Criar um feed do Hub de eventos do Azure

Compatível com:

Neste documento, mostramos como configurar um Hub de Eventos do Azure para enviar dados de segurança às Operações de segurança do Google. É possível criar até 10 feeds do Azure Event Hub, que incluem feeds ativos e inativos.

Para configurar um feed do Azure, conclua os seguintes processos:

  1. Crie um hub de eventos no Azure: configure a infraestrutura necessária no ambiente do Azure para receber e armazenar o fluxo de dados de segurança.

  2. Configure o feed no Google SecOps: configure o feed no Google SecOps para se conectar ao seu hub de eventos do Azure e começar a ingerir dados.

Criar um Hub de Eventos do Azure

Para criar um hub de eventos no Azure, faça o seguinte:

  1. Crie um namespace e um hub de eventos.

    • Para garantir a ingestão de dados ideal, implante o namespace do Hub de eventos na mesma região da instância do Google SecOps. Implantar o hub de eventos em uma região diferente pode reduzir a capacidade ingerida pelo Google SecOps.

    • Defina a contagem de partições como 40 para otimizar o escalonamento.

    • Para evitar a perda de dados devido aos limites de cota do Google SecOps, defina um tempo de retenção longo para seu hub de eventos. Isso garante que os registros não sejam excluídos antes que a ingestão seja retomada após uma limitação de cota. Para mais informações sobre retenção de eventos e limitações de tempo de retenção, consulte Retenção de eventos.

    • Nos hubs de eventos de nível Standard, ative a opção Inflar automaticamente para escalonar automaticamente a capacidade conforme necessário. Consulte Escalonar automaticamente as unidades de capacidade dos Hubs de eventos do Azure para mais informações.

    • Para os níveis básico e padrão, uma unidade de capacidade (TU) no Hub de Eventos do Azure é compatível com até 1 MB por segundo de ingestão de dados. Se o volume de eventos de entrada exceder a capacidade das TUs configuradas, pode ocorrer perda de dados. Por exemplo, se você configurar cinco TUs, a taxa de ingestão máxima aceita será de 5 MB por segundo. Se os eventos forem enviados a 20 MB por segundo, o hub de eventos poderá falhar. Como resultado, eles podem ser perdidos no nível do hub de eventos antes de chegarem ao Google SecOps.

  2. Consiga a string de conexão do hub de eventos necessária para o Google SecOps ingerir dados do hub de eventos do Azure. Essa string de conexão autoriza o Google SecOps a acessar e coletar dados de segurança do seu hub de eventos. Você tem duas opções para fornecer uma string de conexão:

    • Nível do namespace do hub de eventos: funciona para todos os hubs de eventos no namespace. É uma opção mais simples se você estiver usando vários hubs de eventos e quiser usar a mesma string de conexão para todos eles na configuração do feed.

    • Nível do hub de eventos: aplica-se a um único hub de eventos. Essa é uma opção segura se você precisar conceder acesso a apenas um hub de eventos. Não se esqueça de remover EntityPath do final da string de conexão.

    Por exemplo, altere Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME> para Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>.

  3. Configure seus aplicativos, como o Firewall de aplicativos da Web ou o Microsoft Defender, para enviar os registros ao hub de eventos.

    Usuários do Microsoft Defender: ao configurar o streaming do Microsoft Defender, digite o nome do seu hub de eventos. Se você deixar esse campo em branco, o sistema poderá criar hubs de eventos desnecessários e consumir sua cota de feed limitada. Para manter tudo organizado, use nomes de hubs de eventos que correspondam ao tipo de registro.

Configurar o feed do Azure

Para configurar o feed do Azure no Google SecOps, faça o seguinte:

  1. No menu do Google SecOps, selecione Configurações do SIEM e clique em Feeds.

  2. Clique em Adicionar novo.

  3. No campo Nome do feed, insira um nome.

  4. Na lista Tipo de origem, selecione Microsoft Azure Event Hub.

  5. Selecione o Tipo de registro. Por exemplo, para criar um feed para o Open Cybersecurity Schema Framework, selecione Open Cybersecurity Schema Framework (OCSF) como o Tipo de registro.

  6. Clique em Próxima. A janela Adicionar feed será exibida.

  7. Recupere as informações do hub de eventos que você criou anteriormente no portal do Azure para preencher os seguintes campos:

    • Nome do hub de eventos: o nome do hub de eventos

    • Grupo de consumidores do hub de eventos: o grupo associado ao hub de eventos.

    • String de conexão do hub de eventos: a string de conexão do hub de eventos

    • String de conexão de armazenamento do Azure: opcional. A string de conexão de armazenamento de blobs

    • Nome do contêiner de armazenamento do Azure: opcional. O nome do contêiner de armazenamento de blobs

    • Token SAS do Azure: opcional. O token SAS

    • Namespace do recurso: opcional. O namespace do recurso

    • Rótulos de ingestão: opcional. O rótulo a ser aplicado aos eventos deste feed

  8. Clique em Próxima. A tela Finalizar é exibida.

  9. Revise a configuração do feed e clique em Enviar.

Verificar o fluxo de dados

Para saber se os dados estão fluindo para o Google SecOps e se o hub de eventos está funcionando corretamente, faça estas verificações:

  • No Google SecOps, examine os painéis e use a pesquisa de verificação de registros brutos ou do modelo de dados unificado (UDM) para verificar se os dados ingeridos estão presentes no formato correto.

  • No portal do Azure, navegue até a página do hub de eventos e inspecione os gráficos que exibem os bytes de entrada e saída. Verifique se as taxas de entrada e saída são, em termos gerais, equivalentes, indicando que as mensagens estão sendo processadas e que não há backlog.

Precisa de mais ajuda? Receba respostas dos membros da comunidade e dos profissionais do Google SecOps.