Collecter les journaux de journalisation Microsoft Azure Key Vault

Compatible avec :

Ce document explique comment collecter les journaux Azure Key Vault en configurant un flux Google Security Operations.

Pour en savoir plus, consultez Ingérer des données dans Google SecOps.

Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion AZURE_KEYVAULT_AUDI.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Abonnement Azure auquel vous pouvez vous connecter
  • Environnement (locataire) Azure Key Vault dans Azure
  • Rôle d'administrateur global ou d'administrateur Azure Key Vault
  • Compte de stockage Azure pour stocker les journaux

Configurer un compte de stockage

  1. Connectez-vous au portail Azure.
  2. Dans la console Azure, recherchez Comptes de stockage.

  3. Sélectionnez le compte de stockage à partir duquel les journaux doivent être extraits, puis sélectionnez Clé d'accès. Pour créer un compte de stockage :

    1. Cliquez sur Create (Créer).
    2. Saisissez un nom pour le nouveau compte de stockage.

    3. Sélectionnez l'abonnement, le groupe de ressources, la région, les performances et la redondance pour le compte. Nous vous recommandons de définir les performances sur standard et la redondance sur GRS ou LRS.

    4. Cliquez sur Examiner et créer.

    5. Consultez l'aperçu du compte, puis cliquez sur Créer.

  4. Cliquez sur Afficher les clés et notez la clé partagée du compte de stockage.

  5. Sélectionnez Points de terminaison et notez le point de terminaison Service Blob.

    Pour en savoir plus sur la création d'un compte de stockage, consultez la section Créer un compte de stockage Azure de la documentation Microsoft.

Configurer la journalisation Azure Key Vault

  1. Dans le portail Azure, accédez à Key vaults (Coffres de clés), puis sélectionnez le coffre de clés que vous souhaitez configurer pour la journalisation.
  2. Dans la section Surveillance, sélectionnez Paramètres de diagnostic.
  3. Sélectionnez Ajouter un paramètre de diagnostic. La fenêtre Paramètres de diagnostic fournit les paramètres des journaux de diagnostic.
  4. Dans le champ Nom du paramètre de diagnostic, spécifiez le nom du paramètre de diagnostic.
  5. Dans la section Groupes de catégories, cochez la case audit.

  6. Dans le champ Conservation (jours), spécifiez une valeur de conservation des journaux conforme aux règles de votre organisation. L'équipe Google SecOps recommande une durée de conservation des journaux d'au moins un jour.

    Vous pouvez stocker les journaux de journalisation Azure Key Vault dans un compte de stockage ou les diffuser en continu vers Event Hubs. Google SecOps permet de collecter des journaux à l'aide d'un compte de stockage.

Archiver dans un compte de stockage

  1. Pour stocker les journaux dans un compte de stockage, cochez la case Archiver dans un compte de stockage dans la fenêtre Paramètres de diagnostic.
  2. Dans la liste Abonnement, sélectionnez l'abonnement existant.
  3. Dans la liste Compte de stockage, sélectionnez le compte de stockage existant.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

  • Paramètres SIEM> Flux > Ajouter un flux
  • Plate-forme de contenu> Packs de contenu> Premiers pas

Configurer le flux de journaux Azure Key Vault

  1. Cliquez sur le pack Plate-forme Azure.
  2. Recherchez le type de journal Journalisation Azure Key Vault, puis cliquez sur Ajouter un flux.

  3. Indiquez les valeurs des champs suivants :

    • Type de source : Microsoft Azure Blob Storage V2.
    • URI Azure : spécifiez le point de terminaison Blob Service que vous avez obtenu précédemment, ainsi que l'un des noms de conteneur de ce compte de stockage. Par exemple, https://xyz.blob.core.windows.net/abc/.
    • Option de suppression de la source : spécifiez l'option de suppression de la source.
    • Âge maximal du fichier : inclut les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
    • Clé : spécifiez la clé partagée que vous avez obtenue précédemment.

    Options avancées

    • Nom du flux : valeur préremplie qui identifie le flux.
    • Espace de noms de l'élément : espace de noms associé au flux.
    • Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

  4. Cliquez sur Créer un flux.

Pour en savoir plus sur la configuration de plusieurs flux pour différents types de journaux dans cette famille de produits, consultez Configurer des flux par produit.

Pour en savoir plus sur les flux Google SecOps, consultez la documentation sur les flux Google SecOps.

Pour en savoir plus sur les exigences associées à chaque type de flux, consultez Configuration des flux par type.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.