Security Command Center 针对 Microsoft Azure 的精选检测、威胁调查和云基础设施授权管理 (CIEM) 功能需要使用安全运维控制台注入流水线注入 Microsoft Azure 日志。注入所需的 Microsoft Azure 日志类型因您配置的内容而异:
- CIEM 需要来自 Azure 云服务 (AZURE_ACTIVITY) 日志类型的数据。
- 精选检测需要来自多种日志类型的数据。如需详细了解不同的 Microsoft Azure 日志类型,请参阅支持的设备和所需的日志类型。
精选检测
Security Command Center Enterprise 层级中的精选检测有助于使用事件和情境数据识别 Microsoft Azure 环境中的威胁。
这些规则集需要以下数据才能按设计运行。您必须从其中每个数据源注入 Azure 数据,以覆盖尽可能多的规则。
- Azure 云服务
- Microsoft Entra ID(以前称为 Azure Active Directory)
- Microsoft Entra ID 审核日志(以前称为 Azure AD 审核日志)
- Microsoft Defender for Cloud
- Microsoft Graph API 活动
如需了解详情,请参阅 Google SecOps 文档中的以下内容:
支持的设备和 Azure 所需的日志类型:有关每个规则集所需数据的信息。
注入 Azure 和 Microsoft Entra ID 数据和创建 Azure 事件中心 Feed:收集 Azure 和 Microsoft Entra ID 日志数据的步骤。
针对 Azure 数据的精选检测:云威胁类别精选检测中的 Azure 规则集摘要。
使用精选检测来识别威胁:在 Google SecOps 中使用精选检测的方式。
如需了解 Security Command Center Enterprise 客户可以直接注入到 Google SecOps 租户的日志数据类型,请参阅 Google SecOps 日志数据收集。
为 CIEM 配置 Microsoft Azure 日志注入
如需为 Microsoft Azure 环境生成 CIEM 发现结果,CIEM 功能需要从需要分析的每个 Azure 订阅或管理组的 Azure 活动日志中获取数据。
准备工作
如需导出 Azure 订阅或管理组的活动日志,请配置 Microsoft Azure 存储账号。
为管理组配置 Microsoft Azure 日志注入
如需为管理组配置 Azure 活动日志记录,请使用管理组 API。
如需从存储账号中注入已导出的活动日志,请在安全运维控制台中配置 Feed。
为 Feed 设置注入标签,方法是将标签设置为
CIEM,将值设置为TRUE。
为订阅配置 Microsoft Azure 日志注入
如需为订阅配置 Azure 活动日志记录,请执行以下操作:
- 在 Azure 控制台中,搜索监控。
- 在左侧导航窗格中,点击活动日志链接。
- 点击导出活动日志。
- 针对需要导出日志的每个订阅或管理组,执行以下操作:
- 在订阅菜单中,选择要导出活动日志的 Microsoft Azure 订阅。
- 点击添加诊断设置。
- 为诊断设置输入名称。
- 在日志类别中,选择管理。
- 在目标详细信息下,选择归档到存储账号。
- 选择您创建的订阅和存储账号,然后点击保存。
如需从存储账号中注入已导出的活动日志,请在安全运维控制台中配置 Feed。
为 Feed 设置注入标签,方法是将标签设置为
CIEM,将值设置为TRUE。
后续步骤
- 如需启用 CIEM,请参阅启用 CIEM 检测服务。
- 如需详细了解 CIEM 功能,请参阅 CIEM 概览。