收集 Microsoft Azure Key Vault 記錄記錄

本文說明如何設定 Google Security Operations 資訊提供，以收集 Azure Key Vault 記錄檔。

詳情請參閱「將資料擷取至 Google SecOps」。

擷取標籤會識別剖析器，該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文件中的資訊適用於具有 AZURE_KEYVAULT_AUDI 攝入標籤的剖析器。

事前準備

請確認您已完成下列事前準備事項：

• 可登入的 Azure 訂用帳戶
• Azure 中的 Azure Key Vault 環境 (租用戶)
• 全域管理員或 Azure Key Vault 管理員角色
• 用於儲存記錄的 Azure 儲存體帳戶

設定儲存空間帳戶

1. 登入 Azure 入口網站。
2. 在 Azure 控制台中，搜尋「Storage accounts」(儲存體帳戶)。

3. 選取要從中提取記錄的儲存空間帳戶，然後選取「存取金鑰」。如要建立新的儲存空間帳戶，請按照下列步驟操作：

   1. 按一下 [Create]。
   2. 輸入新儲存空間帳戶的名稱。

   3. 選取帳戶的訂閱項目、資源群組、區域、效能和備援。建議將效能設為「標準」，並將備援設為「GRS」或「LRS」。

   4. 按一下「Review + create」。

   5. 查看帳戶總覽，然後按一下「建立」。

4. 按一下「顯示金鑰」，並記下儲存空間帳戶的共用金鑰。

5. 選取「Endpoints」，並記下「Blob service」端點。

   如要進一步瞭解如何建立儲存空間帳戶，請參閱 Microsoft 說明文件中的「建立 Azure 儲存空間帳戶」一節。

設定 Azure Key Vault 記錄

1. 在 Azure 入口網站中，前往「金鑰保存庫」，然後選取要設定記錄的金鑰保存庫。
2. 在「監控」部分中，選取「診斷設定」。
3. 選取「新增診斷設定」。「診斷設定」視窗提供診斷記錄的設定。
4. 在「診斷設定名稱」欄位中，指定診斷設定的名稱。
5. 在「類別群組」部分，選取「稽核」核取方塊。

6. 在「保留 (天數)」欄位中，指定符合貴機構政策的記錄保留值。 Google SecOps 建議至少保留一天的記錄。

   您可以將 Azure Key Vault 記錄檔儲存在儲存體帳戶中，或將記錄檔串流至事件中樞。Google SecOps 支援使用儲存空間帳戶收集記錄。

封存至儲存空間帳戶

1. 如要在儲存空間帳戶中儲存記錄，請在「診斷設定」視窗中，選取「封存至儲存空間帳戶」核取方塊。
2. 在「訂閱」清單中，選取現有訂閱方案。
3. 在「Storage account」(儲存空間帳戶) 清單中，選取現有儲存空間帳戶。

設定動態饋給

在 Google SecOps 平台中，有兩種不同的進入點可設定動態饋給：

• 依序點選「SIEM 設定」>「動態饋給」>「新增」
• 依序點選「內容中心」「內容包」「開始使用」

如何設定 Azure Key Vault 記錄動態饋給

1. 按一下「Azure Platform」套件。
2. 找出「Azure Key Vault logging」(Azure Key Vault 記錄) 記錄類型，然後按一下「Add new feed」(新增動態消息)。

3. 為下列欄位指定值：

   • 來源類型：Microsoft Azure Blob 儲存體 V2。
   • Azure URI：指定先前取得的 Blob 服務端點，以及該儲存體帳戶的其中一個容器名稱。例如：https://xyz.blob.core.windows.net/abc/。
   • 來源刪除選項：指定來源刪除選項。
   • 檔案存在時間上限：包含在過去天數內修改的檔案。 預設值為 180 天。
   • 金鑰：指定先前取得的共用金鑰。

   進階選項

   • 動態饋給名稱：系統預先填入的值，用於識別動態饋給。
   • 資產命名空間：與動態饋給相關聯的命名空間。
   • 擷取標籤：套用至這個動態饋給所有事件的標籤。

4. 點選「建立動態饋給」。

如要進一步瞭解如何為這個產品系列中的不同記錄類型設定多個動態饋給，請參閱「依產品設定動態饋給」。

如要進一步瞭解 Google SecOps 動態消息，請參閱 Google SecOps 動態消息說明文件。

如要瞭解各類動態饋給的規定，請參閱「依類型設定動態饋給」。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。