Mengumpulkan log logging Microsoft Azure Key Vault

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log logging Azure Key Vault dengan menyiapkan feed Google Security Operations.

Untuk informasi selengkapnya, lihat Penambahan data ke Google SecOps.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label transfer AZURE_KEYVAULT_AUDI.

Sebelum memulai

Untuk menyelesaikan tugas di halaman ini, pastikan Anda memiliki hal berikut:

  • Langganan Azure yang dapat Anda gunakan untuk login
  • Lingkungan Azure Key Vault (tenant) di Azure
  • Peran administrator global atau administrator Azure Key Vault
  • Akun penyimpanan Azure untuk menyimpan log

Mengonfigurasi akun penyimpanan

  1. Login ke portal Azure.
  2. Di konsol Azure, telusuri Storage accounts.

  3. Pilih akun penyimpanan tempat log harus diambil, lalu pilih Kunci akses. Untuk membuat akun penyimpanan baru, lakukan tindakan berikut:

    1. Klik Buat.
    2. Masukkan nama untuk akun penyimpanan baru.

    3. Pilih langganan, grup resource, region, performa, dan redundansi untuk akun. Sebaiknya tetapkan performa ke standar, dan redundansi ke GRS atau LRS.

    4. Klik Review + create.

    5. Tinjau ringkasan akun, lalu klik Buat.

  4. Klik Tampilkan kunci dan catat kunci bersama untuk akun penyimpanan.

  5. Pilih Endpoints dan catat endpoint Blob service.

    Untuk mengetahui informasi selengkapnya tentang cara membuat akun penyimpanan, lihat bagian Membuat akun penyimpanan Azure di dokumentasi Microsoft.

Mengonfigurasi logging Azure Key Vault

  1. Di portal Azure, buka Key vaults, lalu pilih key vault yang ingin Anda konfigurasi untuk logging.
  2. Di bagian Monitoring, pilih Diagnostic settings.
  3. Pilih Tambahkan setelan diagnostik. Jendela Setelan diagnostik menyediakan setelan untuk log diagnostik.
  4. Di kolom Nama setelan diagnostik, tentukan nama untuk setelan diagnostik.
  5. Di bagian Grup kategori, centang kotak audit.

  6. Di kolom Retensi (hari), tentukan nilai retensi log yang mematuhi kebijakan organisasi Anda. Google SecOps merekomendasikan retensi log minimum satu hari.

    Anda dapat menyimpan log logging Azure Key Vault di akun penyimpanan atau melakukan streaming log ke Event Hubs. Google SecOps mendukung pengumpulan log menggunakan akun penyimpanan.

Mengarsipkan ke akun penyimpanan

  1. Untuk menyimpan log di akun penyimpanan, di jendela Setelan diagnostik, centang kotak Arsipkan ke akun penyimpanan.
  2. Di daftar Langganan, pilih langganan yang ada.
  3. Dalam daftar Storage account, pilih akun penyimpanan yang ada.

Mengonfigurasi feed di Google SecOps untuk menyerap log logging Azure Key Vault

  1. Di menu Google SecOps, pilih Setelan > Feed > Tambahkan baru.
  2. Di kolom Nama feed, masukkan nama unik untuk feed.
  3. Pilih Microsoft Azure Blob Storage sebagai Jenis sumber.
  4. Pilih Azure Key Vault Logging sebagai Log type.
  5. Klik Berikutnya.
  6. Konfigurasikan parameter input berikut:
    • URI Azure: tentukan endpoint layanan Blob yang Anda peroleh sebelumnya beserta salah satu nama penampung akun penyimpanan tersebut. Misalnya, https://xyz.blob.core.windows.net/abc/.
    • URI adalah: tentukan opsi URI.
    • Opsi penghapusan sumber: tentukan opsi penghapusan sumber.
    • Kunci: tentukan kunci bersama yang Anda peroleh sebelumnya.
  7. Klik Berikutnya, lalu klik Kirim.

Untuk informasi selengkapnya tentang feed Google SecOps, lihat dokumentasi feed Google SecOps.

Untuk mengetahui informasi tentang persyaratan untuk setiap jenis feed, lihat Konfigurasi feed menurut jenis.

Jika Anda mengalami masalah saat membuat feed, hubungi dukungan Google Security Operations.