Recolha registos de registo do Microsoft Azure Key Vault

Compatível com:

Este documento descreve como pode recolher os registos de registo do Azure Key Vault configurando um feed do Google Security Operations.

Para mais informações, consulte o artigo Ingestão de dados no Google SecOps.

Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento AZURE_KEYVAULT_AUDI.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • Subscrição do Azure na qual pode iniciar sessão
  • Ambiente (inquilino) do Azure Key Vault no Azure
  • Função de administrador global ou administrador do Azure Key Vault
  • Conta de armazenamento do Azure para armazenar os registos

Configure uma conta de armazenamento

  1. Inicie sessão no portal do Azure.
  2. Na consola do Azure, pesquise Contas de armazenamento.

  3. Selecione a conta de armazenamento a partir da qual os registos têm de ser extraídos e, de seguida, selecione Chave de acesso. Para criar uma nova conta de armazenamento, faça o seguinte:

    1. Clique em Criar.
    2. Introduza um nome para a nova conta de armazenamento.

    3. Selecione a subscrição, o grupo de recursos, a região, o desempenho e a redundância da conta. Recomendamos que defina o desempenho como padrão e a redundância como GRS ou LRS.

    4. Clique em Rever + criar.

    5. Reveja a vista geral da conta e clique em Criar.

  4. Clique em Mostrar chaves e tome nota da chave partilhada da conta de armazenamento.

  5. Selecione Pontos finais e tome nota do ponto final do serviço Blob.

    Para mais informações sobre como criar uma conta de armazenamento, consulte a secção Crie uma conta de armazenamento do Azure na documentação da Microsoft.

Configure o registo do Azure Key Vault

  1. No portal do Azure, aceda a Key vaults e selecione o Key vault que quer configurar para o registo.
  2. Na secção Monitorização, selecione Definições de diagnóstico.
  3. Selecione Adicionar definição de diagnóstico. A janela Definições de diagnósticos apresenta as definições dos registos de diagnóstico.
  4. No campo Nome da definição de diagnóstico, especifique o nome da definição de diagnóstico.
  5. Na secção Grupos de categorias, selecione a caixa de verificação auditoria.

  6. No campo Retenção (dias), especifique um valor de retenção de registos em conformidade com as políticas da sua organização. O Google SecOps recomenda um mínimo de um dia de retenção de registos.

    Pode armazenar os registos de registo do Azure Key Vault numa conta de armazenamento ou transmitir os registos para os Hubs de Eventos. O Google SecOps suporta a recolha de registos através de uma conta de armazenamento.

Arquive para uma conta de armazenamento

  1. Para armazenar registos na conta de armazenamento, na janela Definições de diagnóstico, selecione a caixa de verificação Arquivar numa conta de armazenamento.
  2. Na lista Subscrição, selecione a subscrição existente.
  3. Na lista Conta de armazenamento, selecione a conta de armazenamento existente.

Configure feeds

Existem dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:

  • Definições do SIEM > Feeds > Adicionar novo
  • Content Hub > Pacotes de conteúdo > Começar

Como configurar o feed de registo do cofre de chaves do Azure

  1. Clique no pacote Plataforma Azure.
  2. Localize o tipo de registo Registo do Azure Key Vault e clique em Adicionar novo feed.

  3. Especifique valores para os seguintes campos:

    • Tipo de origem: Microsoft Azure Blob Storage V2.
    • URI do Azure: especifique o ponto final do serviço Blob que obteve anteriormente juntamente com um dos nomes dos contentores dessa conta de armazenamento. Por exemplo, https://xyz.blob.core.windows.net/abc/.
    • Opção de eliminação da origem: especifique a opção de eliminação da origem.
    • Idade máxima do ficheiro: inclui ficheiros modificados no último número de dias. A predefinição é 180 dias.
    • Chave: especifique a chave partilhada que obteve anteriormente.

    Opções avançadas

    • Nome do feed: um valor pré-preenchido que identifica o feed.
    • Espaço de nomes do recurso: espaço de nomes associado ao feed.
    • Etiquetas de carregamento: etiquetas aplicadas a todos os eventos deste feed.

  4. Clique em Criar feed.

Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.

Para mais informações sobre os feeds do Google SecOps, consulte a documentação dos feeds do Google SecOps.

Para informações sobre os requisitos de cada tipo de feed, consulte o artigo Configuração do feed por tipo.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.