Coletar registros da VPN do Azure

Compatível com:

Este guia explica como exportar registros de VPN do Azure para o Google Security Operations usando uma conta de armazenamento do Azure. O analisador extrai campos de registros da VPN do Azure formatados em JSON e usa padrões Grok para extrair mais detalhes do campo properties.message. Por fim, ele mapeia as informações extraídas para os campos padronizados do modelo de dados unificado (UDM).

Antes de começar

  • Verifique se você tem uma instância do Google SecOps.
  • Verifique se você tem um locatário do Azure ativo.
  • Verifique se você tem acesso privilegiado ao Azure.

Configurar a conta de armazenamento do Azure

  1. No console do Azure, pesquise Contas de armazenamento.
  2. Clique em Criar.
  3. Especifique valores para os seguintes parâmetros de entrada:
    • Assinatura: selecione a assinatura.
    • Grupo de recursos: selecione o grupo de recursos.
    • Região: selecione a região.
    • Performance: selecione a performance (padrão recomendado).
    • Redundância: selecione a redundância (GRS ou LRS recomendado).
    • Nome da conta de armazenamento: insira um nome para a nova conta de armazenamento.
  4. Clique em Revisar + criar.
  5. Leia a visão geral da conta e clique em Criar.
  6. Na página Visão geral da conta de armazenamento, selecione o submenu Chaves de acesso em Segurança e rede.
  7. Clique em Mostrar ao lado de chave1 ou chave2.
  8. Clique em Copiar para a área de transferência para copiar a chave.
  9. Salve a chave em um local seguro para uso futuro.
  10. Na página Visão geral da conta de armazenamento, selecione o submenu Endpoints em Configurações.
  11. Clique em Copiar para a área de transferência para copiar o URL do endpoint do serviço Blob (por exemplo, https://<storageaccountname>.blob.core.windows.net).
  12. Salve o URL do endpoint em um local seguro para uso futuro.

Configurar a exportação de registros para os logs do gateway da VPN do Azure

  1. Faça login no portal do Azure usando sua conta privilegiada.
  2. Selecione a assinatura que está sendo monitorada.
  3. Na lista de recursos dessa assinatura, localize o gateway da VPN (geralmente, ele é do tipo "Recurso", "Gateway de rede virtual").
  4. Clique no gateway.
  5. Selecione Monitoramento > Serviços de diagnóstico.
  6. Clique em + Adicionar configuração de diagnóstico.
    • Digite um nome descritivo para a configuração de diagnóstico.
  7. Selecione allLogs.
  8. Selecione a caixa de seleção Arquivar em uma conta de armazenamento como destino.
    • Especifique a assinatura e a conta de armazenamento.
  9. Clique em Salvar.

Configurar um feed no Google SecOps para processar os registros do Azure VPN

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed (por exemplo, Logs da VPN do Azure).
  4. Selecione Microsoft Azure Blob Storage como o Tipo de origem.
  5. Selecione Azure VPN como o Tipo de registro.
  6. Clique em Próxima.

  7. Especifique valores para os seguintes parâmetros de entrada:

    • URI do Azure: o URL do endpoint do blob.
      • ENDPOINT_URL/BLOB_NAME
        • Substitua:
        • ENDPOINT_URL: o URL do endpoint do blob (https://<storageaccountname>.blob.core.windows.net)
        • BLOB_NAME: o nome do blob (por exemplo, <logname>-logs)
    • URI é um: selecione o TIPO DE URI de acordo com a configuração do fluxo de registros (Arquivo único | Diretório | Diretório que inclui subdiretórios).

    • Opções de exclusão da origem: selecione a opção de exclusão de acordo com sua preferência.

    • Chave compartilhada: a chave de acesso ao Armazenamento de blobs do Azure.

    • Namespace de recursos: o namespace de recursos.

    • Rótulos de ingestão: o rótulo a ser aplicado aos eventos desse feed.

  8. Clique em Próxima.

  9. Revise a configuração do novo feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
categoria security_result.category_details Mapeado diretamente do campo category no registro bruto.
IV_PLAT security_result.detection_fields.value Mapeado diretamente do campo IV_PLAT no registro bruto. Parte de um par de chave-valor na matriz detection_fields, em que a chave é IV_PLAT.
IV_PLAT_VER security_result.detection_fields.value Mapeado diretamente do campo IV_PLAT_VER no registro bruto. Parte de um par de chave-valor na matriz detection_fields, em que a chave é IV_PLAT_VER.
IV_PROTO security_result.detection_fields.value Mapeado diretamente do campo IV_PROTO no registro bruto. Parte de um par de chave-valor na matriz detection_fields, em que a chave é IV_PROTO.
IV_VER security_result.detection_fields.value Mapeado diretamente do campo IV_VER no registro bruto. Parte de um par de chave-valor na matriz detection_fields, em que a chave é IV_VER.
level security_result.severity Mapeado do campo level no registro bruto. Se level for Informational, severity será definido como INFORMATIONAL.
local_ip target.ip Extraídos do campo properties.message usando padrões grok e mapeados para o endereço IP de destino.
local_port target.port Extraídos do campo properties.message usando padrões grok e mapeados para o número da porta de destino. Convertido para o tipo de número inteiro.
operationName metadata.product_event_type Mapeado diretamente do campo operationName no registro bruto.
properties.message metadata.description Extraídos do campo properties.message usando padrões grok. Dependendo do formato da mensagem, a descrição pode incluir outros detalhes extraídos do campo desc2.
remote_ip principal.ip Extraídos do campo properties.message usando padrões grok e mapeados para o endereço IP principal.
remote_port principal.port Extraídos do campo properties.message usando padrões grok e mapeados para o número da porta principal. Convertido para o tipo de número inteiro.
resourceid target.resource.product_object_id Mapeado diretamente do campo resourceid no registro bruto.
tempo carimbo de data/hora, metadata.event_timestamp Analisado do campo time no registro bruto usando o formato RFC 3339 e mapeado para o carimbo de data/hora do evento e o da UDM.
metadata.log_type Fixado em AZURE_VPN.
metadata.vendor_name Fixado em AZURE.
metadata.product_name Fixado em VPN.
metadata.event_type É definido dinamicamente com base na presença de endereços IP. Se remote_ip e local_ip estiverem presentes, o valor será NETWORK_CONNECTION. Caso contrário, será USER_RESOURCE_ACCESS.
extensions.auth.type Fixado em VPN.

Alterações

2023-03-07

  • Parser recém-criado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.