Raccogliere i log di Azure Key Vault

Supportato in:

Questo documento descrive come raccogliere i log di Azure Key Vault configurando un feed di Google Security Operations.

Per ulteriori informazioni, vedi Importazione dei dati in Google SecOps.

Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione AZURE_KEYVAULT_AUDI.

Prima di iniziare

Per completare le attività in questa pagina, assicurati di disporre di quanto segue:

  • Un abbonamento Azure a cui puoi accedere
  • Un ambiente Azure Key Vault (tenant) in Azure
  • Un ruolo di amministratore globale o di amministratore di Azure Key Vault
  • Un account di archiviazione Azure per archiviare i log

Configurare un account di archiviazione

  1. Accedi al portale Azure.
  2. Nella console Azure, cerca Account di archiviazione.

  3. Seleziona l'account di archiviazione da cui devono essere estratti i log, quindi seleziona Access key (Chiave di accesso). Per creare un nuovo account di archiviazione:

    1. Fai clic su Crea.
    2. Inserisci un nome per il nuovo account di archiviazione.

    3. Seleziona l'abbonamento, il gruppo di risorse, la regione, il rendimento e la ridondanza per l'account. Ti consigliamo di impostare il rendimento su standard e la ridondanza su GRS o LRS.

    4. Fai clic su Rivedi e crea.

    5. Esamina la panoramica dell'account e fai clic su Crea.

  4. Fai clic su Mostra chiavi e prendi nota della chiave condivisa per l'account di archiviazione.

  5. Seleziona Endpoint e prendi nota dell'endpoint del servizio Blob.

    Per ulteriori informazioni sulla creazione di un account di archiviazione, consulta la sezione Creare un account di archiviazione Azure nella documentazione di Microsoft.

Configura il logging di Azure Key Vault

  1. Nel portale Azure, vai a Key Vault e seleziona la cassetta di sicurezza che vuoi configurare per la registrazione.
  2. Nella sezione Monitoraggio, seleziona Impostazioni di diagnostica.
  3. Seleziona Aggiungi impostazione di diagnostica. La finestra Impostazioni di diagnostica fornisce le impostazioni per i log di diagnostica.
  4. Nel campo Nome impostazione di diagnostica, specifica il nome dell'impostazione di diagnostica.
  5. Nella sezione Gruppi di categorie, seleziona la casella di controllo Controllo.

  6. Nel campo Conservazione (giorni), specifica un valore di conservazione dei log conforme ai criteri della tua organizzazione. Google SecOps consiglia una conservazione minima dei log di un giorno.

    Puoi archiviare i log di Azure Key Vault in un account di archiviazione o inviare in streaming i log a Event Hubs. Google SecOps supporta la raccolta dei log utilizzando un account di archiviazione.

Archiviazione in un account di archiviazione

  1. Per archiviare i log nell'account di archiviazione, seleziona la casella di controllo Archivia in un account di archiviazione nella finestra Impostazioni di diagnostica.
  2. Nell'elenco Abbonamento, seleziona l'abbonamento esistente.
  3. Nell'elenco Account archiviazione, seleziona l'account archiviazione esistente.

Configura un feed in Google SecOps per importare i log di Azure Key Vault

  1. Nel menu di Google SecOps, seleziona Impostazioni > Feed > Aggiungi nuovo.
  2. Nel campo Nome feed, inserisci un nome univoco per il feed.
  3. Seleziona Microsoft Azure Blob Storage come Tipo di origine.
  4. Seleziona Logging di Azure Key Vault come Tipo di log.
  5. Fai clic su Avanti.
  6. Configura i seguenti parametri di input:
    • URI Azure: specifica l'endpoint del servizio Blob ottenuto in precedenza insieme a uno dei nomi dei contenitori dell'account di archiviazione. Ad esempio: https://xyz.blob.core.windows.net/abc/.
    • L'URI è: specifica l'opzione URI.
    • Opzione di eliminazione dell'origine: specifica l'opzione di eliminazione dell'origine.
    • Chiave: specifica la chiave condivisa ottenuta in precedenza.
  7. Fai clic su Avanti e poi su Invia.

Per ulteriori informazioni sui feed di Google SecOps, consulta la documentazione dei feed di Google SecOps.

Per informazioni sui requisiti per ciascun tipo di feed, consulta Configurazione dei feed per tipo.

Se riscontri problemi durante la creazione dei feed, contatta l'assistenza di Google Security Operations.