Microsoft Azure Key Vault ロギング ログを収集する
このドキュメントでは、Google Security Operations フィードを設定して Azure Key Vault のロギング ログを収集する方法について説明します。
詳細については、Google SecOps へのデータの取り込みをご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル AZURE_KEYVAULT_AUDI
が付加されたパーサーに適用されます。
始める前に
このページのタスクを完了するには、次のものが必要です。
- ログインできる Azure サブスクリプション
- Azure の Azure Key Vault 環境(テナント)
- グローバル管理者ロールまたは Azure Key Vault 管理者ロール
- ログを保存する Azure Storage アカウント
ストレージ アカウントを構成する
- Azure ポータルにログインします。
- Azure コンソールで、[ストレージ アカウント] を検索します。
ログを pull するストレージ アカウントを選択し、[アクセスキー] を選択します。新しいストレージ アカウントを作成するには、次の操作を行います。
- [作成] をクリックします。
- 新しいストレージ アカウントの名前を入力します。
アカウントのサブスクリプション、リソース グループ、リージョン、パフォーマンス、冗長性を選択します。パフォーマンスを standard、冗長性を GRS または LRS に設定することをおすすめします。
[Review + create] をクリックします。
アカウントの概要を確認し、[作成] をクリックします。
[キーを表示] をクリックし、ストレージ アカウントの共有鍵をメモします。
[エンドポイント] を選択し、Blob サービスのエンドポイントをメモします。
ストレージ アカウントの作成の詳細については、Microsoft のドキュメントの Azure ストレージ アカウントを作成するをご覧ください。
Azure Key Vault のロギングを構成する
- Azure Portal で [Key vaults] に移動し、ロギング用に構成する Key Vault を選択します。
- [モニタリング] セクションで、[診断設定] を選択します。
- [診断設定を追加] を選択します。[診断の設定] ウィンドウには、診断ログの設定が表示されます。
- [診断設定名] フィールドに、診断設定の名前を指定します。
- [カテゴリ グループ] セクションで、[監査] チェックボックスをオンにします。
[保持(日)] フィールドに、組織のポリシーに準拠したログ保持値を指定します。Google SecOps では、ログの保持期間を 1 日以上にすることをおすすめします。
Azure Key Vault のロギング ログは、ストレージ アカウントに保存することも、Event Hubs にストリーミングすることもできます。Google SecOps は、ストレージ アカウントを使用したログ収集をサポートしています。
ストレージ アカウントにアーカイブする
- ログをストレージ アカウントに保存するには、[診断設定] ウィンドウで [ストレージ アカウントにアーカイブする] チェックボックスをオンにします。
- [サブスクリプション] リストで、既存のサブスクリプションを選択します。
- [ストレージ アカウント] リストで、既存のストレージ アカウントを選択します。
Azure Key Vault のロギング ログを取り込むように Google SecOps でフィードを構成する
- Google SecOps メニューで、[設定] > [フィード] > [新規作成] を選択します。
- [フィード名] フィールドに、フィードの一意の名前を入力します。
- [ソースタイプ] として [Microsoft Azure Blob Storage] を選択します。
- [ログタイプ] として [Azure Key Vault Logging] を選択します。
- [次へ] をクリックします。
- 次の入力パラメータを構成します。
- Azure URI: 前に取得した Blob Service エンドポイントと、そのストレージ アカウントのコンテナ名のいずれかを指定します。例:
https://xyz.blob.core.windows.net/abc/
- URI は: URI オプションを指定します。
- ソース削除オプション: ソース削除オプションを指定します。
- キー: 前の手順で取得した共有キーを指定します。
- Azure URI: 前に取得した Blob Service エンドポイントと、そのストレージ アカウントのコンテナ名のいずれかを指定します。例:
- [次へ] をクリックしてから、[送信] をクリックします。
Google SecOps フィードの詳細については、Google SecOps フィードのドキュメントをご覧ください。
各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。
フィードの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。