Mengumpulkan log Azure VPN

Didukung di:

Panduan ini menjelaskan cara mengekspor log Azure VPN ke Google Security Operations menggunakan Akun Penyimpanan Azure. Parser mengekstrak kolom dari log Azure VPN berformat JSON, lalu menggunakan pola Grok untuk mengekstrak detail lebih lanjut dari kolom properties.message. Terakhir, alat ini memetakan informasi yang diekstrak ke kolom standar Unified Data Model (UDM).

Sebelum memulai

  • Pastikan Anda memiliki instance Google Chronicle.
  • Pastikan Anda memiliki tenant Azure yang aktif.
  • Pastikan Anda memiliki akses dengan hak istimewa ke Azure.

Mengonfigurasi Akun Azure Storage

  1. Di konsol Azure, telusuri Storage accounts.
  2. Klik + Create.
  3. Tentukan nilai untuk parameter input berikut:
    • Langganan: pilih langganan.
    • Resource Group: pilih grup resource.
    • Region: pilih region.
    • Performa: pilih performa (Standar direkomendasikan).
    • Redundansi: pilih redundansi (GRS atau LRS direkomendasikan).
    • Nama akun penyimpanan: masukkan nama untuk akun penyimpanan baru.
  4. Klik Review + create.
  5. Tinjau ringkasan akun, lalu klik Buat.
  6. Dari halaman Ringkasan Akun Penyimpanan, pilih submenu Kunci akses di Keamanan + jaringan.
  7. Klik Tampilkan di samping kunci1 atau kunci2
  8. Klik Salin ke papan klip untuk menyalin kunci.
  9. Simpan kunci di lokasi yang aman untuk digunakan nanti.
  10. Dari halaman Ringkasan Akun Penyimpanan, pilih submenu Endpoint di Setelan.
  11. Klik Salin ke papan klip untuk menyalin URL endpoint Layanan blob (misalnya, https://<storageaccountname>.blob.core.windows.net)
  12. Simpan URL endpoint di lokasi yang aman untuk digunakan nanti.

Mengonfigurasi Ekspor Log untuk Log Azure VPN Gateway

  1. Login ke Portal Azure menggunakan akun dengan hak istimewa.
  2. Pilih Langganan yang sedang dipantau.
  3. Dalam daftar resource langganan tersebut, temukan gateway VPN (biasanya ini adalah Jenis Resource, Virtual Network Gateway).
  4. Klik Gateway.
  5. Pilih Monitoring > Diagnostic Services.
  6. Klik + Tambahkan setelan diagnostik.
    • Masukkan nama deskriptif untuk setelan diagnostik.
  7. Pilih allLogs.
  8. Pilih kotak centang Arsipkan ke akun penyimpanan sebagai tujuan.
    • Tentukan Langganan dan Akun Penyimpanan.
  9. Klik Simpan.

Mengonfigurasi feed di Google SecOps untuk menyerap log VPN Azure

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Di kolom Feed name, masukkan nama untuk feed (misalnya, Azure VPN Logs).
  4. Pilih Microsoft Azure Blob Storage sebagai Jenis sumber.
  5. Pilih Azure VPN sebagai Jenis log.
  6. Klik Berikutnya.

  7. Tentukan nilai untuk parameter input berikut:

    • URI Azure: URL endpoint blob.
      • ENDPOINT_URL/BLOB_NAME
        • Ganti kode berikut:
        • ENDPOINT_URL: URL endpoint blob (https://<storageaccountname>.blob.core.windows.net)
        • BLOB_NAME: nama blob (seperti, <logname>-logs)
    • URI adalah: pilih JENIS URI sesuai dengan konfigurasi aliran log (File tunggal | Direktori | Direktori yang menyertakan subdirektori).

    • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.

    • Kunci bersama: kunci akses ke Azure Blob Storage.

    • Namespace aset: namespace aset.

    • Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.

  8. Klik Berikutnya.

  9. Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
kategori security_result.category_details Dipetakan langsung dari kolom category dalam log mentah.
IV_PLAT security_result.detection_fields.value Dipetakan langsung dari kolom IV_PLAT dalam log mentah. Bagian dari pasangan nilai kunci dalam array detection_fields, dengan kunci IV_PLAT.
IV_PLAT_VER security_result.detection_fields.value Dipetakan langsung dari kolom IV_PLAT_VER dalam log mentah. Bagian dari pasangan nilai kunci dalam array detection_fields, dengan kunci IV_PLAT_VER.
IV_PROTO security_result.detection_fields.value Dipetakan langsung dari kolom IV_PROTO dalam log mentah. Bagian dari pasangan nilai kunci dalam array detection_fields, dengan kunci IV_PROTO.
IV_VER security_result.detection_fields.value Dipetakan langsung dari kolom IV_VER dalam log mentah. Bagian dari pasangan nilai kunci dalam array detection_fields, dengan kunci IV_VER.
level security_result.severity Dipetakan dari kolom level dalam log mentah. Jika level adalah Informational, severity akan ditetapkan ke INFORMATIONAL.
local_ip target.ip Diekstrak dari kolom properties.message menggunakan pola grok dan dipetakan ke alamat IP target.
local_port target.port Diekstrak dari kolom properties.message menggunakan pola grok dan dipetakan ke nomor port target. Dikonversi ke jenis bilangan bulat.
operationName metadata.product_event_type Dipetakan langsung dari kolom operationName dalam log mentah.
properties.message metadata.description Diekstrak dari kolom properties.message menggunakan pola grok. Bergantung pada format pesan, deskripsi mungkin menyertakan detail tambahan yang diekstrak dari kolom desc2.
remote_ip principal.ip Diekstrak dari kolom properties.message menggunakan pola grok dan dipetakan ke alamat IP utama.
remote_port principal.port Diekstrak dari kolom properties.message menggunakan pola grok dan dipetakan ke nomor port utama. Dikonversi ke jenis bilangan bulat.
resourceid target.resource.product_object_id Dipetakan langsung dari kolom resourceid dalam log mentah.
waktu stempel waktu, metadata.event_timestamp Diurai dari kolom time dalam log mentah menggunakan format RFC 3339 dan dipetakan ke stempel waktu peristiwa dan stempel waktu UDM.
metadata.log_type Di-hardcode ke AZURE_VPN.
metadata.vendor_name Di-hardcode ke AZURE.
metadata.product_name Di-hardcode ke VPN.
metadata.event_type Ditetapkan secara dinamis berdasarkan keberadaan alamat IP. Jika remote_ip dan local_ip ada, keduanya akan ditetapkan ke NETWORK_CONNECTION, jika tidak, USER_RESOURCE_ACCESS.
extensions.auth.type Di-hardcode ke VPN.

Perubahan

2023-03-07

  • Parser yang baru dibuat.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.