Collecter les journaux de journalisation Microsoft Azure Key Vault

Compatible avec:

Ce document explique comment collecter les journaux de journalisation Azure Key Vault en configurant un flux Google Security Operations.

Pour en savoir plus, consultez Ingestion de données dans Google SecOps.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion AZURE_KEYVAULT_AUDI.

Avant de commencer

Pour effectuer les tâches de cette page, assurez-vous de disposer des éléments suivants:

  • Un abonnement Azure auquel vous pouvez vous connecter
  • Un environnement Azure Key Vault (locataire) dans Azure
  • Rôle d'administrateur global ou d'administrateur Azure Key Vault
  • Un compte de stockage Azure pour stocker les journaux

Configurer un compte de stockage

  1. Connectez-vous au portail Azure.
  2. Dans la console Azure, recherchez Comptes de stockage.

  3. Sélectionnez le compte de stockage à partir duquel les journaux doivent être extraits, puis sélectionnez Clé d'accès. Pour créer un compte de stockage, procédez comme suit:

    1. Cliquez sur Create (Créer).
    2. Saisissez un nom pour le nouveau compte de stockage.

    3. Sélectionnez l'abonnement, le groupe de ressources, la région, les performances et la redondance du compte. Nous vous recommandons de définir les performances sur standard et la redondance sur GRS ou LRS.

    4. Cliquez sur Examiner et créer.

    5. Consultez la présentation du compte, puis cliquez sur Créer.

  4. Cliquez sur Afficher les clés et notez la clé partagée du compte de stockage.

  5. Sélectionnez Endpoints (Points de terminaison) et notez le point de terminaison du service Blob.

    Pour en savoir plus sur la création d'un compte de stockage, consultez la section Créer un compte de stockage Azure de la documentation Microsoft.

Configurer la journalisation Azure Key Vault

  1. Dans le portail Azure, accédez à Key Vaults (Clés d'accès) et sélectionnez le coffre d'accès que vous souhaitez configurer pour la journalisation.
  2. Dans la section Surveillance, sélectionnez Paramètres de diagnostic.
  3. Sélectionnez Ajouter un paramètre de diagnostic. La fenêtre Paramètres de diagnostic fournit les paramètres des journaux de diagnostic.
  4. Dans le champ Nom du paramètre de diagnostic, spécifiez le nom du paramètre de diagnostic.
  5. Dans la section Groupes de catégories, cochez la case audit.

  6. Dans le champ Conservation (jours), spécifiez une valeur de conservation des journaux conforme aux règles de votre organisation. Google SecOps recommande de conserver les journaux pendant au moins un jour.

    Vous pouvez stocker les journaux de journalisation Azure Key Vault dans un compte de stockage ou les diffuser dans Event Hubs. Google SecOps prend en charge la collecte des journaux à l'aide d'un compte de stockage.

Archiver dans un compte de stockage

  1. Pour stocker les journaux dans un compte de stockage, dans la fenêtre Paramètres de diagnostic, cochez la case Archiver dans un compte de stockage.
  2. Dans la liste Abonnement, sélectionnez l'abonnement existant.
  3. Dans la liste Compte de stockage, sélectionnez le compte de stockage existant.

Configurer un flux dans Google SecOps pour ingérer les journaux de journalisation Azure Key Vault

  1. Dans le menu Google SecOps, sélectionnez Settings > Feeds > Add new (Paramètres > Flux > Ajouter un flux).
  2. Dans le champ Nom du flux, saisissez un nom unique pour le flux.
  3. Sélectionnez Microsoft Azure Blob Storage comme Type de source.
  4. Sélectionnez Journalisation Azure Key Vault comme Type de journal.
  5. Cliquez sur Suivant.
  6. Configurez les paramètres d'entrée suivants :
    • URI Azure: spécifiez le point de terminaison du service Blob que vous avez obtenu précédemment, ainsi que l'un des noms de conteneur de ce compte de stockage. Par exemple, https://xyz.blob.core.windows.net/abc/.
    • Un URI est: spécifiez l'option URI.
    • Option de suppression de la source: spécifiez l'option de suppression de la source.
    • Clé: spécifiez la clé partagée que vous avez obtenue précédemment.
  7. Cliquez sur Suivant, puis sur Envoyer.

Pour en savoir plus sur les flux Google SecOps, consultez la documentation sur les flux Google SecOps.

Pour en savoir plus sur les exigences associées à chaque type de flux, consultez la section Configuration des flux par type.

Si vous rencontrez des problèmes lorsque vous créez des flux, contactez l'assistance Google Security Operations.