Crea un feed de Azure Event Hub
En este documento, se muestra cómo configurar un centro de eventos de Azure para enviar datos de seguridad a Google Security Operations. Puedes crear hasta 10 feeds de Azure Event Hub, incluidos los feeds activos e inactivos.
Para configurar un feed de Azure, completa los siguientes procesos:Crea un centro de eventos en Azure: Configura la infraestructura necesaria en tu entorno de Azure para recibir y almacenar el flujo de datos de seguridad.
Configura el feed en Google SecOps: Configura el feed en Google SecOps para conectarte a tu centro de eventos de Azure y comenzar a transferir datos.
Crea un centro de eventos de Azure
Para crear un centro de eventos en Azure, haz lo siguiente:
Crea un espacio de nombres y un centro de eventos.
Para garantizar una transferencia de datos óptima, implementa el espacio de nombres de Event Hub en la misma región que tu instancia de Google SecOps. Implementar el centro de eventos en una región diferente puede reducir el rendimiento que se transfiere a Google SecOps.
Establece el recuento de particiones en 40 para un escalamiento óptimo.
Para evitar la pérdida de datos debido a los límites de cuota de Google SecOps, establece un tiempo de retención prolongado para tu centro de eventos. Esto garantiza que los registros no se borren antes de que se reanude la transferencia después de una limitación de cuota. Para obtener más información sobre la retención de eventos y las limitaciones de tiempo de retención, consulta Retención de eventos.
En el caso de los centros de eventos de nivel estándar, habilita Auto inflate para ajustar automáticamente la escala del procesamiento según sea necesario. Consulta Aumenta automáticamente las unidades de procesamiento de Azure Event Hubs para obtener más información.
En los niveles básico y estándar, una unidad de procesamiento (TU) en Azure Event Hubs admite hasta 1 MB por segundo de ingesta de datos. Si el volumen de eventos entrantes supera la capacidad de las TU configuradas, es posible que se pierdan datos. Por ejemplo, si configuras 5 TU, la tasa de transferencia máxima admitida es de 5 MB por segundo. Si los eventos se envían a 20 MB por segundo, es posible que Event Hub falle. Como resultado, es posible que se pierdan registros a nivel del centro de eventos antes de que lleguen a Google SecOps.
Obtén la cadena de conexión del centro de eventos que Google SecOps necesita para transferir datos del centro de eventos de Azure. Esta cadena de conexión autoriza a Google SecOps a acceder a los datos de seguridad de tu centro de eventos y recopilarlos. Tienes dos opciones para proporcionar una cadena de conexión:
Nivel del espacio de nombres del centro de eventos: Funciona para todos los centros de eventos dentro del espacio de nombres. Es una opción más simple si usas varios centros de eventos y deseas usar la misma cadena de conexión para todos ellos en la configuración de tu feed.
Nivel del centro de eventos: Se aplica a un solo centro de eventos. Esta es una opción segura si solo necesitas otorgar acceso a un centro de eventos. Asegúrate de quitar
EntityPathdel final de la cadena de conexión.
Por ejemplo, cambia
Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME>aEndpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>.Configura tus aplicaciones, como Web Application Firewall o Microsoft Defender, para que envíen sus registros al centro de eventos.
Usuarios de Microsoft Defender: Cuando configuren la transmisión de Microsoft Defender, asegúrense de ingresar el nombre existente de su centro de eventos. Si dejas este campo en blanco, es posible que el sistema cree centros de eventos innecesarios y consuma tu cuota limitada de feeds. Para mantener todo organizado, usa nombres de centros de eventos que coincidan con el tipo de registro.
Configura el feed de Azure
Para configurar el feed de Azure en Google SecOps, haz lo siguiente:
En el menú de Google SecOps, selecciona Configuración del SIEM y, luego, haz clic en Feeds.
Haz clic en Agregar nueva.
En el campo Nombre del feed, ingresa un nombre para el feed.
En la lista Tipo de fuente, selecciona Microsoft Azure Event Hub.
Selecciona el Tipo de registro. Por ejemplo, para crear un feed para el marco de trabajo Open Cybersecurity Schema Framework, selecciona Open Cybersecurity Schema Framework (OCSF) como el Tipo de registro.
Haz clic en Siguiente. Aparecerá la ventana Agregar feed.
Recupera la información del centro de eventos que creaste anteriormente en Azure Portal para completar los siguientes campos:
- Nombre del centro de eventos: El nombre del centro de eventos
Grupo de consumidores del centro de eventos: Es el grupo de consumidores asociado con tu centro de eventos.
Cadena de conexión del centro de eventos: Cadena de conexión del centro de eventos
Cadena de conexión de Azure Storage: Opcional. Cadena de conexión del almacenamiento de blobs
Nombre del contenedor de Azure Storage: Opcional. Nombre del contenedor de Blob Storage
Token SAS de Azure: Opcional. El token de SAS
Espacio de nombres del recurso: Opcional. El espacio de nombres del recurso
Etiquetas de transferencia: Opcional. Es la etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente. Aparecerá la pantalla Finalizar.
Revisa la configuración del feed y, luego, haz clic en Enviar.
Verifica el flujo de datos
Para verificar que tus datos se transfieran a Google SecOps y que tu centro de eventos funcione correctamente, puedes realizar las siguientes verificaciones:
En Google SecOps, examina los paneles y usa la búsqueda de registros sin procesar o del modelo de datos unificado (UDM) para verificar que los datos transferidos estén en el formato correcto.
En el portal de Azure, navega a la página de tu centro de eventos y examina los gráficos que muestran los bytes entrantes y salientes. Asegúrate de que las tasas de entrada y salida sean aproximadamente equivalentes, lo que indica que los mensajes se están procesando y no hay tareas pendientes.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.