Conéctate a Microsoft Azure para la recopilación de datos de registro

Las detecciones seleccionadas, la investigación de amenazas y las capacidades de Cloud Infrastructure Entitlement Management (CIEM) de Security Command Center para Microsoft Azure requieren la transferencia de registros de Microsoft Azure a través de la canalización de transferencia de la consola de Operaciones de seguridad. Los tipos de registros de Microsoft Azure necesarios para la transferencia varían según lo que configures:

  • La CIEM requiere datos del tipo de registro de Azure Cloud Services (AZURE_ACTIVITY).
  • Las detecciones seleccionadas requieren datos de varios tipos de registros. Para obtener más información sobre los diferentes tipos de registros de Microsoft Azure, consulta Dispositivos compatibles y tipos de registros obligatorios.

Detecciones seleccionadas

Las detecciones seleccionadas en el nivel Enterprise de Security Command Center ayudan a identificar amenazas en entornos de Microsoft Azure con datos de eventos y de contexto.

Estos conjuntos de reglas requieren los siguientes datos para funcionar según lo previsto. Debes ingerir datos de Azure desde cada una de estas fuentes de datos para tener la máxima cobertura de reglas.

Para obtener más información, consulta lo siguiente en la documentación de Google SecOps:

Para obtener información sobre el tipo de datos de registro que los clientes de Security Command Center Enterprise pueden transferir directamente al arrendatario de Google SecOps, consulta Recopilación de datos de registro de Google SecOps.

Configura la transferencia de registros de Microsoft Azure para CIEM

Para generar resultados de la CIEM en tu entorno de Microsoft Azure, las capacidades de la CIEM requieren datos de los registros de actividad de Azure para cada suscripción o grupo de administración de Azure que se deba analizar.

Antes de comenzar

Para exportar los registros de actividad de tus suscripciones o grupos de administración de Azure, configura una cuenta de almacenamiento de Microsoft Azure.

Configura la transferencia de registros de Microsoft Azure para los grupos de administración

  1. Para configurar el registro de actividad de Azure para los grupos de administración, usa la API de Management group.

  2. Para transferir los registros de actividad exportados desde la cuenta de almacenamiento, configura un feed en la consola de Security Operations.

  3. Establece una etiqueta de transferencia para el feed configurando Etiqueta como CIEM y Valor como TRUE.

Configura la transferencia de registros de Microsoft Azure para las suscripciones

  1. Para configurar el registro de actividad de Azure para las suscripciones, haz lo siguiente:

    1. En la consola de Azure, busca Monitor.
    2. En el panel de navegación izquierdo, haz clic en el vínculo Registro de actividad.
    3. Haz clic en Export Activity Logs.
    4. Realiza las siguientes acciones para cada suscripción o grupo de administración para los que se deban exportar registros:
      1. En el menú suscripción, selecciona la suscripción de Microsoft Azure desde la que deseas exportar los registros de actividad.
      2. Haz clic en Agregar parámetro de configuración de diagnóstico.
      3. Ingresa un nombre para el parámetro de configuración de diagnóstico.
      4. En Categorías de registros, selecciona Administrativo.
      5. En Detalles del destino, selecciona Archivar en una cuenta de almacenamiento.
      6. Selecciona la suscripción y la cuenta de almacenamiento que creaste, y haz clic en Guardar.

  2. Para transferir los registros de actividad exportados desde la cuenta de almacenamiento, configura un feed en la consola de Security Operations.

  3. Establece una etiqueta de transferencia para el feed configurando Etiqueta como CIEM y Valor como TRUE.

¿Qué sigue?