用金鑰 (以 Base64 編碼的 512 位元隨機字串)。
進階選項
- 動態饋給名稱：系統預先填入的值，用於識別動態饋給。
- 資產命名空間：與動態饋給相關聯的命名空間。
- 擷取標籤：套用至這個動態饋給所有事件的標籤。
點選「建立動態饋給」。

如要進一步瞭解如何為這個產品系列中的不同記錄類型設定多個動態饋給，請參閱「依產品設定動態饋給」。

UDM 對應

記錄欄位	UDM 對應	邏輯
@timestamp	metadata.event_timestamp	將原始記錄檔欄位 `@timestamp` 轉換為 UDM 格式。
category	security_result.rule_type	將原始記錄檔欄位 `category` 對應至 UDM。
operationName	metadata.product_event_type	將原始記錄檔欄位 `operationName` 對應至 UDM。
properties.Action	security_result.action	將原始記錄欄位 `properties.Action` 對應至 UDM，並將 `ALLOW` 轉換為 `ALLOW`、`DENY` 轉換為 `BLOCK`，以及將任何其他值轉換為 `UNKNOWN_ACTION`。
properties.DestinationIp	target.ip	將原始記錄檔欄位 `properties.DestinationIp` 對應至 UDM。
properties.DestinationPort	target.port	將原始記錄檔欄位 `properties.DestinationPort` 對應至 UDM。
properties.DnssecOkBit	additional.fields.value.bool_value	將原始記錄檔欄位 `properties.DnssecOkBit` 對應至 UDM。
properties.EDNS0BufferSize	additional.fields.value.number_value	將原始記錄檔欄位 `properties.EDNS0BufferSize` 對應至 UDM。
properties.ErrorMessage	additional.fields.value.string_value	將原始記錄檔欄位 `properties.ErrorMessage` 對應至 UDM。
properties.ErrorNumber	additional.fields.value.number_value	將原始記錄檔欄位 `properties.ErrorNumber` 對應至 UDM。
properties.Policy	security_result.detection_fields.value	將原始記錄檔欄位 `properties.Policy` 對應至 UDM。
properties.Protocol	network.ip_protocol	如果原始記錄欄位不是 `HTTPS` 或 `HTTP`，則會將該欄位對應至 UDM。`properties.Protocol`
properties.Protocol	network.application_protocol	如果原始記錄檔欄位 `properties.Protocol` 為 `HTTPS` 或 `HTTP`，則會對應至 UDM。
properties.QueryClass	network.dns.questions.class	使用 DNS 查詢類別的對照表，將原始記錄欄位 `properties.QueryClass` 對應至 UDM。
properties.QueryId	network.dns.id	將原始記錄檔欄位 `properties.QueryId` 對應至 UDM。
properties.QueryName	network.dns.questions.name	將原始記錄檔欄位 `properties.QueryName` 對應至 UDM。
properties.QueryType	network.dns.questions.type	使用查閱表對應 DNS 記錄類型，將原始記錄欄位 `properties.QueryType` 對應至 UDM。
properties.RequestSize	network.sent_bytes	將原始記錄檔欄位 `properties.RequestSize` 對應至 UDM。
properties.ResponseCode	network.dns.response_code	使用查閱表對應 DNS 回應碼，將原始記錄欄位 `properties.ResponseCode` 對應至 UDM。
properties.ResponseFlags	additional.fields.value.string_value	將原始記錄檔欄位 `properties.ResponseFlags` 對應至 UDM。
properties.ResponseSize	network.received_bytes	將原始記錄檔欄位 `properties.ResponseSize` 對應至 UDM。
properties.Rule	security_result.rule_name	將原始記錄檔欄位 `properties.Rule` 對應至 UDM。
properties.RuleCollection	security_result.detection_fields.value	將原始記錄檔欄位 `properties.RuleCollection` 對應至 UDM。
properties.RuleCollectionGroup	security_result.detection_fields.value	將原始記錄檔欄位 `properties.RuleCollectionGroup` 對應至 UDM。
properties.SourceIp	principal.ip	將原始記錄檔欄位 `properties.SourceIp` 對應至 UDM。
properties.SourcePort	principal.port	將原始記錄檔欄位 `properties.SourcePort` 對應至 UDM。
properties.msg	security_result.description	從原始記錄檔欄位 `properties.msg` 中擷取其他欄位後，將該欄位對應至 UDM。
records.category	security_result.rule_type	將原始記錄檔欄位 `records.category` 對應至 UDM。
records.operationName	metadata.product_event_type	將原始記錄檔欄位 `records.operationName` 對應至 UDM。
records.properties.msg		這個欄位用於使用 Grok 模式擷取多個欄位，且不會直接對應至 UDM。
records.resourceId	metadata.product_log_id	將原始記錄檔欄位 `records.resourceId` 對應至 UDM。
resourceId	metadata.product_log_id	將原始記錄檔欄位 `resourceId` 對應至 UDM。
時間	metadata.event_timestamp	將原始記錄檔欄位 `time` 轉換為 UDM 格式。
	metadata.vendor_name	剖析器會在這個欄位填入 `Microsoft Inc.` 值。
	metadata.product_name	剖析器會在這個欄位填入 `Azure Firewall Application Rule` 值。
	metadata.log_type	剖析器會在這個欄位填入 `AZURE_FIREWALL` 值。
	additional.fields.key	剖析器會在這個欄位中填入額外欄位的鍵。
	security_result.detection_fields.key	剖析器會在這個欄位中填入偵測欄位的鍵。
	network.application_protocol	剖析器會為 DNS 記錄填入 `DNS` 值。
	metadata.event_type	剖析器會根據記錄訊息填入這個欄位。可以是 `NETWORK_CONNECTION`、`GENERIC_EVENT`、`STATUS_UPDATE` 或 `NETWORK_DNS`。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。