Azure Event Hub-Feed erstellen
In diesem Dokument erfahren Sie, wie Sie einen Azure Event Hub einrichten, um Sicherheitsdaten an Google Security Operations zu senden. Sie können bis zu zehn Azure Event Hub-Feeds erstellen, die sowohl aktive als auch inaktive Feeds enthalten.
Führen Sie die folgenden Schritte aus, um einen Azure-Feed einzurichten:Event Hub in Azure erstellen:Richten Sie die erforderliche Infrastruktur in Ihrer Azure-Umgebung ein, um den Sicherheitsdatenstream zu empfangen und zu speichern.
Feed in Google SecOps konfigurieren:Konfigurieren Sie den Feed in Google SecOps, um eine Verbindung zum Azure Event Hub herzustellen und mit der Datenaufnahme zu beginnen.
Azure Event Hub erstellen
So erstellen Sie einen Ereignis-Hub in Azure:
Erstellen Sie einen Event Hub-Namespace und einen Event Hub.
Stellen Sie den Event Hub-Namespace in derselben Region wie Ihre Google SecOps-Instanz bereit, um eine optimale Datenaufnahme zu gewährleisten. Wenn Sie den Ereignis-Hub in einer anderen Region bereitstellen, kann sich der in Google SecOps aufgenommene Durchsatz reduzieren.
Legen Sie die Partitionsanzahl für eine optimale Skalierung auf 40 fest.
Legen Sie eine lange Aufbewahrungsdauer für Ihren Event Hub fest, um Datenverluste aufgrund von Google SecOps-Kontingentlimits zu vermeiden. Dadurch wird sichergestellt, dass Logs nicht gelöscht werden, bevor die Aufnahme nach einer Kontingentdrosselung fortgesetzt wird. Weitere Informationen zur Ereignisaufbewahrung und zeitlichen Beschränkungen finden Sie unter Ereignisaufbewahrung.
Aktivieren Sie für Ereignis-Hubs der Standardstufe Auto Inflate, um den Durchsatz automatisch nach Bedarf zu skalieren. Weitere Informationen finden Sie unter Durchsatzeinheiten von Azure Event Hubs automatisch hochskalieren.
Bei der Basis- und der Standardstufe unterstützt eine Durchsatzeinheit in Azure Event Hub bis zu 1 MB an Datenaufnahme pro Sekunde. Wenn das Volumen eingehender Ereignisse die Kapazität der konfigurierten TUs überschreitet, kann es zu Datenverlusten kommen. Wenn Sie beispielsweise 5 TUs konfigurieren, beträgt die maximal unterstützte Aufnahmerate 5 MB pro Sekunde. Wenn Ereignisse mit 20 MB pro Sekunde gesendet werden, kann der Ereignis-Hub abstürzen. Infolgedessen können Logs auf Ereignis-Hub-Ebene verloren gehen, bevor sie Google SecOps erreichen.
Rufen Sie den Event Hub-Verbindungsstring ab, der erforderlich ist, damit Google SecOps Daten aus dem Azure Event Hub aufnehmen kann. Mit diesem Verbindungsstring wird Google SecOps autorisiert, auf Sicherheitsdaten von Ihrem Event Hub zuzugreifen und diese zu erfassen. Sie haben zwei Möglichkeiten, einen Verbindungsstring anzugeben:
Namespace-Ebene des Ereignis-Hubs: Funktioniert für alle Event Hubs innerhalb des Namespace. Das ist eine einfachere Option, wenn Sie mehrere Ereignis-Hubs verwenden und für alle in Ihrer Feedeinrichtung denselben Verbindungsstring verwenden möchten.
Veranstaltungs-Hub-Ebene: gilt für einen einzelnen Veranstaltungs-Hub. Das ist eine sichere Option, wenn Sie nur einem Event-Hub Zugriff gewähren müssen. Achten Sie darauf,
EntityPathvom Ende des Verbindungsstrings zu entfernen.
Ändern Sie beispielsweise
Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME>inEndpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>.Konfigurieren Sie Ihre Anwendungen wie Web Application Firewall oder Microsoft Defender so, dass ihre Logs an den Event Hub gesendet werden.
Microsoft Defender-Nutzer:Wenn Sie das Microsoft Defender-Streaming konfigurieren, müssen Sie den Namen des vorhandenen Event Hub eingeben. Wenn Sie dieses Feld leer lassen, erstellt das System möglicherweise unnötige Ereignis-Hubs und verbraucht Ihr begrenztes Feedkontingent. Verwenden Sie Ereignis-Hub-Namen, die dem Logtyp entsprechen, um den Überblick zu behalten.
Azure-Feed konfigurieren
So konfigurieren Sie den Azure-Feed in Google SecOps:
Wählen Sie im Google SecOps-Menü SIEM-Einstellungen aus und klicken Sie dann auf Feeds.
Klicken Sie auf Neu hinzufügen.
Geben Sie im Feld Feedname einen Namen für den Feed ein.
Wählen Sie in der Liste Source type (Quelltyp) die Option Microsoft Azure Event Hub aus.
Wählen Sie den Logtyp aus. Wenn Sie beispielsweise einen Feed für das Open Cybersecurity Schema Framework erstellen möchten, wählen Sie Open Cybersecurity Schema Framework (OCSF) als Logtyp aus.
Klicken Sie auf Weiter. Das Fenster Feed hinzufügen wird angezeigt.
Rufen Sie die Informationen aus dem Event Hub ab, den Sie zuvor im Azure-Portal erstellt haben, und füllen Sie die folgenden Felder aus:
- Event Hub-Name: der Name des Event Hub
Event Hub-Nutzergruppe: die mit Ihrem Ereignis-Hub verknüpfte Nutzergruppe
Event Hub-Verbindungsstring: der Event Hub-Verbindungsstring
Azure Storage-Verbindungsstring: Optional. Der Blob-Speicherverbindungsstring
Name des Azure Storage-Containers: Optional. Name des Blob-Speichercontainers
Azure SAS-Token: Optional. Das SAS-Token
Asset-Namespace: Optional. Asset-Namespace
Aufnahmelabels: Optional. Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll
Klicken Sie auf Weiter. Der Bildschirm Abschließen wird angezeigt.
Überprüfen Sie die Feedkonfiguration und klicken Sie dann auf Senden.
Datenfluss prüfen
Sie können die folgenden Prüfungen durchführen, um zu prüfen, ob Ihre Daten in Google SecOps einfließen und der Ereignis-Hub ordnungsgemäß funktioniert:
Prüfen Sie die Dashboards in Google SecOps und prüfen Sie mithilfe des Rohlogscans oder der UDM-Suche (Unified Data Model), ob die aufgenommenen Daten im richtigen Format vorhanden sind.
Rufen Sie im Azure-Portal die Seite Ihres Event Hub auf und prüfen Sie die Diagramme, in denen die eingehenden und ausgehenden Byte angezeigt werden. Achten Sie darauf, dass die Gebühren für eingehende und ausgehende Nachrichten in etwa gleich sind. Dies zeigt an, dass die Nachrichten verarbeitet werden und es keinen Rückstand gibt.
Benötigen Sie weitere Hilfe? Sie erhalten Antworten von Community-Mitgliedern und Google SecOps-Experten.