Se connecter à Microsoft Azure pour collecter des données de journal

Pour utiliser les fonctionnalités de détection, d'analyse des menaces et de gestion des droits d'accès à l'infrastructure cloud (CIEM) de Security Command Center pour Microsoft Azure, vous devez ingérer les journaux Microsoft Azure à l'aide du pipeline d'ingestion de la console Security Operations. Les types de journaux Microsoft Azure requis pour l'ingestion diffèrent selon ce que vous configurez :

• CIEM nécessite des données du type de journal Azure Cloud Services (AZURE_ACTIVITY).
• Les détections organisées nécessitent des données provenant de plusieurs types de journaux. Pour en savoir plus sur les différents types de journaux Microsoft Azure, consultez Appareils compatibles et types de journaux requis.

Détections sélectionnées

Les détections organisées du niveau Enterprise de Security Command Center permettent d'identifier les menaces dans les environnements Microsoft Azure à l'aide de données d'événements et de contexte.

Pour fonctionner comme prévu, ces ensembles de règles nécessitent les données suivantes. Vous devez ingérer les données Azure de chacune de ces sources de données pour bénéficier d'une couverture maximale des règles.

• Services cloud Azure
• Microsoft Entra ID, anciennement Azure Active Directory
• Journaux d'audit Microsoft Entra ID (anciennement journaux d'audit Azure AD)
• Microsoft Defender pour le cloud
• Activité de l'API Microsoft Graph

Pour en savoir plus, consultez les sections suivantes de la documentation Google SecOps :

• Appareils compatibles et types de journaux requis pour Azure : informations sur les données requises par chaque ensemble de règles.

• Ingérer des données Azure et Microsoft Entra ID et créer un flux Azure Event Hub : étapes à suivre pour collecter les données de journaux Azure et Microsoft Entra ID.

• Détections organisées pour les données Azure : résumé des ensembles de règles Azure dans les détections organisées de la catégorie "Menaces cloud".

• Utiliser des détections personnalisées pour identifier les menaces : découvrez comment utiliser des détections personnalisées dans Google SecOps.

Pour en savoir plus sur le type de données de journaux que les clients Security Command Center Enterprise peuvent ingérer directement dans le locataire Google SecOps, consultez Collecte des données de journaux Google SecOps.

Configurer l'ingestion des journaux Microsoft Azure pour CIEM

Pour générer des résultats CIEM pour votre environnement Microsoft Azure, les fonctionnalités CIEM nécessitent des données provenant des journaux d'activité Azure pour chaque abonnement ou groupe de gestion Azure à analyser.

Avant de commencer

Pour exporter les journaux d'activité de vos abonnements ou groupes de gestion Azure, configurez un compte de stockage Microsoft Azure.

Configurer l'ingestion des journaux Microsoft Azure pour les groupes de gestion

1. Pour configurer la journalisation des activités Azure pour les groupes de gestion, utilisez l'API Groupes de gestion.

2. Pour ingérer les journaux d'activité exportés à partir du compte de stockage, configurez un flux dans la console Security Operations.

3. Définissez un libellé d'ingestion pour le flux en définissant Libellé sur CIEM et Valeur sur TRUE.

Configurer l'ingestion des journaux Microsoft Azure pour les abonnements

1. Pour configurer la journalisation des activités Azure pour les abonnements, procédez comme suit :

   1. Dans la console Azure, recherchez Monitor.
   2. Dans le volet de navigation de gauche, cliquez sur le lien Journal d'activité.
   3. Cliquez sur Exporter les journaux d'activité.
   4. Effectuez les actions suivantes pour chaque abonnement ou groupe de gestion pour lesquels des journaux doivent être exportés :
      1. Dans le menu Abonnement, sélectionnez l'abonnement Microsoft Azure à partir duquel vous souhaitez exporter les journaux d'activité.
      2. Cliquez sur Ajouter un paramètre de diagnostic.
      3. Attribuez un nom au paramètre de diagnostic.
      4. Dans Catégories de journaux, sélectionnez Administratif.
      5. Dans Détails de la destination, sélectionnez Archiver dans un compte de stockage.
      6. Sélectionnez l'abonnement et le compte de stockage que vous avez créés, puis cliquez sur Enregistrer.

2. Pour ingérer les journaux d'activité exportés à partir du compte de stockage, configurez un flux dans la console Security Operations.

3. Définissez un libellé d'ingestion pour le flux en définissant Libellé sur CIEM et Valeur sur TRUE.

Étapes suivantes

• Pour activer CIEM, consultez Activer le service de détection CIEM.
• Pour en savoir plus sur les fonctionnalités de CIEM, consultez Présentation de CIEM.