Microsoft Azure Key Vault-Protokolle erfassen
In diesem Dokument wird beschrieben, wie Sie die Azure Key Vault-Protokolle erfassen, indem Sie einen Google Security Operations-Feed einrichten.
Weitere Informationen finden Sie unter Datenaufnahme in Google SecOps.
Mit einem Datenaufnahmelabel wird der Parser angegeben, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel AZURE_KEYVAULT_AUDI
.
Hinweis
Für die Aufgaben auf dieser Seite benötigen Sie Folgendes:
- Ein Azure-Abo, mit dem Sie sich anmelden können
- Eine Azure Key Vault-Umgebung (Mandant) in Azure
- Die Rolle „Global Administrator“ oder „Azure Key Vault Administrator“
- Ein Azure-Speicherkonto zum Speichern der Protokolle
Speicherkonto konfigurieren
- Melden Sie sich im Azure an.
- Suchen Sie in der Azure-Konsole nach Speicherkonten.
Wählen Sie das Speicherkonto aus, aus dem die Protokolle abgerufen werden müssen, und dann Zugriffsschlüssel. So erstellen Sie ein neues Speicherkonto:
- Klicken Sie auf Erstellen.
- Geben Sie einen Namen für das neue Speicherkonto ein.
Wählen Sie das Abo, die Ressourcengruppe, die Region, die Leistung und die Redundanz für das Konto aus. Wir empfehlen, die Leistung auf Standard und die Redundanz auf GRS oder LRS festzulegen.
Klicken Sie auf Überprüfen + Erstellen.
Sehen Sie sich die Übersicht des Kontos an und klicken Sie auf Erstellen.
Klicken Sie auf Schlüssel anzeigen und notieren Sie sich den freigegebenen Schlüssel für das Speicherkonto.
Wählen Sie Endpunkte aus und notieren Sie sich den Endpunkt des Blob-Dienstes.
Weitere Informationen zum Erstellen eines Speicherkontos finden Sie in der Microsoft-Dokumentation im Abschnitt Azure-Speicherkonto erstellen.
Azure Key Vault-Protokollierung konfigurieren
- Gehen Sie im Azure-Portal zu Key Vaults und wählen Sie den Key Vault aus, den Sie für die Protokollierung konfigurieren möchten.
- Wählen Sie im Bereich Monitoring die Option Diagnoseeinstellungen aus.
- Wählen Sie Diagnoseeinstellung hinzufügen aus. Im Fenster Diagnoseeinstellungen finden Sie die Einstellungen für die Diagnoseprotokolle.
- Geben Sie im Feld Name der Diagnoseeinstellung den Namen für die Diagnoseeinstellung ein.
- Klicken Sie im Bereich Kategoriegruppen das Kästchen Prüfen an.
Geben Sie im Feld Aufbewahrung (Tage) einen Wert für die Aufbewahrung von Protokollen an, der den Richtlinien Ihrer Organisation entspricht. Google SecOps empfiehlt eine Mindestaufbewahrungsdauer von einem Tag.
Sie können die Azure Key Vault-Protokolle in einem Speicherkonto speichern oder sie an Event Hubs streamen. Google SecOps unterstützt die Protokollerhebung über ein Speicherkonto.
In einem Speicherkonto archivieren
- Wenn Sie Protokolle in einem Speicherkonto speichern möchten, klicken Sie im Fenster Diagnoseeinstellungen das Kästchen In einem Speicherkonto archivieren an.
- Wählen Sie in der Liste Abo das vorhandene Abo aus.
- Wählen Sie in der Liste Speicherkonto das vorhandene Speicherkonto aus.
Feed in Google SecOps für die Aufnahme von Azure Key Vault-Protokollen konfigurieren
- Wählen Sie im Google SecOps-Menü Einstellungen > Feeds > Neu hinzufügen aus.
- Geben Sie im Feld Feedname einen eindeutigen Namen für den Feed ein.
- Wählen Sie Microsoft Azure Blob Storage als Quelltyp aus.
- Wählen Sie Azure Key Vault-Protokollierung als Logtyp aus.
- Klicken Sie auf Weiter.
- Konfigurieren Sie die folgenden Eingabeparameter:
- Azure-URI: Geben Sie den zuvor abgerufenen Endpunkt des Blob-Dienstes zusammen mit einem der Containernamen dieses Speicherkontos an. Beispiel:
https://xyz.blob.core.windows.net/abc/
- URI ist ein: Geben Sie die URI-Option an.
- Option zum Löschen der Quelle: Geben Sie die Option zum Löschen der Quelle an.
- Schlüssel: Geben Sie den zuvor abgerufenen gemeinsamen Schlüssel an.
- Azure-URI: Geben Sie den zuvor abgerufenen Endpunkt des Blob-Dienstes zusammen mit einem der Containernamen dieses Speicherkontos an. Beispiel:
- Klicken Sie auf Weiter und dann auf Senden.
Weitere Informationen zu Google SecOps-Feeds finden Sie in der Dokumentation zu Google SecOps-Feeds.
Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ.
Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.