Conectar-se ao Microsoft Azure para coleta de dados de registro

As detecções selecionadas, a investigação de ameaças e os recursos de gerenciamento de direitos de infraestrutura de nuvem (CIEM, na sigla em inglês) do Security Command Center para o Microsoft Azure exigem a ingestão de registros do Microsoft Azure usando o pipeline de ingestão do console de operações de segurança. Os tipos de registros do Microsoft Azure necessários para ingestão variam de acordo com o que você está configurando:

  • A CIEM exige dados do tipo de registro "Serviços de nuvem do Azure" (AZURE_ACTIVITY).
  • As detecções selecionadas exigem dados de vários tipos de registros. Para saber mais sobre os diferentes tipos de registros do Microsoft Azure, consulte Dispositivos compatíveis e tipos de registros necessários.

Detecções selecionadas

As detecções selecionadas no nível Enterprise do Security Command Center ajudam a identificar ameaças em ambientes do Microsoft Azure usando dados de eventos e de contexto.

Esses conjuntos de regras exigem os seguintes dados para funcionar conforme o esperado. É necessário ingerir dados do Azure de cada uma dessas fontes para ter a cobertura máxima de regras.

Para mais informações, consulte o seguinte na documentação do Google SecOps:

Para informações sobre o tipo de dados de registro que os clientes do Security Command Center Enterprise podem ingerir diretamente no locatário do Google SecOps, consulte Coleta de dados de registro do Google SecOps.

Configurar a ingestão de registros do Microsoft Azure para CIEM

Para gerar descobertas de CIEM no seu ambiente do Microsoft Azure, os recursos de CIEM precisam de dados dos registros de atividades do Azure para cada assinatura ou grupo de gerenciamento que precisa ser analisado.

Antes de começar

Para exportar registros de atividades das suas assinaturas ou grupos de gerenciamento do Azure, configure uma conta de armazenamento do Microsoft Azure.

Configurar a ingestão de registros do Microsoft Azure para grupos de gerenciamento

  1. Para configurar o registro de atividades do Azure para grupos de gerenciamento, use a API Management group.

  2. Para ingerir os registros de atividades exportados da conta de armazenamento, configure um feed no console das Operações de segurança.

  3. Defina um rótulo de ingestão para o feed definindo Rótulo como CIEM e Valor como TRUE.

Configurar a ingestão de registros do Microsoft Azure para assinaturas

  1. Para configurar o registro de atividades do Azure para assinaturas, faça o seguinte:

    1. No console do Azure, pesquise Monitor.
    2. No painel de navegação à esquerda, clique no link Registro de atividades.
    3. Clique em Exportar registros de atividade.
    4. Faça o seguinte para cada assinatura ou grupo de gerenciamento em que os registros precisam ser exportados:
      1. No menu assinatura, selecione a assinatura do Microsoft Azure de que você quer exportar os registros de atividades.
      2. Clique em Adicionar configuração de diagnóstico.
      3. Insira um nome para a configuração de diagnóstico.
      4. Em Categorias de registros, selecione Administrativo.
      5. Em Detalhes do destino, selecione Arquivar em uma conta de armazenamento.
      6. Selecione a assinatura e a conta de armazenamento que você criou e clique em Salvar.

  2. Para ingerir os registros de atividades exportados da conta de armazenamento, configure um feed no console das Operações de segurança.

  3. Defina um rótulo de ingestão para o feed definindo Rótulo como CIEM e Valor como TRUE.

A seguir