Azure-VPN-Protokolle erfassen

Unterstützt in:

In diesem Leitfaden wird beschrieben, wie Sie Azure-VPN-Logs mithilfe eines Azure-Speicherkontos in Google Security Operations exportieren. Der Parser extrahiert Felder aus JSON-formatierten Azure-VPN-Logs und verwendet dann Grok-Muster, um weitere Details aus dem Feld properties.message zu extrahieren. Schließlich werden die extrahierten Informationen den standardisierten Feldern des Unified Data Model (UDM) zugeordnet.

Hinweise

  • Sie benötigen eine Google SecOps-Instanz.
  • Sie benötigen einen aktiven Azure-Mandanten.
  • Sie benötigen Berechtigungen für den Zugriff auf Azure.

Azure-Speicherkonto konfigurieren

  1. Suchen Sie in der Azure-Konsole nach Speicherkonten.
  2. Klicken Sie auf + Erstellen.
  3. Geben Sie Werte für die folgenden Eingabeparameter an:
    • Abo: Wählen Sie das Abo aus.
    • Ressourcengruppe: Wählen Sie die Ressourcengruppe aus.
    • Region: Wählen Sie die Region aus.
    • Leistung: Wählen Sie die Leistung aus. Wir empfehlen „Standard“.
    • Redundanz: Wählen Sie die Redundanz aus (GRS oder LRS empfohlen).
    • Speicherkontoname: Geben Sie einen Namen für das neue Speicherkonto ein.
  4. Klicken Sie auf Überprüfen + Erstellen.
  5. Sehen Sie sich die Übersicht des Kontos an und klicken Sie auf Erstellen.
  6. Wählen Sie auf der Seite Speicherkontoübersicht unter Sicherheit & Netzwerk das Untermenü Zugriffsschlüssel aus.
  7. Klicken Sie neben Schlüssel 1 oder Schlüssel 2 auf Anzeigen.
  8. Klicke auf In die Zwischenablage kopieren, um den Schlüssel zu kopieren.
  9. Speichern Sie den Schlüssel an einem sicheren Ort, um ihn später zu verwenden.
  10. Wählen Sie auf der Seite Speicherkontoübersicht unter Einstellungen das Untermenü Endpunkte aus.
  11. Klicken Sie auf In die Zwischenablage kopieren, um die Endpunkt-URL des Blob-Dienstes (z. B. https://<storageaccountname>.blob.core.windows.net) zu kopieren.
  12. Speichern Sie die Endpunkt-URL an einem sicheren Ort für die spätere Verwendung.

Logexport für Azure-VPN-Gateway-Logs konfigurieren

  1. Melden Sie sich mit Ihrem Konto mit Berechtigungen im Azure-Portal an.
  2. Wählen Sie das Abo aus, das überwacht werden soll.
  3. Suchen Sie in der Ressourcenliste dieses Abos nach dem VPN-Gateway. Dieses sollte normalerweise den Ressourcentyp „Virtuelles Netzwerk-Gateway“ haben.
  4. Klicken Sie auf das Gateway.
  5. Wählen Sie Monitoring > Diagnosedienste aus.
  6. Klicken Sie auf + Diagnoseeinstellung hinzufügen.
    • Geben Sie einen aussagekräftigen Namen für die Diagnoseeinstellung ein.
  7. Wählen Sie allLogs aus.
  8. Wählen Sie das Kästchen In einem Speicherkonto archivieren als Ziel aus.
    • Geben Sie das Abo und das Speicherkonto an.
  9. Klicken Sie auf Speichern.

Feed in Google SecOps für die Aufnahme der Azure-VPN-Logs konfigurieren

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Azure-VPN-Logs.
  4. Wählen Sie Microsoft Azure Blob Storage als Quelltyp aus.
  5. Wählen Sie Azure VPN als Logtyp aus.
  6. Klicken Sie auf Weiter.

  7. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Azure-URI: die Blob-Endpunkt-URL.
      • ENDPOINT_URL/BLOB_NAME
        • Ersetzen Sie Folgendes:
        • ENDPOINT_URL: die Blob-Endpunkt-URL (https://<storageaccountname>.blob.core.windows.net)
        • BLOB_NAME: der Name des Blobs (z. B. <logname>-logs)
    • URI ist: Wählen Sie den URI-TYP gemäß der Logstream-Konfiguration aus (Einzeldatei | Verzeichnis | Verzeichnis mit Unterverzeichnissen).

    • Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus.

    • Freigegebener Schlüssel: Der Zugriffsschlüssel für Azure Blob Storage.

    • Asset-Namespace: der Asset-Namespace.

    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

  8. Klicken Sie auf Weiter.

  9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Kategorie security_result.category_details Direkt aus dem Feld category im Rohprotokoll zugeordnet.
IV_PLAT security_result.detection_fields.value Direkt aus dem Feld IV_PLAT im Rohprotokoll zugeordnet. Teil eines Schlüssel/Wert-Paars im Array „detection_fields“, wobei der Schlüssel IV_PLAT ist.
IV_PLAT_VER security_result.detection_fields.value Direkt aus dem Feld IV_PLAT_VER im Rohprotokoll zugeordnet. Teil eines Schlüssel/Wert-Paars im Array „detection_fields“, wobei der Schlüssel IV_PLAT_VER ist.
IV_PROTO security_result.detection_fields.value Direkt aus dem Feld IV_PROTO im Rohprotokoll zugeordnet. Teil eines Schlüssel/Wert-Paars im Array „detection_fields“, wobei der Schlüssel IV_PROTO ist.
IV_VER security_result.detection_fields.value Direkt aus dem Feld IV_VER im Rohprotokoll zugeordnet. Teil eines Schlüssel/Wert-Paars im Array „detection_fields“, wobei der Schlüssel IV_VER ist.
level security_result.severity Aus dem Feld level im Rohprotokoll zugeordnet. Wenn level = Informational ist, wird severity auf INFORMATIONAL gesetzt.
local_ip target.ip Wird mithilfe von Grok-Mustern aus dem Feld properties.message extrahiert und der Ziel-IP-Adresse zugeordnet.
local_port target.port Wird mithilfe von Grok-Mustern aus dem Feld properties.message extrahiert und der Zielportnummer zugeordnet. In den Ganzzahltyp konvertiert.
operationName metadata.product_event_type Direkt aus dem Feld operationName im Rohprotokoll zugeordnet.
properties.message metadata.description Mithilfe von Grok-Mustern aus dem Feld properties.message extrahiert. Je nach Nachrichtenformat kann die Beschreibung zusätzliche Details aus dem Feld desc2 enthalten.
remote_ip principal.ip Wird mithilfe von Grok-Mustern aus dem Feld properties.message extrahiert und der Haupt-IP-Adresse zugeordnet.
remote_port principal.port Wird mithilfe von Grok-Mustern aus dem Feld properties.message extrahiert und der Hauptportnummer zugeordnet. In den Ganzzahltyp konvertiert.
resourceid target.resource.product_object_id Direkt aus dem Feld resourceid im Rohprotokoll zugeordnet.
Zeit timestamp, metadata.event_timestamp Wird aus dem Feld time im Rohprotokoll im RFC 3339-Format geparst und sowohl dem Ereigniszeitstempel als auch dem UDM-Zeitstempel zugeordnet.
metadata.log_type Hartcodiert auf AZURE_VPN.
metadata.vendor_name Hartcodiert auf AZURE.
metadata.product_name Hartcodiert auf VPN.
metadata.event_type Wird dynamisch basierend auf der Anwesenheit von IP-Adressen festgelegt. Wenn sowohl remote_ip als auch local_ip vorhanden sind, wird NETWORK_CONNECTION festgelegt, andernfalls USER_RESOURCE_ACCESS.
extensions.auth.type Hartcodiert auf VPN.

Änderungen

2023-03-07

  • Neu erstellter Parser.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten