Microsoft Azure Key Vault ロギング ログを収集する

以下でサポートされています。

このドキュメントでは、Google Security Operations フィードを設定して Azure Key Vault のロギング ログを収集する方法について説明します。

詳細については、Google SecOps へのデータの取り込みをご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル AZURE_KEYVAULT_AUDI が付加されたパーサーに適用されます。

始める前に

このページのタスクを完了するには、次のものが必要です。

  • ログインできる Azure サブスクリプション
  • Azure の Azure Key Vault 環境(テナント)
  • グローバル管理者ロールまたは Azure Key Vault 管理者ロール
  • ログを保存する Azure Storage アカウント

ストレージ アカウントを構成する

  1. Azure ポータルにログインします。
  2. Azure コンソールで、[ストレージ アカウント] を検索します。
  3. ログを pull するストレージ アカウントを選択し、[アクセスキー] を選択します。新しいストレージ アカウントを作成するには、次の操作を行います。

    1. [作成] をクリックします。
    2. 新しいストレージ アカウントの名前を入力します。
    3. アカウントのサブスクリプション、リソース グループ、リージョン、パフォーマンス、冗長性を選択します。パフォーマンスを standard、冗長性を GRS または LRS に設定することをおすすめします。

    4. [Review + create] をクリックします。

    5. アカウントの概要を確認し、[作成] をクリックします。

  4. [キーを表示] をクリックし、ストレージ アカウントの共有鍵をメモします。

  5. [エンドポイント] を選択し、Blob サービスのエンドポイントをメモします。

    ストレージ アカウントの作成の詳細については、Microsoft のドキュメントAzure ストレージ アカウントを作成するをご覧ください。

Azure Key Vault のロギングを構成する

  1. Azure Portal で [Key vaults] に移動し、ロギング用に構成する Key Vault を選択します。
  2. [モニタリング] セクションで、[診断設定] を選択します。
  3. [診断設定を追加] を選択します。[診断の設定] ウィンドウには、診断ログの設定が表示されます。
  4. [診断設定名] フィールドに、診断設定の名前を指定します。
  5. [カテゴリ グループ] セクションで、[監査] チェックボックスをオンにします。
  6. [保持(日)] フィールドに、組織のポリシーに準拠したログ保持値を指定します。Google SecOps では、ログの保持期間を 1 日以上にすることをおすすめします。

    Azure Key Vault のロギング ログは、ストレージ アカウントに保存することも、Event Hubs にストリーミングすることもできます。Google SecOps は、ストレージ アカウントを使用したログ収集をサポートしています。

ストレージ アカウントにアーカイブする

  1. ログをストレージ アカウントに保存するには、[診断設定] ウィンドウで [ストレージ アカウントにアーカイブする] チェックボックスをオンにします。
  2. [サブスクリプション] リストで、既存のサブスクリプションを選択します。
  3. [ストレージ アカウント] リストで、既存のストレージ アカウントを選択します。

Azure Key Vault のロギング ログを取り込むように Google SecOps でフィードを構成する

  1. Google SecOps メニューで、[設定] > [フィード] > [新規作成] を選択します。
  2. [フィード名] フィールドに、フィードの一意の名前を入力します。
  3. [ソースタイプ] として [Microsoft Azure Blob Storage] を選択します。
  4. [ログタイプ] として [Azure Key Vault Logging] を選択します。
  5. [次へ] をクリックします。
  6. 次の入力パラメータを構成します。
    • Azure URI: 前に取得した Blob Service エンドポイントと、そのストレージ アカウントのコンテナ名のいずれかを指定します。例: https://xyz.blob.core.windows.net/abc/
    • URI は: URI オプションを指定します。
    • ソース削除オプション: ソース削除オプションを指定します。
    • キー: 前の手順で取得した共有キーを指定します。
  7. [次へ] をクリックしてから、[送信] をクリックします。

Google SecOps フィードの詳細については、Google SecOps フィードのドキュメントをご覧ください。

各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。

フィードの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。