Membuat feed Azure Event Hub

Didukung di:

Dokumen ini menunjukkan cara menyiapkan Azure Event Hub untuk mengirim data keamanan ke Google Security Operations. Anda dapat membuat hingga 10 feed Azure Event Hub, yang mencakup feed aktif dan tidak aktif.

Untuk menyiapkan feed Azure, selesaikan proses berikut:

  1. Buat hub peristiwa di Azure: siapkan infrastruktur yang diperlukan di lingkungan Azure Anda untuk menerima dan menyimpan aliran data keamanan.

  2. Konfigurasi feed di Google SecOps: Konfigurasi feed di Google SecOps untuk terhubung ke Azure Event Hub dan mulai menyerap data.

Membuat Azure Event Hub

Untuk membuat hub peristiwa di Azure, lakukan hal berikut:

  1. Buat namespace hub peristiwa dan hub peristiwa.

    • Untuk memastikan penyerapan data yang optimal, deploy namespace Event Hub di region yang sama dengan instance Google SecOps Anda. Men-deploy hub peristiwa di region yang berbeda dapat mengurangi throughput yang diserap ke Google SecOps.

    • Tetapkan jumlah partisi ke 40 untuk penskalaan yang optimal.

    • Untuk membantu mencegah kehilangan data karena batas kuota Google SecOps, tetapkan waktu retensi yang lama untuk hub peristiwa Anda. Hal ini memastikan bahwa log tidak dihapus sebelum penyerapan dilanjutkan setelah pembatasan kuota. Untuk mengetahui informasi selengkapnya tentang retensi peristiwa dan batasan waktu retensi, lihat Retensi peristiwa.

    • Untuk hub peristiwa tingkat standar, aktifkan Inflasi otomatis untuk menskalakan throughput secara otomatis sesuai kebutuhan. Lihat Menskalakan unit throughput Azure Event Hubs secara otomatis untuk mengetahui informasi selengkapnya.

    • Untuk tingkat dasar dan standar, satu unit throughput (TU) di Azure Event Hub mendukung penyerapan data hingga 1 MB per detik. Jika volume peristiwa masuk melebihi kapasitas TU yang dikonfigurasi, kehilangan data dapat terjadi. Misalnya, jika Anda mengonfigurasi 5 TU, kecepatan penyerapan maksimum yang didukung adalah 5 MB per detik. Jika peristiwa dikirim pada kecepatan 20 MB per detik, Event Hub dapat mengalami error. Akibatnya, log dapat hilang di tingkat Event Hub sebelum mencapai Google SecOps.

  2. Dapatkan string koneksi hub peristiwa yang diperlukan agar Google SecOps dapat menyerap data dari hub peristiwa Azure. String koneksi ini memberi otorisasi kepada Google SecOps untuk mengakses dan mengumpulkan data keamanan dari hub peristiwa Anda. Anda memiliki dua opsi untuk menyediakan string koneksi:

    • Tingkat namespace hub peristiwa: berfungsi untuk semua hub peristiwa dalam namespace. Opsi ini lebih sederhana jika Anda menggunakan beberapa hub peristiwa dan ingin menggunakan string koneksi yang sama untuk semuanya dalam penyiapan feed.

    • Tingkat hub peristiwa: berlaku untuk satu hub peristiwa. Opsi ini aman jika Anda hanya perlu memberikan akses ke satu hub peristiwa. Pastikan Anda menghapus EntityPath dari akhir string koneksi.

    Misalnya, ubah Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME> menjadi Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>.

  3. Konfigurasi aplikasi Anda, seperti Web Application Firewall atau Microsoft Defender, untuk mengirim lognya ke hub peristiwa.

    Pengguna Microsoft Defender: Saat mengonfigurasi streaming Microsoft Defender, pastikan Anda memasukkan nama hub peristiwa yang ada. Jika Anda mengosongkan kolom ini, sistem dapat membuat hub peristiwa yang tidak perlu dan menggunakan kuota feed Anda yang terbatas. Agar tetap teratur, gunakan nama hub peristiwa yang cocok dengan jenis log.

Mengonfigurasi feed Azure

Untuk mengonfigurasi feed Azure di Google SecOps, lakukan hal berikut:

  1. Di menu Google SecOps, pilih SIEM Settings, lalu klik Feeds.

  2. Klik Tambahkan baru.

  3. Di kolom Nama feed, masukkan nama untuk feed.

  4. Dalam daftar Source type, pilih Microsoft Azure Event Hub.

  5. Pilih Jenis log. Misalnya, untuk membuat feed untuk Open Cybersecurity Schema Framework, pilih Open Cybersecurity Schema Framework (OCSF) sebagai Jenis log.

  6. Klik Berikutnya. Jendela Tambahkan feed akan muncul.

  7. Ambil informasi dari hub peristiwa yang Anda buat sebelumnya di portal Azure untuk mengisi kolom berikut:

    • Nama Event hub: nama Event hub
    • Grup konsumen hub peristiwa: grup konsumen yang terkait dengan hub peristiwa Anda

    • String koneksi Event Hub: string koneksi Event Hub

    • String koneksi penyimpanan Azure: Opsional. String koneksi penyimpanan blob

    • Nama container Azure Storage: Opsional. Nama container blob storage

    • Token SAS Azure: Opsional. Token SAS

    • Namespace aset: Opsional. Namespace aset

    • Label penyerapan: Opsional. Label yang akan diterapkan ke peristiwa dari feed ini

  8. Klik Berikutnya. Layar Selesaikan akan muncul.

  9. Tinjau konfigurasi feed Anda, lalu klik Kirim.

Memverifikasi alur data

Untuk memverifikasi bahwa data Anda masuk ke Google SecOps dan hub peristiwa Anda berfungsi dengan benar, Anda dapat melakukan pemeriksaan berikut:

  • Di Google SecOps, periksa dasbor dan gunakan penelusuran Pemindaian Log Mentah atau Model Data Terpadu (UDM) untuk memverifikasi bahwa data yang di-ingest ada dalam format yang benar.

  • Di portal Azure, buka halaman hub peristiwa Anda dan periksa grafik yang menampilkan byte masuk dan keluar. Pastikan kecepatan masuk dan keluar kira-kira sama, yang menunjukkan bahwa pesan sedang diproses dan tidak ada backlog.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.