Criar um feed do Azure Event Hub

Compatível com:

Neste documento, mostramos como configurar um Hub de Eventos do Azure para enviar dados de segurança ao Google Security Operations. É possível criar até 10 feeds do Hub de Eventos do Azure, incluindo feeds ativos e inativos.

Para configurar um feed do Azure, conclua os seguintes processos:

  1. Crie um hub de eventos no Azure:configure a infraestrutura necessária no ambiente do Azure para receber e armazenar o fluxo de dados de segurança.

  2. Configure o feed no Google SecOps: configure o feed no Google SecOps para se conectar ao hub de eventos do Azure e começar a ingerir dados.

Criar um Hub de Eventos do Azure

Para criar um hub de eventos no Azure, faça o seguinte:

  1. Crie um namespace e um hub de eventos.

    • Para garantir a ingestão ideal de dados, implante o namespace do Hub de Eventos na mesma região da instância do Google SecOps. Implantar o hub de eventos em uma região diferente pode reduzir a taxa de transferência ingerida no Google SecOps.

    • Defina a contagem de partições como 40 para um escalonamento ideal.

    • Para evitar a perda de dados devido aos limites de cota do Google SecOps, defina um longo período de retenção para seu hub de eventos. Isso garante que os registros não sejam excluídos antes que a ingestão seja retomada após uma limitação de cota. Para mais informações sobre retenção de eventos e limitações de tempo de retenção, consulte Retenção de eventos.

    • Para hubs de eventos de nível padrão, ative o Inflar automaticamente para escalonar a capacidade de processamento automaticamente conforme necessário. Consulte Aumentar escalonar verticalmente as unidades de taxa de transferência do Azure Event Hubs para mais informações.

    • Para os níveis básico e padrão, uma unidade de taxa de transferência (TU) no Azure Event Hub oferece suporte a até 1 MB por segundo de ingestão de dados. Se o volume de eventos recebidos exceder a capacidade das UCs configuradas, poderá ocorrer perda de dados. Por exemplo, se você configurar 5 TUs, a taxa máxima de ingestão será de 5 MB por segundo. Se os eventos forem enviados a 20 MB por segundo, o Hub de Eventos poderá falhar. Como resultado, os registros podem ser perdidos no nível do Hub de eventos antes de chegarem ao Google SecOps.

  2. Extraia a string de conexão do hub de eventos necessária para que o Google SecOps ingira dados do hub de eventos do Azure. Essa string de conexão autoriza o Google SecOps a acessar e coletar dados de segurança do seu hub de eventos. Você tem duas opções para fornecer uma string de conexão:

    • Nível do namespace do hub de eventos: funciona para todos os hubs de eventos no namespace. É uma opção mais simples se você estiver usando vários hubs de eventos e quiser usar a mesma string de conexão para todos eles na configuração do feed.

    • Nível do hub de eventos: se aplica a um único hub de eventos. Essa é uma opção segura se você precisar conceder acesso a apenas um hub de eventos. Remova EntityPath do final da string de conexão.

    Por exemplo, altere Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME> para Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>.

  3. Configure seus aplicativos, como firewall de aplicativos da Web ou Microsoft Defender, para enviar os registros ao hub de eventos.

    Usuários do Microsoft Defender:ao configurar o streaming do Microsoft Defender, insira o nome do hub de eventos atual. Se você deixar esse campo em branco, o sistema poderá criar hubs de eventos desnecessários e consumir sua cota limitada de feeds. Para manter tudo organizado, use nomes de hubs de eventos que correspondam ao tipo de registro.

Configurar o feed do Azure

Para configurar o feed do Azure no Google SecOps, faça o seguinte:

  1. No menu do Google SecOps, selecione Configurações do SIEM e clique em Feeds.

  2. Clique em Adicionar novo.

  3. No campo Nome do feed, insira um nome para o feed.

  4. Na lista Tipo de origem, selecione Hub de eventos do Microsoft Azure.

  5. Selecione o Tipo de registro. Por exemplo, para criar um feed para o Open Cybersecurity Schema Framework, selecione Open Cybersecurity Schema Framework (OCSF) como o Tipo de registro.

  6. Clique em Próxima. A janela Adicionar feed vai aparecer.

  7. Recupere as informações do hub de eventos que você criou antes no portal do Azure para preencher os seguintes campos:

    • Nome do hub de eventos: o nome do hub de eventos

    • Grupo de consumidores do hub de eventos: o grupo de consumidores associado ao seu hub de eventos.

    • String de conexão do hub de eventos: a string de conexão do hub de eventos

    • String de conexão do armazenamento do Azure: opcional. A string de conexão do armazenamento de blobs

    • Nome do contêiner de armazenamento do Azure: opcional. O nome do contêiner de armazenamento de blobs

    • Token SAS do Azure: opcional. O token SAS

    • Namespace do recurso: opcional. O namespace do recurso

    • Rótulos de ingestão: opcional. O rótulo a ser aplicado aos eventos deste feed

  8. Clique em Próxima. A tela Finalizar é exibida.

  9. Revise a configuração do feed e clique em Enviar.

Verificar o fluxo de dados

Para verificar se os dados estão fluindo para o Google SecOps e se o hub de eventos está funcionando corretamente, faça estas verificações:

  • No Google SecOps, examine os painéis e use a verificação de registros brutos ou a pesquisa do modelo de dados unificado (UDM) para verificar se os dados ingeridos estão no formato correto.

  • No portal do Azure, navegue até a página do hub de eventos e inspecione os gráficos que mostram bytes de entrada e saída. Verifique se as taxas de entrada e saída são aproximadamente equivalentes, indicando que as mensagens estão sendo processadas e não há backlog.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.