Recoger registros de registro de Microsoft Azure Key Vault

Disponible en:

En este documento se describe cómo puede recoger los registros de Azure Key Vault configurando un feed de Google Security Operations.

Para obtener más información, consulta Ingestión de datos en Google SecOps.

Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de ingestión AZURE_KEYVAULT_AUDI.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Suscripción de Azure en la que puedes iniciar sesión
  • Entorno de Azure Key Vault (inquilino) en Azure
  • Rol Administrador global o Administrador de Azure Key Vault
  • Cuenta de almacenamiento de Azure para almacenar los registros

Configurar una cuenta de almacenamiento

  1. Inicia sesión en el portal de Azure.
  2. En la consola de Azure, busca Cuentas de almacenamiento.

  3. Seleccione la cuenta de almacenamiento de la que se deben extraer los registros y, a continuación, seleccione Clave de acceso. Para crear una cuenta de almacenamiento, sigue estos pasos:

    1. Haz clic en Crear.
    2. Escribe un nombre para la nueva cuenta de almacenamiento.

    3. Selecciona la suscripción, el grupo de recursos, la región, el rendimiento y la redundancia de la cuenta. Te recomendamos que definas el rendimiento como estándar y la redundancia como GRS o LRS.

    4. Haz clic en Revisar y crear.

    5. Revisa el resumen de la cuenta y haz clic en Crear.

  4. Haz clic en Mostrar claves y anota la clave compartida de la cuenta de almacenamiento.

  5. Selecciona Endpoints (Endpoints) y anota el endpoint Blob service (Servicio Blob).

    Para obtener más información sobre cómo crear una cuenta de almacenamiento, consulta la sección Crear una cuenta de almacenamiento de Azure de la documentación de Microsoft.

Configurar el registro de Azure Key Vault

  1. En el portal de Azure, vaya a Key vaults (Almacenes de claves) y seleccione el almacén de claves que quiera configurar para el registro.
  2. En la sección Monitorización, selecciona Configuración de diagnóstico.
  3. Selecciona Añadir ajuste de diagnóstico. En la ventana Configuración de diagnóstico se encuentran los ajustes de los registros de diagnóstico.
  4. En el campo Nombre de la configuración de diagnóstico, especifica el nombre de la configuración de diagnóstico.
  5. En la sección Grupos de categorías, marque la casilla Auditoría.

  6. En el campo Conservación (días), especifica un valor de conservación de registros que cumpla las políticas de tu organización. Google SecOps recomienda conservar los registros durante al menos un día.

    Puede almacenar los registros de registro de Azure Key Vault en una cuenta de almacenamiento o transmitir los registros a Event Hubs. Google SecOps admite la recogida de registros mediante una cuenta de almacenamiento.

Archivar en una cuenta de almacenamiento

  1. Para almacenar los registros en una cuenta de almacenamiento, en la ventana Configuración de diagnóstico, selecciona la casilla Archivar en una cuenta de almacenamiento.
  2. En la lista Suscripción, selecciona la suscripción que ya tengas.
  3. En la lista Cuenta de almacenamiento, seleccione la cuenta de almacenamiento que ya tenga.

Configurar feeds

Hay dos puntos de entrada diferentes para configurar feeds en la plataforma Google SecOps:

  • Configuración de SIEM > Feeds > Añadir nuevo feed
  • Centro de contenido > Paquetes de contenido > Empezar

Cómo configurar el feed de registro de Azure Key Vault

  1. Haz clic en el paquete Plataforma de Azure.
  2. Busca el tipo de registro Registro de Azure Key Vault y haz clic en Añadir nuevo feed.

  3. Especifique los valores de los siguientes campos:

    • Tipo de origen: Microsoft Azure Blob Storage V2.
    • URI de Azure: especifica el endpoint del servicio Blob que has obtenido anteriormente junto con uno de los nombres de contenedor de esa cuenta de almacenamiento. Por ejemplo, https://xyz.blob.core.windows.net/abc/.
    • Opción de eliminación de la fuente: especifica la opción de eliminación de la fuente.
    • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es 180 días.
    • Clave: especifica la clave compartida que has obtenido anteriormente.

    Opciones avanzadas

    • Nombre del feed: un valor rellenado automáticamente que identifica el feed.
    • Espacio de nombres del recurso: espacio de nombres asociado al feed.
    • Etiquetas de ingestión: etiquetas aplicadas a todos los eventos de este feed.

  4. Haga clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros en esta familia de productos, consulta el artículo Configurar feeds por producto.

Para obtener más información sobre los feeds de Google SecOps, consulta la documentación de los feeds de Google SecOps.

Para obtener información sobre los requisitos de cada tipo de feed, consulta el artículo Configuración de feeds por tipo.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.