收集 Microsoft Azure Key Vault 日志记录

支持的平台:

本文档介绍了如何通过设置 Google 安全运维 Feed 来收集 Azure Key Vault 日志记录。

如需了解详情,请参阅将数据提取到 Google SecOps

注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 AZURE_KEYVAULT_AUDI 注入标签的解析器。

准备工作

如需完成本页中的任务,请确保您拥有以下资源:

  • 您可以登录的 Azure 订阅
  • Azure 中的 Azure Key Vault 环境(租户)
  • 全局管理员或 Azure Key Vault 管理员角色
  • 用于存储日志的 Azure Storage 账号

配置存储账号

  1. 登录 Azure 门户。
  2. Azure 控制台中,搜索存储账号
  3. 选择必须从中提取日志的存储账号,然后选择访问密钥。如需创建新的存储账号,请执行以下操作:

    1. 点击创建
    2. 为新的存储账号输入名称。
    3. 为账号选择订阅、资源组、区域、性能和冗余设置。我们建议将性能设置为标准,将冗余设置为 GRSLRS

    4. 点击 Review + create(检查 + 创建)。

    5. 查看账号概览,然后点击创建

  4. 点击显示密钥,然后记下存储账号的共享密钥。

  5. 选择端点,然后记下 Blob 服务端点。

    如需详细了解如何创建存储账号,请参阅 Microsoft 文档中的创建 Azure 存储账号部分。

配置 Azure Key Vault 日志记录

  1. Azure 门户中,前往密钥库,然后选择要配置为进行日志记录的密钥库。
  2. Monitoring 部分中,选择 Diagnostic settings(诊断设置)。
  3. 选择添加诊断设置诊断设置窗口提供诊断日志的设置。
  4. 诊断设置名称字段中,指定诊断设置的名称。
  5. 类别群组部分中,选中审核复选框。
  6. 保留天数字段中,指定符合贵组织政策的日志保留值。Google SecOps 建议至少保留 1 天日志。

    您可以将 Azure Key Vault 日志记录日志存储在存储账号中,也可以将日志流式传输到 Event Hubs。Google SecOps 支持使用存储分区收集日志。

归档到存储账号

  1. 如需将日志存储在存储账号中,请在诊断设置窗口中,选中归档到存储账号复选框。
  2. 订阅列表中,选择现有订阅。
  3. 存储账号列表中,选择现有存储账号。

在 Google SecOps 中配置 Feed 以提取 Azure Key Vault 日志记录

  1. 在 Google SecOps 菜单中,依次选择设置 > Feed > 添加新 Feed
  2. Feed 名称字段中,为 Feed 输入一个唯一名称。
  3. 选择 Microsoft Azure Blob Storage 作为来源类型
  4. 选择 Azure 密钥保管库日志记录作为日志类型
  5. 点击下一步
  6. 配置以下输入参数:
    • Azure URI:指定您之前获取的 Blob 服务端点以及该存储账号的某个容器名称。例如 https://xyz.blob.core.windows.net/abc/
    • URI 是:指定 URI 选项。
    • 来源删除选项:指定来源删除选项。
    • 密钥:指定您之前获取的共享密钥。
  7. 点击下一步,然后点击提交

如需详细了解 Google SecOps Feed,请参阅 Google SecOps Feed 文档

如需了解每种 Feed 类型的要求,请参阅按类型配置 Feed

如果您在创建 Feed 时遇到问题,请与 Google 安全运营支持团队联系。