Coletar registros de geração de registros do Microsoft Azure Key Vault

Compatível com:

Este documento descreve como coletar os registros de registro do Azure Key Vault configurando um feed de operações de segurança do Google.

Para mais informações, consulte Ingestão de dados no Google SecOps.

Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato estruturado da UDM. As informações neste documento se aplicam ao analisador com o rótulo de transferência AZURE_KEYVAULT_AUDI.

Antes de começar

Para concluir as tarefas desta página, confira se você tem o seguinte:

  • Uma assinatura do Azure em que você pode fazer login
  • Um ambiente do Azure Key Vault (locatário) no Azure
  • Uma função de administrador global ou administrador do Azure Key Vault
  • Uma conta de armazenamento do Azure para armazenar os registros

Configurar uma conta de armazenamento

  1. Faça login no portal do Azure.
  2. No console do Azure, pesquise Contas de armazenamento.

  3. Selecione a conta de armazenamento de onde os registros precisam ser extraídos e selecione Chave de acesso. Para criar uma conta de armazenamento, faça o seguinte:

    1. Clique em Criar.
    2. Insira um nome para a nova conta de armazenamento.

    3. Selecione a assinatura, o grupo de recursos, a região, a performance e a redundância da conta. Recomendamos definir a performance como padrão e a redundância como GRS ou LRS.

    4. Clique em Revisar + criar.

    5. Leia a visão geral da conta e clique em Criar.

  4. Clique em Mostrar chaves e anote a chave compartilhada da conta de armazenamento.

  5. Selecione Endpoints e anote o endpoint do serviço de blobs.

    Para mais informações sobre como criar uma conta de armazenamento, consulte a seção Criar uma conta de armazenamento do Azure na documentação da Microsoft.

Configurar a geração de registros do Azure Key Vault

  1. No portal do Azure, acesse Key vaults e selecione o key vault que você quer configurar para registro.
  2. Na seção Monitoramento, selecione Configurações de diagnóstico.
  3. Selecione Adicionar configuração de diagnóstico. A janela Configurações de diagnóstico fornece as configurações dos registros de diagnóstico.
  4. No campo Nome da configuração de diagnóstico, especifique o nome da configuração de diagnóstico.
  5. Na seção Grupos de categorias, marque a caixa de seleção auditoria.

  6. No campo Retenção (dias), especifique um valor de retenção de registro que esteja em conformidade com as políticas da sua organização. O Google SecOps recomenda um mínimo de um dia de retenção de registros.

    É possível armazenar os registros de registro do Azure Key Vault em uma conta de armazenamento ou transmitir os registros para o Event Hubs. O Google SecOps oferece suporte à coleta de registros usando uma conta de armazenamento.

Arquivar em uma conta de armazenamento

  1. Para armazenar registros na conta de armazenamento, na janela Configurações de diagnóstico, marque a caixa de seleção Arquivar em uma conta de armazenamento.
  2. Na lista Assinatura, selecione a assinatura atual.
  3. Na lista Conta de armazenamento, selecione a conta de armazenamento existente.

Configurar um feed no Google SecOps para processar registros de geração de registros do Azure Key Vault

  1. No menu Google SecOps, selecione Configurações > Feeds > Adicionar novo.
  2. No campo Nome do feed, insira um nome exclusivo.
  3. Selecione Microsoft Azure Blob Storage como o Tipo de origem.
  4. Selecione Gerenciamento de registros do Azure Key Vault como o Tipo de registro.
  5. Clique em Próxima.
  6. Configure os seguintes parâmetros de entrada:
    • URI do Azure: especifique o endpoint do serviço de blobs que você recebeu anteriormente com um dos nomes de contêiner dessa conta de armazenamento. Por exemplo, https://xyz.blob.core.windows.net/abc/.
    • URI é um: especifica a opção de URI.
    • Opção de exclusão de origem: especifique a opção de exclusão de origem.
    • Chave: especifique a chave compartilhada que você recebeu anteriormente.
  7. Clique em Próxima e em Enviar.

Para mais informações sobre os feeds do Google SecOps, consulte a documentação sobre feeds do Google SecOps.

Para informações sobre os requisitos de cada tipo de feed, consulte Configuração de feeds por tipo.

Se você tiver problemas ao criar feeds, entre em contato com o suporte da Google Security Operations.