Recopila registros de la VPN de Azure

Compatible con:

En esta guía, se explica cómo exportar registros de VPN de Azure a Google Security Operations con una cuenta de almacenamiento de Azure. El analizador extrae campos de los registros de la VPN de Azure con formato JSON y, luego, usa patrones de Grok para extraer más detalles del campo properties.message. Por último, asigna la información extraída a los campos estandarizados del modelo de datos unificados (UDM).

Antes de comenzar

  • Asegúrate de tener una instancia de Google SecOps.
  • Asegúrate de tener un inquilino de Azure activo.
  • Asegúrate de tener acceso con privilegios a Azure.

Configura la cuenta de Azure Storage

  1. En la consola de Azure, busca Cuentas de almacenamiento.
  2. Haz clic en + Crear.
  3. Especifica valores para los siguientes parámetros de entrada:
    • Subscription: Selecciona la suscripción.
    • Grupo de recursos: Selecciona el grupo de recursos.
    • Región: Selecciona la región.
    • Rendimiento: Selecciona el rendimiento (se recomienda Estándar).
    • Redundancia: Selecciona la redundancia (se recomienda GRS o LRS).
    • Nombre de la cuenta de almacenamiento: Ingresa un nombre para la cuenta de almacenamiento nueva.
  4. Haz clic en Revisar + crear.
  5. Revisa la descripción general de la cuenta y haz clic en Crear.
  6. En la página Descripción general de la cuenta de almacenamiento, selecciona el submenú Llaves de acceso en Seguridad y herramientas de redes.
  7. Haz clic en Mostrar junto a clave1 o clave2.
  8. Haz clic en Copiar en el portapapeles para copiar la clave.
  9. Guarda la clave en una ubicación segura para usarla más adelante.
  10. En la página Descripción general de la cuenta de almacenamiento, selecciona el submenú Puntos finales en Configuración.
  11. Haz clic en Copiar en el portapapeles para copiar la URL del extremo del servicio de Blob (por ejemplo, https://<storageaccountname>.blob.core.windows.net).
  12. Guarda la URL del extremo en una ubicación segura para usarla más adelante.

Configura la exportación de registros para los registros de la puerta de enlace de VPN de Azure

  1. Accede al portal de Azure con tu cuenta con privilegios.
  2. Selecciona la Suscripción que se supervisa.
  3. En la lista de recursos de esa suscripción, busca la puerta de enlace de VPN (por lo general, debe tener el tipo de recurso Puerta de enlace de red virtual).
  4. Haz clic en la puerta de enlace.
  5. Selecciona Supervisión > Servicios de diagnóstico.
  6. Haz clic en + Agregar parámetro de configuración de diagnóstico.
    • Ingresa un nombre descriptivo para el parámetro de configuración de diagnóstico.
  7. Selecciona allLogs.
  8. Selecciona la casilla de verificación Archivar en una cuenta de almacenamiento como destino.
    • Especifica la Suscripción y la Cuenta de almacenamiento.
  9. Haz clic en Guardar.

Configura un feed en Google SecOps para transferir los registros de la VPN de Azure

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de VPN de Azure).
  4. Selecciona Microsoft Azure Blob Storage como el Tipo de fuente.
  5. Selecciona Azure VPN como el Tipo de registro.
  6. Haz clic en Siguiente.

  7. Especifica valores para los siguientes parámetros de entrada:

    • URI de Azure: Es la URL del extremo de blob.
      • ENDPOINT_URL/BLOB_NAME
        • Reemplaza lo siguiente:
        • ENDPOINT_URL: La URL del extremo de blob (https://<storageaccountname>.blob.core.windows.net)
        • BLOB_NAME: Es el nombre del blob (como <logname>-logs).
    • URI is a: Selecciona el TIPO DE URI según la configuración del flujo de registro (Archivo único | Directorio | Directorio que incluye subdirectorios).

    • Opciones de eliminación de fuentes: Selecciona la opción de eliminación según tu preferencia.

    • Clave compartida: Es la clave de acceso a Azure Blob Storage.

    • Espacio de nombres de recursos: Es el espacio de nombres de recursos.

    • Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.

  8. Haz clic en Siguiente.

  9. Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
category security_result.category_details Se asigna directamente desde el campo category en el registro sin formato.
IV_PLAT security_result.detection_fields.value Se asigna directamente desde el campo IV_PLAT en el registro sin formato. Es parte de un par clave-valor dentro del array detection_fields, en el que la clave es IV_PLAT.
IV_PLAT_VER security_result.detection_fields.value Se asigna directamente desde el campo IV_PLAT_VER en el registro sin formato. Es parte de un par clave-valor dentro del array detection_fields, en el que la clave es IV_PLAT_VER.
IV_PROTO security_result.detection_fields.value Se asigna directamente desde el campo IV_PROTO en el registro sin formato. Es parte de un par clave-valor dentro del array detection_fields, en el que la clave es IV_PROTO.
IV_VER security_result.detection_fields.value Se asigna directamente desde el campo IV_VER en el registro sin formato. Es parte de un par clave-valor dentro del array detection_fields, en el que la clave es IV_VER.
level security_result.severity Se asigna desde el campo level en el registro sin procesar. Si level es Informational, severity se establece en INFORMATIONAL.
local_ip target.ip Se extrae del campo properties.message con patrones de grok y se asigna a la dirección IP de destino.
local_port target.port Se extraen del campo properties.message con patrones de grok y se asignan al número de puerto de destino. Se convirtió en un tipo de número entero.
operationName metadata.product_event_type Se asigna directamente desde el campo operationName en el registro sin formato.
properties.message metadata.description Se extraen del campo properties.message con patrones de grok. Según el formato del mensaje, la descripción puede incluir detalles adicionales extraídos del campo desc2.
remote_ip principal.ip Se extraen del campo properties.message con patrones de grok y se asignan a la dirección IP principal.
remote_port principal.port Se extraen del campo properties.message con patrones de Grok y se asignan al número de puerto principal. Se convirtió en un tipo de número entero.
resourceid target.resource.product_object_id Se asigna directamente desde el campo resourceid en el registro sin formato.
hora timestamp, metadata.event_timestamp Se analiza a partir del campo time en el registro sin procesar con el formato RFC 3339 y se asigna a la marca de tiempo del evento y a la marca de tiempo de la AUA.
metadata.log_type Se codifica en AZURE_VPN.
metadata.vendor_name Se codifica en AZURE.
metadata.product_name Se codifica en VPN.
metadata.event_type Se establece de forma dinámica según la presencia de direcciones IP. Si remote_ip y local_ip están presentes, se establece en NETWORK_CONNECTION; de lo contrario, en USER_RESOURCE_ACCESS.
extensions.auth.type Se codifica en VPN.

Cambios

2023-03-07

  • Sin embargo, el analizador se creó recientemente.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.