Connettiti a Microsoft Azure per la raccolta dei dati dei log

Le funzionalità di rilevamento curate, analisi delle minacce e gestione dei diritti dell'infrastruttura cloud (CIEM) di Security Command Center per Microsoft Azure richiedono l'importazione dei log di Microsoft Azure utilizzando la pipeline di importazione della console Security Operations. I tipi di log di Microsoft Azure richiesti per l'importazione variano a seconda di ciò che stai configurando:

  • CIEM richiede i dati del tipo di log Azure Cloud Services (AZURE_ACTIVITY).
  • Le rilevazioni curate richiedono dati di più tipi di log. Per scoprire di più sui diversi tipi di log di Microsoft Azure, consulta Dispositivi supportati e tipi di log richiesti.

Rilevamenti selezionati

I rilevamenti curati nel livello Enterprise di Security Command Center aiutano a identificare le minacce negli ambienti Microsoft Azure utilizzando sia i dati sugli eventi che quelli contestuali.

Questi insiemi di regole richiedono i seguenti dati per funzionare come previsto. Per ottenere la massima copertura delle regole, devi importare i dati di Azure da ciascuna di queste origini dati.

Per saperne di più, consulta le seguenti risorse nella documentazione di Google SecOps:

Per informazioni sul tipo di dati di log che i clienti con Security Command Center Enterprise possono importare direttamente nel tenant Google SecOps, consulta Raccolta dei dati di log di Google SecOps.

Configurare l'importazione dei log di Microsoft Azure per CIEM

Per generare risultati CIEM per il tuo ambiente Microsoft Azure, le funzionalità CIEM richiedono i dati dei log attività di Azure per ogni abbonamento o gruppo di gestione Azure da analizzare.

Prima di iniziare

Per esportare i log delle attività per i tuoi abbonamenti o gruppi di gestione Azure, configura un account di archiviazione Microsoft Azure.

Configura l'importazione dei log di Microsoft Azure per i gruppi di gestione

  1. Per configurare la registrazione delle attività di Azure per i gruppi di gestione, utilizza l'API Management Group.

  2. Per importare i log delle attività esportati dall'account di archiviazione, configura un feed nella console di Security Operations.

  3. Imposta un'etichetta di importazione per il feed impostando Etichetta su CIEM e Valore su TRUE.

Configura l'importazione dei log di Microsoft Azure per gli abbonamenti

  1. Per configurare la registrazione delle attività di Azure per gli abbonamenti:

    1. Nella console Azure, cerca Monitor.
    2. Nel riquadro di navigazione a sinistra, fai clic sul link Log attività.
    3. Fai clic su Esporta log attività.
    4. Esegui le seguenti azioni per ogni abbonamento o gruppo di gestione per cui è necessario esportare i log:
      1. Nel menu Abbonamento, seleziona l'abbonamento Microsoft Azure da cui vuoi esportare i log attività.
      2. Fai clic su Aggiungi impostazione di diagnostica.
      3. Inserisci un nome per l'impostazione di diagnostica.
      4. In Categorie log, seleziona Amministrativo.
      5. In Dettagli destinazione, seleziona Archivia in un account di archiviazione.
      6. Seleziona l'account di abbonamento e di archiviazione che hai creato e fai clic su Salva.

  2. Per importare i log delle attività esportati dall'account di archiviazione, configura un feed nella console di Security Operations.

  3. Imposta un'etichetta di importazione per il feed impostando Etichetta su CIEM e Valore su TRUE.

Passaggi successivi