Recolha registos de VPN do Azure

Compatível com:

Este guia explica como exportar registos da VPN do Azure para o Google Security Operations através de uma conta de armazenamento do Azure. O analisador extrai campos dos registos da VPN do Azure formatados em JSON e, em seguida, usa padrões Grok para extrair mais detalhes do campo properties.message. Por último, mapeia as informações extraídas para os campos padronizados do modelo de dados unificado (UDM).

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

  • Instância do Google SecOps
  • Um inquilino do Azure ativo
  • Acesso privilegiado ao Azure

Configure a conta de armazenamento do Azure

  1. Na consola do Azure, pesquise Contas de armazenamento.
  2. Clique em + Criar.
  3. Especifique valores para os seguintes parâmetros de entrada:
    • Subscrição: selecione a subscrição.
    • Grupo de recursos: selecione o grupo de recursos.
    • Região: selecione a região.
    • Desempenho: selecione o desempenho (padrão recomendado).
    • Redundância: selecione a redundância (GRS ou LRS recomendado).
    • Nome da conta de armazenamento: introduza um nome para a nova conta de armazenamento.
  4. Clique em Rever + criar.
  5. Reveja a vista geral da conta e clique em Criar.
  6. Na página Vista geral da conta de armazenamento, selecione o submenu Chaves de acesso em Segurança + rede.
  7. Clique em Mostrar junto a key1 ou key2.
  8. Clique em Copiar para a área de transferência para copiar a chave.
  9. Guarde a chave num local seguro para utilização posterior.
  10. Na página Vista geral da conta de armazenamento, selecione o submenu Pontos finais em Definições.
  11. Clique em Copiar para a área de transferência para copiar o URL do ponto final do serviço Blob; por exemplo, https://<storageaccountname>.blob.core.windows.net.
  12. Guarde o URL do ponto final numa localização segura para utilização posterior.

Como configurar a exportação de registos para registos do gateway de VPN do Azure

  1. Inicie sessão no Portal do Azure com a sua conta privilegiada.
  2. Selecione a subscrição que está a ser monitorizada.
  3. Na lista de recursos dessa subscrição, localize o gateway de VPN (normalmente, deve ser do tipo de recurso Virtual Network Gateway).
  4. Clique no gateway.
  5. Selecione Monitorização > Serviços de diagnóstico.
  6. Clique em + Adicionar definição de diagnóstico.
    • Introduza um nome descritivo para a definição de diagnóstico.
  7. Selecione allLogs.
  8. Selecione a caixa de verificação Arquivar numa conta de armazenamento como destino.
    • Especifique a Subscrição e a Conta de armazenamento.
  9. Clique em Guardar.

Configure feeds

Existem dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:

  • Definições do SIEM > Feeds > Adicionar novo
  • Content Hub > Pacotes de conteúdo > Começar

Como configurar o feed de VPN do Azure

  1. Clique no pacote Plataforma Azure.
  2. Localize o tipo de registo Azure VPN e clique em Adicionar novo feed.

  3. Especifique valores para os seguintes campos:

    • Source Type: Microsoft Azure Blob Storage V2.
    • URI do Azure: o URL do ponto final do blob.
      • ENDPOINT_URL/BLOB_NAME
        • Substitua o seguinte:
          • ENDPOINT_URL: o URL do ponto final do blob (https://<storageaccountname>.blob.core.windows.net)
          • BLOB_NAME: o nome do blob (por exemplo, <logname>-logs)

    • Opções de eliminação de origens: selecione a opção de eliminação de acordo com as suas preferências de carregamento.

    • Idade máxima do ficheiro: inclui ficheiros modificados no último número de dias. A predefinição é 180 dias.

    • Chave partilhada: a chave de acesso ao armazenamento de blobs do Azure.

    Opções avançadas

    • Nome do feed: um valor pré-preenchido que identifica o feed.
    • Espaço de nomes do recurso: espaço de nomes associado ao feed.
    • Etiquetas de carregamento: etiquetas aplicadas a todos os eventos deste feed.

  4. Clique em Criar feed.

Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.

Tabela de mapeamento da UDM

Campo de registo Mapeamento de UDM Lógica
categoria security_result.category_details Mapeado diretamente a partir do campo category no registo não processado.
IV_PLAT security_result.detection_fields.value Mapeado diretamente a partir do campo IV_PLAT no registo não processado. Parte de um par de chave-valor na matriz detection_fields, em que a chave é IV_PLAT.
IV_PLAT_VER security_result.detection_fields.value Mapeado diretamente a partir do campo IV_PLAT_VER no registo não processado. Parte de um par de chave-valor na matriz detection_fields, em que a chave é IV_PLAT_VER.
IV_PROTO security_result.detection_fields.value Mapeado diretamente a partir do campo IV_PROTO no registo não processado. Parte de um par de chave-valor na matriz detection_fields, em que a chave é IV_PROTO.
IV_VER security_result.detection_fields.value Mapeado diretamente a partir do campo IV_VER no registo não processado. Parte de um par de chave-valor na matriz detection_fields, em que a chave é IV_VER.
nível security_result.severity Mapeado a partir do campo level no registo não processado. Se level for Informational, o severity é definido como INFORMATIONAL.
local_ip target.ip Extraído do campo properties.message através de padrões grok e mapeado para o endereço IP de destino.
local_port target.port Extraído do campo properties.message através de padrões grok e mapeado para o número da porta de destino. Convertido para o tipo inteiro.
operationName metadata.product_event_type Mapeado diretamente a partir do campo operationName no registo não processado.
properties.message metadata.description Extraído do campo properties.message através de padrões grok. Consoante o formato da mensagem, a descrição pode incluir detalhes adicionais extraídos do campo desc2.
remote_ip principal.ip Extraído do campo properties.message através de padrões grok e mapeado para o endereço IP principal.
remote_port principal.port Extraído do campo properties.message através de padrões grok e mapeado para o número da porta principal. Convertido para o tipo inteiro.
resourceid target.resource.product_object_id Mapeado diretamente a partir do campo resourceid no registo não processado.
tempo timestamp, metadata.event_timestamp Analisado a partir do campo time no registo não processado através do formato RFC 3339 e mapeado para a data/hora do evento e a data/hora do UDM.
metadata.log_type Codificado para AZURE_VPN.
metadata.vendor_name Codificado para AZURE.
metadata.product_name Codificado para VPN.
metadata.event_type Definido dinamicamente com base na presença de endereços IP. Se remote_ip e local_ip estiverem presentes, é definido como NETWORK_CONNECTION. Caso contrário, é USER_RESOURCE_ACCESS.
extensions.auth.type Codificado para VPN.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.