Raccogliere i log di registrazione di Microsoft Azure Key Vault

Supportato in:

Questo documento descrive come raccogliere i log di Azure Key Vault configurando un feed di Google Security Operations.

Per ulteriori informazioni, consulta Importazione dei dati in Google SecOps.

Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano all'interprete con l'etichetta di importazione AZURE_KEYVAULT_AUDI.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

  • Abbonamento Azure a cui puoi accedere
  • Ambiente Azure Key Vault (tenant) in Azure
  • Ruolo Amministratore globale o Amministratore di Azure Key Vault
  • Account di archiviazione Azure per archiviare i log

Configurare un account di archiviazione

  1. Accedi al portale Azure.
  2. Nella console Azure, cerca Account di archiviazione.

  3. Seleziona l'account di archiviazione da cui devono essere estratti i log, quindi seleziona Access key (Chiave di accesso). Per creare un nuovo account di archiviazione:

    1. Fai clic su Crea.
    2. Inserisci un nome per il nuovo account di archiviazione.

    3. Seleziona l'abbonamento, il gruppo di risorse, la regione, il rendimento e la ridondanza per l'account. Ti consigliamo di impostare il rendimento su standard e la ridondanza su GRS o LRS.

    4. Fai clic su Review + create (Rivedi e crea).

    5. Esamina la panoramica dell'account e fai clic su Crea.

  4. Fai clic su Mostra chiavi e prendi nota della chiave condivisa per l'account di archiviazione.

  5. Seleziona Endpoint e prendi nota dell'endpoint del servizio Blob.

    Per ulteriori informazioni sulla creazione di un account di archiviazione, consulta la sezione Creare un account di archiviazione Azure nella documentazione di Microsoft.

Configurare il logging di Azure Key Vault

  1. Nel portale Azure, vai a Key Vault e seleziona la cassetta di sicurezza che vuoi configurare per la registrazione.
  2. Nella sezione Monitoraggio, seleziona Impostazioni di diagnostica.
  3. Seleziona Aggiungi impostazione di diagnostica. La finestra Impostazioni di diagnostica fornisce le impostazioni per i log di diagnostica.
  4. Nel campo Nome impostazione di diagnostica, specifica il nome dell'impostazione di diagnostica.
  5. Nella sezione Gruppi di categorie, seleziona la casella di controllo Controllo.

  6. Nel campo Conservazione (giorni), specifica un valore di conservazione dei log conforme ai criteri della tua organizzazione. Google SecOps consiglia un periodo di conservazione dei log di almeno un giorno.

    Puoi archiviare i log di Azure Key Vault in un account di archiviazione o inviare in streaming i log a Event Hubs. Google SecOps supporta la raccolta dei log utilizzando un account di archiviazione.

Archiviazione in un account di archiviazione

  1. Per archiviare i log nell'account di archiviazione, seleziona la casella di controllo Archivia in un account di archiviazione nella finestra Impostazioni di diagnostica.
  2. Nell'elenco Abbonamento, seleziona l'abbonamento esistente.
  3. Nell'elenco Account archiviazione, seleziona l'account archiviazione esistente.

Configurare i feed

Esistono due diversi punti di contatto per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed
  • Content Hub > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare un feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log di Azure Key Vault.
  5. Seleziona Microsoft Azure Blob Storage come Tipo di origine.
  6. Seleziona Logging di Azure Key Vault come Tipo di log.
  7. Fai clic su Avanti.
  8. Configura i seguenti parametri di input:
    • URI Azure: specifica l'endpoint del servizio Blob ottenuto in precedenza insieme a uno dei nomi dei contenitori dell'account di archiviazione. Ad esempio: https://xyz.blob.core.windows.net/abc/.
    • L'URI è un: specifica l'opzione URI.
    • Opzione di eliminazione dell'origine: specifica l'opzione di eliminazione dell'origine.
    • Chiave: specifica la chiave condivisa ottenuta in precedenza.
  9. Fai clic su Avanti e poi su Invia.

Configurare i feed da Content Hub

Specifica i valori per i seguenti campi:

  • URI Azure: specifica l'endpoint del servizio Blob ottenuto precedentemente insieme a uno dei nomi dei contenitori dell'account di archiviazione. Ad esempio: https://xyz.blob.core.windows.net/abc/.
  • L'URI è un: specifica l'opzione URI.
  • Opzione di eliminazione dell'origine: specifica l'opzione di eliminazione dell'origine.
  • Chiave: specifica la chiave condivisa ottenuta in precedenza.

Opzioni avanzate

  • Nome feed: un valore precompilato che identifica il feed.
  • Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
  • Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
  • Etichette di importazione: le etichette applicate a tutti gli eventi di questo feed.

Per ulteriori informazioni sui feed di Google SecOps, consulta la documentazione dei feed di Google SecOps.

Per informazioni sui requisiti per ciascun tipo di feed, consulta Configurazione dei feed per tipo.

Se riscontri problemi durante la creazione dei feed, contatta l'assistenza di Google Security Operations.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.