Conectarse a Microsoft Azure para recoger datos de registro

Para usar las detecciones seleccionadas, la investigación de amenazas y las funciones de gestión de derechos de infraestructura en la nube (CIEM) de Security Command Center para Microsoft Azure, es necesario ingerir los registros de Microsoft Azure mediante la canalización de ingesta de la consola de operaciones de seguridad. Los tipos de registro de Microsoft Azure necesarios para la ingesta varían en función de lo que estés configurando:

  • CIEM requiere datos del tipo de registro de servicios en la nube de Azure (AZURE_ACTIVITY).
  • Las detecciones seleccionadas requieren datos de varios tipos de registros. Para obtener más información sobre los distintos tipos de registros de Microsoft Azure, consulta Dispositivos admitidos y tipos de registros necesarios.

Detecciones seleccionadas

Las detecciones seleccionadas del nivel Enterprise de Security Command Center ayudan a identificar amenazas en entornos de Microsoft Azure mediante datos de eventos y de contexto.

Estos conjuntos de reglas requieren los siguientes datos para funcionar correctamente. Para obtener la máxima cobertura de reglas, debe ingerir datos de Azure de cada una de estas fuentes de datos.

Para obtener más información, consulta lo siguiente en la documentación de Google SecOps:

Para obtener información sobre el tipo de datos de registro que pueden ingerir directamente en el arrendatario de Google SecOps los clientes con Security Command Center Enterprise, consulte el artículo Recogida de datos de registro de Google SecOps.

Configurar la ingestión de registros de Microsoft Azure para CIEM

Para generar resultados de CIEM en tu entorno de Microsoft Azure, las funciones de CIEM requieren datos de los registros de actividad de Azure de cada suscripción o grupo de gestión de Azure que se deba analizar.

Antes de empezar

Para exportar los registros de actividad de tus suscripciones o grupos de administración de Azure, configura una cuenta de almacenamiento de Microsoft Azure.

Configurar la ingestión de registros de Microsoft Azure para grupos de gestión

  1. Para configurar el registro de actividad de Azure en grupos de administración, usa la API de grupos de administración.

  2. Para ingerir los registros de actividad exportados de la cuenta de almacenamiento, configura un feed en la consola de Security Operations.

  3. Asigne una etiqueta de ingestión al feed. Para ello, asigne el valor CIEM al campo Etiqueta y el valor TRUE al campo Valor.

Configurar la ingestión de registros de Microsoft Azure para suscripciones

  1. Para configurar el registro de actividad de Azure en las suscripciones, sigue estos pasos:

    1. En la consola de Azure, busca Monitor.
    2. En el panel de navegación de la izquierda, haz clic en el enlace Registro de actividad.
    3. Haz clic en Exportar registros de actividad.
    4. Realiza las siguientes acciones en cada suscripción o grupo de gestión para los que deban exportarse los registros:
      1. En el menú Suscripción, seleccione la suscripción de Microsoft Azure de la que quiera exportar los registros de actividad.
      2. Haz clic en Añadir ajuste de diagnóstico.
      3. Escriba un nombre para el ajuste de diagnóstico.
      4. En Categorías de registro, selecciona Administrativo.
      5. En Detalles del destino, selecciona Archivar en una cuenta de almacenamiento.
      6. Selecciona la suscripción y la cuenta de almacenamiento que has creado y haz clic en Guardar.

  2. Para ingerir los registros de actividad exportados de la cuenta de almacenamiento, configura un feed en la consola de Security Operations.

  3. Asigne una etiqueta de ingestión al feed. Para ello, asigne el valor CIEM al campo Etiqueta y el valor TRUE al campo Valor.

Siguientes pasos