Créer un flux Azure Event Hub
Ce document explique comment configurer un hub d'événements Azure pour envoyer des données de sécurité à Google Security Operations. Vous pouvez créer jusqu'à 10 flux Azure Event Hub, y compris les flux actifs et inactifs.
Pour configurer un flux Azure, procédez comme suit :Créez un hub d'événements dans Azure : configurez l'infrastructure requise dans votre environnement Azure pour recevoir et stocker le flux de données de sécurité.
Configurez le flux dans Google SecOps : configurez le flux dans Google SecOps pour vous connecter à votre hub d'événements Azure et commencer à ingérer des données.
Créer un hub d'événements Azure
Pour créer un hub d'événements dans Azure, procédez comme suit :
Créez un espace de noms Event Hubs et un hub d'événements.
Pour garantir une ingestion optimale des données, déployez l'espace de noms Event Hub dans la même région que votre instance Google SecOps. Le déploiement du hub d'événements dans une autre région peut réduire le débit ingéré dans Google SecOps.
Définissez le nombre de partitions sur 40 pour une mise à l'échelle optimale.
Pour éviter toute perte de données due aux limites de quota Google SecOps, définissez une longue durée de conservation pour votre hub d'événements. Cela garantit que les journaux ne sont pas supprimés avant la reprise de l'ingestion après une limitation du quota. Pour en savoir plus sur la conservation des événements et les limites de durée de conservation, consultez Conservation des événements.
Pour les hubs d'événements de niveau Standard, activez l'augmentation automatique pour mettre automatiquement à l'échelle le débit selon les besoins. Pour en savoir plus, consultez Augmenter automatiquement les unités de débit Azure Event Hubs.
Pour les niveaux de base et standard, une unité de débit (TU) dans Azure Event Hub prend en charge jusqu'à 1 Mo par seconde d'ingestion de données. Si le volume d'événements entrants dépasse la capacité des UT configurées, des pertes de données peuvent se produire. Par exemple, si vous configurez cinq unités de traitement, le taux d'ingestion maximal accepté est de 5 Mo par seconde. Si des événements sont envoyés à 20 Mo par seconde, le hub d'événements peut planter. Par conséquent, des journaux peuvent être perdus au niveau de l'Event Hub avant d'atteindre Google SecOps.
Obtenez la chaîne de connexion du hub d'événements requise pour que Google SecOps ingère les données du hub d'événements Azure. Cette chaîne de connexion autorise Google SecOps à accéder aux données de sécurité de votre hub d'événements et à les collecter. Vous disposez de deux options pour fournir une chaîne de connexion :
Au niveau de l'espace de noms Event Hubs : fonctionne pour tous les hubs d'événements de l'espace de noms. Il s'agit d'une option plus simple si vous utilisez plusieurs hubs d'événements et que vous souhaitez utiliser la même chaîne de connexion pour tous dans la configuration de votre flux.
Au niveau du hub d'événements : s'applique à un seul hub d'événements. Il s'agit d'une option sécurisée si vous n'avez besoin d'accorder l'accès qu'à un seul hub d'événements. Veillez à supprimer
EntityPathà la fin de la chaîne de connexion.
Par exemple, remplacez
Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME>parEndpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>.Configurez vos applications, telles que Web Application Firewall ou Microsoft Defender, pour qu'elles envoient leurs journaux au hub d'événements.
Utilisateurs de Microsoft Defender : lorsque vous configurez le streaming Microsoft Defender, assurez-vous de saisir le nom de votre hub d'événements existant. Si vous laissez ce champ vide, le système risque de créer des hubs d'événements inutiles et de consommer votre quota de flux limité. Pour rester organisé, utilisez des noms de hubs d'événements qui correspondent au type de journal.
Configurer le flux Azure
Pour configurer le flux Azure dans Google SecOps, procédez comme suit :
Dans le menu Google SecOps, sélectionnez Paramètres du SIEM, puis cliquez sur Flux.
Cliquez sur Ajouter.
Dans le champ Nom du flux, saisissez un nom pour le flux.
Dans la liste Type de source, sélectionnez Microsoft Azure Event Hub.
Sélectionnez le type de journal. Par exemple, pour créer un flux pour Open Cybersecurity Schema Framework, sélectionnez Open Cybersecurity Schema Framework (OCSF) comme Type de journal.
Cliquez sur Suivant. La fenêtre Ajouter un flux s'affiche.
Récupérez les informations du hub d'événements que vous avez créé précédemment dans le portail Azure pour remplir les champs suivants :
- Nom du hub d'événements : nom du hub d'événements
Groupe de consommateurs du hub d'événements : groupe de consommateurs associé à votre hub d'événements.
Chaîne de connexion du hub d'événements : chaîne de connexion du hub d'événements
Chaîne de connexion au stockage Azure : facultatif. Chaîne de connexion Blob Storage
Nom du conteneur Azure Storage : facultatif. Nom du conteneur Blob Storage
Jeton SAP Azure : facultatif. Jeton SAS
Espace de noms de l'élément : facultatif. L'espace de noms de l'élément
Étiquettes d'ingestion : facultatif. Libellé à appliquer aux événements de ce flux
Cliquez sur Suivant. L'écran Finalize (Finaliser) s'affiche.
Vérifiez la configuration de votre flux, puis cliquez sur Envoyer.
Vérifier le flux de données
Pour vérifier que vos données sont transférées vers Google SecOps et que votre hub d'événements fonctionne correctement, vous pouvez effectuer les vérifications suivantes :
Dans Google SecOps, examinez les tableaux de bord et utilisez la recherche "Analyse des journaux bruts" ou "Unified Data Model (UDM)" pour vérifier que les données ingérées sont présentes au bon format.
Dans le portail Azure, accédez à la page de votre hub d'événements et examinez les graphiques qui affichent les octets entrants et sortants. Assurez-vous que les taux d'entrée et de sortie sont à peu près équivalents, ce qui indique que les messages sont traités et qu'il n'y a pas de tâches en attente.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.