本頁面由 Cloud Translation API 翻譯而成。

收集 Microsoft Azure Key Vault 記錄記錄

支援以下發布途徑：

Google secops Siem

本文說明如何設定 Google Security Operations 動態饋給，收集 Azure Key Vault 記錄檔。

擷取標籤可識別剖析器，將原始記錄資料正規化為結構化 UDM 格式。本文中的資訊適用於使用 AZURE_KEYVAULT_AUDI 攝入標籤的剖析器。

事前準備

請確認您已完成下列事前準備：

登入 Azure 入口網站。
在 Azure 控制台中搜尋「儲存體帳戶」。
選取必須從中提取記錄的儲存空間帳戶，然後選取「存取金鑰」。如要建立新的儲存空間帳戶，請按照下列步驟操作：
1. 按一下 [Create]。
2. 輸入新儲存空間帳戶的名稱。
3. 選取帳戶的訂閱方案、資源群組、區域、效能和備援機制。建議您將效能設為「標準」，並將備援設為 GRS 或 LRS。
4. 按一下「Review + create」。
5. 查看帳戶總覽，然後按一下「建立」。
按一下「Show keys」(顯示金鑰)，然後記下儲存空間帳戶的共用金鑰。
選取「Endpoints」，並記下「Blob service」端點。

如要進一步瞭解如何建立儲存空間帳戶，請參閱 Microsoft 說明文件中的「建立 Azure 儲存空間帳戶」一節。

在 Azure 入口網站中，前往「金鑰保存庫」，然後選取要設定記錄的金鑰保存庫。
在「監控」專區中，選取「診斷設定」。
選取「新增診斷設定」。「診斷設定」視窗提供診斷記錄的設定。
在「診斷設定名稱」欄位中，指定診斷設定的名稱。
在「類別群組」部分，選取「稽核」核取方塊。
在「Retention (days)」欄位中，指定符合貴機構政策的記錄保留值。Google SecOps 建議至少保留一天的記錄。

您可以將 Azure Key Vault 記錄檔儲存在儲存體帳戶中，或將記錄檔串流至 Event Hubs。Google SecOps 支援使用儲存空間帳戶收集記錄。

在 Google SecOps 平台中，有兩個不同的入口可用來設定動態消息：

如要設定動態饋給，請按照下列步驟操作：

依序前往「SIEM 設定」>「動態」。
按一下「新增動態消息」。
在下一頁中，按一下「設定單一動態饋給」。
在「動態饋給名稱」欄位中輸入動態饋給的名稱，例如「Azure Key Vault 記錄」。
選取「Microsoft Azure Blob Storage」做為「Source type」。
選取「Azure Key Vault 記錄」做為「記錄類型」。
點選「下一步」。
設定下列輸入參數：
- Azure URI：指定先前取得的 Blob 服務端點，以及該儲存體帳戶的其中一個容器名稱。例如：https://xyz.blob.core.windows.net/abc/。
- URI 是：指定 URI 選項。
- 來源刪除選項：指定來源刪除選項。
- Key：指定先前取得的共用金鑰。
依序點選「下一步」和「提交」。

指定下列欄位的值：

Azure URI：指定先前取得的 Blob 服務端點，以及該儲存體帳戶的其中一個容器名稱。例如：https://xyz.blob.core.windows.net/abc/。
URI 是：指定 URI 選項。
來源刪除選項：指定來源刪除選項。
Key：指定先前取得的共用金鑰。

進階選項

如要進一步瞭解 Google SecOps 動態饋給，請參閱 Google SecOps 動態饋給說明文件。

如要瞭解各個動態饋給類型的規定，請參閱「依類型分類的動態饋給設定」。

如果在建立動態饋給時遇到問題，請與 Google 安全作業支援團隊聯絡。