Verbindung mit Microsoft Azure für die Erfassung von Protokolldaten herstellen

Für die von Security Command Center kuratierten Erkennungen, die Untersuchung von Bedrohungen und die CIEM-Funktionen (Cloud Infrastructure Entitlement Management) für Microsoft Azure müssen Microsoft Azure-Logs über die Erfassungspipeline der Security Operations-Konsole aufgenommen werden. Die für die Aufnahme erforderlichen Microsoft Azure-Logtypen unterscheiden sich je nach Konfiguration:

  • Für CIEM sind Daten vom Logtyp „Azure Cloud Services“ (AZURE_ACTIVITY) erforderlich.
  • Für kuratierte Erkennungen sind Daten aus mehreren Logtypen erforderlich. Weitere Informationen zu den verschiedenen Microsoft Azure-Logtypen finden Sie unter Unterstützte Geräte und erforderliche Logtypen.

Ausgewählte Erkennungen

Mit den kuratierten Erkennungen in der Enterprise-Stufe von Security Command Center lassen sich Bedrohungen in Microsoft Azure-Umgebungen anhand von Ereignis- und Kontextdaten erkennen.

Für diese Regelsätze sind die folgenden Daten erforderlich, damit sie wie vorgesehen funktionieren. Sie müssen Azure-Daten aus jeder dieser Datenquellen aufnehmen, um eine maximale Regelabdeckung zu erreichen.

Weitere Informationen finden Sie in der Google SecOps-Dokumentation:

Informationen dazu, welche Art von Logdaten Kunden mit Security Command Center Enterprise direkt in den Google SecOps-Mandanten aufnehmen können, finden Sie unter Erhebung von Google SecOps-Logdaten.

Microsoft Azure-Logaufnahme für CIEM konfigurieren

Damit CIEM-Ergebnisse für Ihre Microsoft Azure-Umgebung generiert werden können, sind für die CIEM-Funktionen Daten aus Azure-Aktivitätsprotokollen für jedes zu analysierende Azure-Abonnement oder jede zu analysierende Verwaltungsgruppe erforderlich.

Hinweise

Wenn Sie Aktivitätslogs für Ihre Azure-Abos oder Verwaltungsgruppen exportieren möchten, konfigurieren Sie ein Microsoft Azure-Speicherkonto.

Microsoft Azure-Logaufnahme für Verwaltungsgruppen konfigurieren

  1. Wenn Sie die Azure-Aktivitätsprotokollierung für Verwaltungsgruppen konfigurieren möchten, verwenden Sie die Management Group API.

  2. Wenn Sie exportierte Aktivitätslogs aus dem Speicherkonto aufnehmen möchten, konfigurieren Sie einen Feed in der Security Operations Console.

  3. Legen Sie ein Aufnahmelabel für den Feed fest, indem Sie Label auf CIEM und Wert auf TRUE setzen.

Microsoft Azure-Logaufnahme für Abos konfigurieren

  1. So konfigurieren Sie die Azure-Aktivitätsprotokollierung für Abos:

    1. Suchen Sie in der Azure-Konsole nach Monitor.
    2. Klicken Sie im linken Navigationsbereich auf den Link Aktivitätenprotokoll.
    3. Klicken Sie auf Aktivitätsprotokolle exportieren.
    4. Führen Sie die folgenden Aktionen für jedes Abo oder jede Verwaltungsgruppe aus, für die Protokolle exportiert werden müssen:
      1. Wählen Sie im Menü Abo das Microsoft Azure-Abo aus, aus dem Sie Aktivitätsprotokolle exportieren möchten.
      2. Klicken Sie auf Diagnoseeinstellung hinzufügen.
      3. Geben Sie einen Namen für die Diagnoseeinstellung ein.
      4. Wählen Sie unter Logkategorien die Option Administrativ aus.
      5. Wählen Sie unter Zieldetails die Option In einem Speicherkonto archivieren aus.
      6. Wählen Sie das von Ihnen erstellte Abo und Speicherkonto aus und klicken Sie auf Speichern.

  2. Wenn Sie exportierte Aktivitätslogs aus dem Speicherkonto aufnehmen möchten, konfigurieren Sie einen Feed in der Security Operations Console.

  3. Legen Sie ein Aufnahmelabel für den Feed fest, indem Sie Label auf CIEM und Wert auf TRUE setzen.

Nächste Schritte