收集 Microsoft Azure Key Vault 日志记录

本文档介绍了如何通过设置 Google 安全运维 Feed 来收集 Azure Key Vault 日志记录。

如需了解详情，请参阅将数据提取到 Google SecOps。

注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 AZURE_KEYVAULT_AUDI 注入标签的解析器。

准备工作

如需完成本页中的任务，请确保您拥有以下资源：

• 您可以登录的 Azure 订阅
• Azure 中的 Azure Key Vault 环境（租户）
• 全局管理员或 Azure Key Vault 管理员角色
• 用于存储日志的 Azure Storage 账号

配置存储账号

1. 登录 Azure 门户。
2. 在 Azure 控制台中，搜索存储账号。

3. 选择必须从中提取日志的存储账号，然后选择访问密钥。如需创建新的存储账号，请执行以下操作：

   1. 点击创建。
   2. 为新的存储账号输入名称。

   3. 为账号选择订阅、资源组、区域、性能和冗余设置。我们建议将性能设置为标准，将冗余设置为 GRS 或 LRS。

   4. 点击 Review + create（检查 + 创建）。

   5. 查看账号概览，然后点击创建。

4. 点击显示密钥，然后记下存储账号的共享密钥。

5. 选择端点，然后记下 Blob 服务端点。

   如需详细了解如何创建存储账号，请参阅 Microsoft 文档中的创建 Azure 存储账号部分。

配置 Azure Key Vault 日志记录

1. 在 Azure 门户中，前往密钥库，然后选择要配置为进行日志记录的密钥库。
2. 在 Monitoring 部分中，选择 Diagnostic settings（诊断设置）。
3. 选择添加诊断设置。诊断设置窗口提供诊断日志的设置。
4. 在诊断设置名称字段中，指定诊断设置的名称。
5. 在类别群组部分中，选中审核复选框。

6. 在保留天数字段中，指定符合贵组织政策的日志保留值。Google SecOps 建议至少保留 1 天日志。

   您可以将 Azure Key Vault 日志记录日志存储在存储账号中，也可以将日志流式传输到 Event Hubs。Google SecOps 支持使用存储分区收集日志。

归档到存储账号

1. 如需将日志存储在存储账号中，请在诊断设置窗口中，选中归档到存储账号复选框。
2. 在订阅列表中，选择现有订阅。
3. 在存储账号列表中，选择现有存储账号。

在 Google SecOps 中配置 Feed 以提取 Azure Key Vault 日志记录

1. 在 Google SecOps 菜单中，依次选择设置 > Feed > 添加新 Feed。
2. 在Feed 名称字段中，为 Feed 输入一个唯一名称。
3. 选择 Microsoft Azure Blob Storage 作为来源类型。
4. 选择 Azure 密钥保管库日志记录作为日志类型。
5. 点击下一步。
6. 配置以下输入参数：
   • Azure URI：指定您之前获取的 Blob 服务端点以及该存储账号的某个容器名称。例如 https://xyz.blob.core.windows.net/abc/。
   • URI 是：指定 URI 选项。
   • 来源删除选项：指定来源删除选项。
   • 密钥：指定您之前获取的共享密钥。
7. 点击下一步，然后点击提交。

如需详细了解 Google SecOps Feed，请参阅 Google SecOps Feed 文档。

如需了解每种 Feed 类型的要求，请参阅按类型配置 Feed。

如果您在创建 Feed 时遇到问题，请与 Google 安全运营支持团队联系。