Cómo recopilar registros de registro de Microsoft Azure Key Vault

Compatible con:

En este documento, se describe cómo puedes recopilar los registros de Azure Key Vault configurando un feed de Google Security Operations.

Para obtener más información, consulta Transferencia de datos a Google SecOps.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia AZURE_KEYVAULT_AUDI.

Antes de comenzar

Para completar las tareas de esta página, asegúrate de tener lo siguiente:

  • Una suscripción a Azure a la que puedas acceder
  • Un entorno de Azure Key Vault (inquilino) en Azure
  • Un rol de administrador global o administrador de Azure Key Vault
  • Una cuenta de almacenamiento de Azure para almacenar los registros

Configura una cuenta de almacenamiento

  1. Accede al portal de Azure.
  2. En la consola de Azure, busca Cuentas de almacenamiento.

  3. Selecciona la cuenta de almacenamiento de la que se deben extraer los registros y, luego, selecciona Clave de acceso. Para crear una cuenta de almacenamiento nueva, haz lo siguiente:

    1. Haga clic en Crear.
    2. Ingresa un nombre para la nueva cuenta de almacenamiento.

    3. Selecciona la suscripción, el grupo de recursos, la región, el rendimiento y la redundancia de la cuenta. Te recomendamos que configures el rendimiento como estándar y la redundancia como GRS o LRS.

    4. Haz clic en Revisar + crear.

    5. Revisa la descripción general de la cuenta y haz clic en Crear.

  4. Haz clic en Mostrar claves y toma nota de la clave compartida de la cuenta de almacenamiento.

  5. Selecciona Extremos y toma nota del extremo del servicio de Blob.

    Para obtener más información sobre cómo crear una cuenta de almacenamiento, consulta la sección Crea una cuenta de almacenamiento de Azure en la documentación de Microsoft.

Configura el registro de Azure Key Vault

  1. En el portal de Azure, ve a Claves y selecciona la clave que deseas configurar para el registro.
  2. En la sección Monitoring, selecciona Configuración de diagnóstico.
  3. Selecciona Agregar parámetro de configuración de diagnóstico. La ventana Configuración de diagnóstico proporciona la configuración de los registros de diagnóstico.
  4. En el campo Nombre de la configuración de diagnóstico, especifica el nombre de la configuración de diagnóstico.
  5. En la sección Grupos de categorías, selecciona la casilla de verificación audit.

  6. En el campo Retención (días), especifica un valor de retención de registros que cumpla con las políticas de tu organización. Google SecOps recomienda un mínimo de un día de retención de registros.

    Puedes almacenar los registros de Azure Key Vault en una cuenta de almacenamiento o transmitirlos a Event Hubs. Google SecOps admite la recopilación de registros con una cuenta de almacenamiento.

Cómo archivar en una cuenta de almacenamiento

  1. Para almacenar registros en la cuenta de almacenamiento, en la ventana Configuración de diagnóstico, selecciona la casilla de verificación Archivar en una cuenta de almacenamiento.
  2. En la lista Subscription, selecciona la suscripción existente.
  3. En la lista Cuenta de almacenamiento, selecciona la cuenta de almacenamiento existente.

Configura un feed en Google SecOps para transferir registros de registro de Azure Key Vault

  1. En el menú de Google SecOps, selecciona Configuración > Feeds > Agregar uno nuevo.
  2. En el campo Nombre del feed, ingresa un nombre único para el feed.
  3. Selecciona Microsoft Azure Blob Storage como el Tipo de fuente.
  4. Selecciona Registro de Azure Key Vault como el Tipo de registro.
  5. Haz clic en Siguiente.
  6. Configura los siguientes parámetros de entrada:
    • URI de Azure: Especifica el extremo del servicio de almacenamiento en búferes que obtuviste anteriormente junto con uno de los nombres de contenedores de esa cuenta de almacenamiento. Por ejemplo, https://xyz.blob.core.windows.net/abc/.
    • URI is a: Especifica la opción de URI.
    • Opción de eliminación de la fuente: Especifica la opción de eliminación de la fuente.
    • Clave: Especifica la clave compartida que obtuviste anteriormente.
  7. Haz clic en Siguiente y, luego, en Enviar.

Para obtener más información sobre los feeds de Google SecOps, consulta la documentación de los feeds de Google SecOps.

Para obtener información sobre los requisitos de cada tipo de feed, consulta Configuración de feeds por tipo.

Si tienes problemas para crear feeds, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.