Raccogliere i log di registrazione di Microsoft Azure Key Vault
Questo documento descrive come raccogliere i log di logging di Azure Key Vault configurando un feed di Google Security Operations.
Per saperne di più, consulta Importazione dei dati in Google SecOps.
Un'etichetta di importazione identifica il parser che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione
AZURE_KEYVAULT_AUDI
.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Abbonamento Azure a cui puoi accedere
- Ambiente (tenant) Azure Key Vault in Azure
- Ruolo di amministratore globale o amministratore di Azure Key Vault
- Account di archiviazione di Azure per archiviare i log
Configura un account di archiviazione
- Accedi al portale Azure.
- Nella console Azure, cerca Storage accounts.
Seleziona l'account di archiviazione da cui devono essere estratti i log, quindi seleziona Chiave di accesso. Per creare un nuovo account di archiviazione:
- Fai clic su Crea.
- Inserisci un nome per il nuovo account di archiviazione.
Seleziona l'abbonamento, il gruppo di risorse, la regione, il rendimento e la ridondanza per l'account. Ti consigliamo di impostare il rendimento su standard e la ridondanza su GRS o LRS.
Fai clic su Review + create (Rivedi e crea).
Controlla la panoramica dell'account e fai clic su Crea.
Fai clic su Mostra chiavi e prendi nota della chiave condivisa per l'account di archiviazione.
Seleziona Endpoint e prendi nota dell'endpoint Servizio Blob.
Per saperne di più sulla creazione di un account di archiviazione, consulta la sezione Creare un account di archiviazione Azure nella documentazione di Microsoft.
Configura la registrazione di Azure Key Vault
- Nel portale Azure, vai a Key Vault e seleziona il Key Vault che vuoi configurare per la registrazione.
- Nella sezione Monitoraggio, seleziona Impostazioni di diagnostica.
- Seleziona Aggiungi impostazione di diagnostica. La finestra Impostazioni diagnostica fornisce le impostazioni per i log diagnostici.
- Nel campo Nome impostazione di diagnostica, specifica il nome dell'impostazione di diagnostica.
- Nella sezione Gruppi di categorie, seleziona la casella di controllo Audit.
Nel campo Conservazione (giorni), specifica un valore di conservazione dei log conforme ai criteri della tua organizzazione. Google SecOps consiglia un minimo di un giorno di conservazione dei log.
Puoi archiviare i log di logging di Azure Key Vault in un account di archiviazione o trasmetterli in streaming a Event Hubs. Google SecOps supporta la raccolta dei log utilizzando un account di archiviazione.
Archiviare in un account di archiviazione
- Per archiviare i log nell'account di archiviazione, nella finestra Impostazioni di diagnostica, seleziona la casella di controllo Archivia in un account di archiviazione.
- Nell'elenco Abbonamento, seleziona l'abbonamento esistente.
- Nell'elenco Storage account, seleziona l'account di archiviazione esistente.
Configurare i feed
Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:
- Impostazioni SIEM > Feed > Aggiungi nuovo feed
- Hub dei contenuti > Pacchetti di contenuti > Inizia
Come configurare il feed di logging di Azure Key Vault
- Fai clic sul pacchetto Azure Platform.
- Individua il tipo di log Azure Key Vault logging (Logging di Azure Key Vault) e fai clic su Add new feed (Aggiungi nuovo feed).
Specifica i valori per i seguenti campi:
- Tipo di origine: Microsoft Azure Blob Storage V2.
- URI Azure: specifica l'endpoint del servizio Blob che hai ottenuto in precedenza insieme a uno dei nomi dei container dell'account di archiviazione. Ad esempio:
https://xyz.blob.core.windows.net/abc/
. - Opzione di eliminazione dell'origine: specifica l'opzione di eliminazione dell'origine.
- Età massima del file: include i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
- Chiave: specifica la chiave condivisa che hai ottenuto in precedenza.
Opzioni avanzate
- Nome feed: un valore precompilato che identifica il feed.
- Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
- Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.
Fai clic su Crea feed.
Per ulteriori informazioni sulla configurazione di più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.
Per saperne di più sui feed Google SecOps, consulta la documentazione sui feed Google SecOps.
Per informazioni sui requisiti per ogni tipo di feed, vedi Configurazione dei feed per tipo.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.