Crea un feed Azure Event Hub

Questo documento mostra come configurare un hub eventi Azure per inviare dati di sicurezza a Google Security Operations. Puoi creare fino a 10 feed Azure Event Hub, inclusi quelli attivi e inattivi.

Per configurare un feed Azure, completa le seguenti procedure:

1. Crea un hub eventi in Azure: configura l'infrastruttura richiesta nel tuo ambiente Azure per ricevere e archiviare lo stream di dati di sicurezza.

2. Configura il feed in Google SecOps: configura il feed in Google SecOps per connetterti all'hub eventi di Azure e iniziare a importare i dati.

Crea un hub eventi Azure

Per creare un hub eventi in Azure:

1. Crea uno spazio dei nomi dell'hub eventi e un hub eventi.

   • Per garantire l'inserimento ottimale dei dati, esegui il deployment dello spazio dei nomi Event Hub nella stessa regione della tua istanza di Google SecOps. Il deployment dell'hub eventi in una regione diversa può ridurre la velocità effettiva inserita in Google SecOps.

   • Imposta il conteggio delle partizioni su 40 per una scalabilità ottimale.

   • Per evitare perdite di dati dovute ai limiti di quota di Google SecOps, imposta un periodo di conservazione lungo per l'hub eventi. In questo modo, i log non vengono eliminati prima che l'importazione riprenda dopo una limitazione della quota. Per saperne di più sulla conservazione degli eventi e sui limiti di tempo di conservazione, vedi Conservazione degli eventi.

   • Per gli hub eventi di livello standard, attiva Aumento automatico per scalare automaticamente la velocità effettiva in base alle esigenze. Per saperne di più, consulta Aumentare automaticamente le unità di velocità effettiva di Hub eventi di Azure.

   • Per i livelli di base e standard, un'unità di velocità effettiva (TU) in Azure Event Hub supporta l'importazione dati fino a 1 MB al secondo. Se il volume di eventi in entrata supera la capacità delle TU configurate, potrebbe verificarsi una perdita di dati. Ad esempio, se configuri 5 TU, la velocità di importazione massima supportata è di 5 MB al secondo. Se gli eventi vengono inviati a 20 MB al secondo, l'hub eventi potrebbe arrestarsi in modo anomalo. Di conseguenza, i log potrebbero essere persi a livello di Hub eventi prima di raggiungere Google SecOps.

2. Ottieni la stringa di connessione dell'hub eventi necessaria per Google SecOps per importare i dati dall'hub eventi Azure. Questa stringa di connessione autorizza Google SecOps ad accedere e raccogliere dati di sicurezza dal tuo hub eventi. Hai due opzioni per fornire una stringa di connessione:

   • A livello di spazio dei nomi dell'hub eventi: funziona per tutti gli hub eventi all'interno dello spazio dei nomi. È un'opzione più semplice se utilizzi più hub eventi e vuoi utilizzare la stessa stringa di connessione per tutti nella configurazione del feed.

   • Livello hub eventi: si applica a un singolo hub eventi. Questa è un'opzione sicura se devi concedere l'accesso a un solo hub eventi. Assicurati di rimuovere EntityPath dalla fine della stringa di connessione.

   Ad esempio, modifica Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME> in Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>.

3. Configura le tue applicazioni, ad esempio Web Application Firewall o Microsoft Defender, per inviare i log all'hub eventi.

   Utenti di Microsoft Defender: quando configuri lo streaming di Microsoft Defender, assicurati di inserire il nome dell'hub eventi esistente. Se lasci vuoto questo campo, il sistema potrebbe creare hub eventi non necessari e consumare la quota limitata di feed. Per mantenere l'organizzazione, utilizza nomi di hub eventi che corrispondano al tipo di log.

Configura il feed Azure

Per configurare il feed Azure in Google SecOps:

1. Nel menu di Google SecOps, seleziona Impostazioni SIEM e poi fai clic su Feed.

2. Fai clic su Aggiungi nuovo.

3. Nel campo Nome feed, inserisci un nome per il feed.

4. Nell'elenco Tipo di origine, seleziona Microsoft Azure Event Hub.

5. Seleziona il Tipo di log. Ad esempio, per creare un feed per Open Cybersecurity Schema Framework, seleziona Open Cybersecurity Schema Framework (OCSF) come Tipo di log.

6. Fai clic su Avanti. Viene visualizzata la finestra Aggiungi feed.

7. Recupera le informazioni dall'hub eventi creato in precedenza nel portale Azure per compilare i seguenti campi:

   • Nome dell'hub di eventi: il nome dell'hub di eventi

   • Gruppo di consumatori dell'hub eventi: il gruppo di consumatori associato al tuo hub eventi

   • Stringa di connessione dell'hub eventi: la stringa di connessione dell'hub eventi

   • Stringa di connessione dell'archiviazione di Azure: facoltativo. Stringa di connessione dello spazio di archiviazione blob

   • Nome del container di archiviazione di Azure: facoltativo. Il nome del container Blob Storage

   • Token SAS di Azure: (facoltativo). Il token SAS

   • Spazio dei nomi dell'asset: facoltativo. Lo spazio dei nomi dell'asset

   • Etichette di importazione: facoltativo. L'etichetta da applicare agli eventi di questo feed

8. Fai clic su Avanti. Viene visualizzata la schermata Finalizza.

9. Rivedi la configurazione del feed e poi fai clic su Invia.

Verificare il flusso di dati

Per verificare che i dati vengano inviati a Google SecOps e che l'hub eventi funzioni correttamente, puoi eseguire i seguenti controlli:

• In Google SecOps, esamina i dashboard e utilizza la ricerca Raw Log Scan o Unified Data Model (UDM) per verificare che i dati importati siano presenti nel formato corretto.

• Nel portale Azure, vai alla pagina dell'hub eventi e controlla i grafici che mostrano i byte in entrata e in uscita. Assicurati che le tariffe in entrata e in uscita siano più o meno equivalenti, il che indica che i messaggi vengono elaborati e non ci sono arretrati.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.