收集 Azure 防火牆記錄

支援的國家/地區:

本文說明如何使用 Azure 儲存空間帳戶,將 Azure 防火牆記錄匯出至 Google Security Operations。剖析器會先嘗試將輸入內容處理為 JSON,並從「記錄」欄位擷取資料。如果「記錄」欄位空白,剖析器就會使用一系列 Grok 模式和條件陳述式,從訊息中擷取相關欄位,處理 Azure 防火牆記錄檔中的不同格式和變化。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • 有效的 Azure 租用戶
  • Azure 特殊存取權

設定 Azure 儲存體帳戶

  1. 在 Azure 控制台中,搜尋「Storage accounts」(儲存體帳戶)
  2. 點選「+ 建立」
  3. 指定下列輸入參數的值:
    • 訂閱:選取訂閱方案。
    • 資源群組:選取資源群組。
    • 區域:選取區域。
    • 成效:選取成效 (建議使用「標準」)。
    • 備援:選取備援 (建議使用 GRS 或 LRS)。
    • 「儲存體帳戶名稱」:輸入新儲存體帳戶的名稱。
  4. 按一下「Review + create」
  5. 查看帳戶總覽,然後按一下「建立」
  6. 在「儲存空間帳戶總覽」頁面中,選取「安全性 + 網路」中的「存取金鑰」子選單。
  7. 按一下「key1」或「key2」旁邊的「顯示」
  8. 按一下「複製到剪貼簿」即可複製金鑰。
  9. 將金鑰妥善儲存於安全的位置,以供日後使用。
  10. 在「儲存空間帳戶總覽」頁面中,選取「設定」中的「端點」子選單。
  11. 按一下「複製到剪貼簿」,複製「Blob 服務」端點網址,例如 https://<storageaccountname>.blob.core.windows.net
  12. 請將端點網址儲存於安全位置,以供日後使用。

如何設定 Azure 防火牆記錄的記錄匯出功能

  1. 使用具備權限的帳戶登入 Azure 入口網站
  2. 前往「Firewalls」(防火牆),然後選取所需防火牆。
  3. 選取「監控」>「診斷服務」
  4. 按一下「+ 新增診斷設定」
    • 輸入診斷設定的描述性名稱。
  5. 選取「allLogs」allLogs
  6. 選取「封存至儲存空間帳戶」核取方塊做為目的地。
    • 指定「訂閱項目」和「儲存空間帳戶」
  7. 按一下 [儲存]

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 依序點選「SIEM 設定」>「動態饋給」>「新增」
  • 依序點選「內容中心」「內容包」「開始使用」

如何設定 Azure 防火牆動態饋給

  1. 按一下「Azure Platform」套件。
  2. 找出 Azure 防火牆記錄類型,然後按一下「新增動態饋給」

  3. 為下列欄位指定值:

    • 來源類型:Microsoft Azure Blob 儲存體 V2。
    • Azure URI:Blob 端點 URL。
      • ENDPOINT_URL/BLOB_NAME
        • 取代下列項目:
          • ENDPOINT_URL:Blob 端點網址 (https://<storageaccountname>.blob.core.windows.net)
          • BLOB_NAME:Blob 的名稱 (例如 <logname>-logs)

    • 來源刪除選項:根據擷取偏好設定選取刪除選項。

    • 檔案存在時間上限:包含在過去天數內修改的檔案。 預設值為 180 天。

    • 共用金鑰:用於存取 Azure 資源的共用金鑰 (以 Base64 編碼的 512 位元隨機字串)。

    進階選項

    • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
    • 資產命名空間與動態饋給相關聯的命名空間
    • 擷取標籤:套用至這個動態饋給所有事件的標籤。

  4. 點選「建立動態饋給」

如要進一步瞭解如何為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。

UDM 對應

記錄欄位 UDM 對應 邏輯
@timestamp metadata.event_timestamp 將原始記錄檔欄位 @timestamp 轉換為 UDM 格式。
category security_result.rule_type 將原始記錄檔欄位 category 對應至 UDM。
operationName metadata.product_event_type 將原始記錄檔欄位 operationName 對應至 UDM。
properties.Action security_result.action 將原始記錄欄位 properties.Action 對應至 UDM,並將 ALLOW 轉換為 ALLOWDENY 轉換為 BLOCK,以及將任何其他值轉換為 UNKNOWN_ACTION
properties.DestinationIp target.ip 將原始記錄檔欄位 properties.DestinationIp 對應至 UDM。
properties.DestinationPort target.port 將原始記錄檔欄位 properties.DestinationPort 對應至 UDM。
properties.DnssecOkBit additional.fields.value.bool_value 將原始記錄檔欄位 properties.DnssecOkBit 對應至 UDM。
properties.EDNS0BufferSize additional.fields.value.number_value 將原始記錄檔欄位 properties.EDNS0BufferSize 對應至 UDM。
properties.ErrorMessage additional.fields.value.string_value 將原始記錄檔欄位 properties.ErrorMessage 對應至 UDM。
properties.ErrorNumber additional.fields.value.number_value 將原始記錄檔欄位 properties.ErrorNumber 對應至 UDM。
properties.Policy security_result.detection_fields.value 將原始記錄檔欄位 properties.Policy 對應至 UDM。
properties.Protocol network.ip_protocol 如果原始記錄欄位不是 HTTPSHTTP,則會將該欄位對應至 UDM。properties.Protocol
properties.Protocol network.application_protocol 如果原始記錄檔欄位 properties.ProtocolHTTPSHTTP,則會對應至 UDM。
properties.QueryClass network.dns.questions.class 使用 DNS 查詢類別的對照表,將原始記錄欄位 properties.QueryClass 對應至 UDM。
properties.QueryId network.dns.id 將原始記錄檔欄位 properties.QueryId 對應至 UDM。
properties.QueryName network.dns.questions.name 將原始記錄檔欄位 properties.QueryName 對應至 UDM。
properties.QueryType network.dns.questions.type 使用查閱表對應 DNS 記錄類型,將原始記錄欄位 properties.QueryType 對應至 UDM。
properties.RequestSize network.sent_bytes 將原始記錄檔欄位 properties.RequestSize 對應至 UDM。
properties.ResponseCode network.dns.response_code 使用查閱表對應 DNS 回應碼,將原始記錄欄位 properties.ResponseCode 對應至 UDM。
properties.ResponseFlags additional.fields.value.string_value 將原始記錄檔欄位 properties.ResponseFlags 對應至 UDM。
properties.ResponseSize network.received_bytes 將原始記錄檔欄位 properties.ResponseSize 對應至 UDM。
properties.Rule security_result.rule_name 將原始記錄檔欄位 properties.Rule 對應至 UDM。
properties.RuleCollection security_result.detection_fields.value 將原始記錄檔欄位 properties.RuleCollection 對應至 UDM。
properties.RuleCollectionGroup security_result.detection_fields.value 將原始記錄檔欄位 properties.RuleCollectionGroup 對應至 UDM。
properties.SourceIp principal.ip 將原始記錄檔欄位 properties.SourceIp 對應至 UDM。
properties.SourcePort principal.port 將原始記錄檔欄位 properties.SourcePort 對應至 UDM。
properties.msg security_result.description 從原始記錄檔欄位 properties.msg 中擷取其他欄位後,將該欄位對應至 UDM。
records.category security_result.rule_type 將原始記錄檔欄位 records.category 對應至 UDM。
records.operationName metadata.product_event_type 將原始記錄檔欄位 records.operationName 對應至 UDM。
records.properties.msg 這個欄位用於使用 Grok 模式擷取多個欄位,且不會直接對應至 UDM。
records.resourceId metadata.product_log_id 將原始記錄檔欄位 records.resourceId 對應至 UDM。
resourceId metadata.product_log_id 將原始記錄檔欄位 resourceId 對應至 UDM。
時間 metadata.event_timestamp 將原始記錄檔欄位 time 轉換為 UDM 格式。
metadata.vendor_name 剖析器會在這個欄位填入 Microsoft Inc. 值。
metadata.product_name 剖析器會在這個欄位填入 Azure Firewall Application Rule 值。
metadata.log_type 剖析器會在這個欄位填入 AZURE_FIREWALL 值。
additional.fields.key 剖析器會在這個欄位中填入額外欄位的鍵。
security_result.detection_fields.key 剖析器會在這個欄位中填入偵測欄位的鍵。
network.application_protocol 剖析器會為 DNS 記錄填入 DNS 值。
metadata.event_type 剖析器會根據記錄訊息填入這個欄位。可以是 NETWORK_CONNECTIONGENERIC_EVENTSTATUS_UPDATENETWORK_DNS

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。