创建 Azure 事件中心 Feed

支持的语言:

本文档介绍了如何设置 Azure 事件中心,以将安全数据发送到 Google Security Operations。您最多可以创建 10 个 Azure 事件中心 Feed,包括有效和无效的 Feed。

如需设置 Azure Feed,请完成以下流程:

  1. 在 Azure 中创建事件中心:在 Azure 环境中设置所需的基础设施,以接收和存储安全数据流。

  2. 在 Google SecOps 中配置 Feed:在 Google SecOps 中配置 Feed,以连接到您的 Azure 事件中心并开始注入数据。

创建 Azure 事件中心

如需在 Azure 中创建事件中心,请执行以下操作:

  1. 创建事件中心命名空间和事件中心

    • 为确保最佳数据注入效果,请将事件中心命名空间部署在与 Google SecOps 实例相同的区域中。在其他区域中部署事件中心可能会降低提取到 Google SecOps 中的吞吐量。

    • 将分区数设置为 40,以实现最佳伸缩效果。

    • 为帮助防止因 Google SecOps 配额限制而导致的数据丢失,请为您的事件中心设置较长的保留时间。这样可确保在配额限制后恢复提取之前,不会删除日志。如需详细了解事件保留和保留时间限制,请参阅事件保留

    • 对于标准层级事件中心,请启用自动扩充,以便根据需要自动扩缩吞吐量。如需了解详情,请参阅自动扩增 Azure 事件中心吞吐量单位

    • 对于基本层和标准层,Azure 事件中心中的一个吞吐量单位 (TU) 最多支持每秒 1 MB 的数据注入。如果传入的事件量超过配置的 TU 的容量,可能会发生数据丢失。例如,如果您配置 5 个 TU,则支持的最大注入速率为每秒 5 MB。如果以每秒 20 MB 的速度发送事件,事件中心可能会崩溃。因此,日志可能会在到达 Google SecOps 之前在事件中心级别丢失。

  2. 获取事件中心连接字符串,以便 Google SecOps 从 Azure 事件中心注入数据。此连接字符串授权 Google SecOps 从您的事件中心访问和收集安全数据。您可以通过以下两种方式提供连接字符串:

    • 事件中心命名空间级:适用于命名空间内的所有事件中心。如果您使用多个事件中心,并希望在 Feed 设置中为所有事件中心使用相同的连接字符串,那么此选项会更简单。

    • Event Hub 级:适用于单个 Event Hub。 如果您只需要授予对一个事件中心的访问权限,那么这是一个安全的选择。 确保从连接字符串末尾移除 EntityPath

    例如,将 Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME> 更改为 Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>

  3. 配置您的应用(例如 Web 应用防火墙Microsoft Defender),以将其日志发送到事件中心。

    Microsoft Defender 用户:配置 Microsoft Defender 流式传输时,请确保输入您现有的事件中心名称。如果您将此字段留空,系统可能会创建不必要的事件中心,并消耗您有限的 Feed 配额。为了保持井然有序,请使用与日志类型匹配的事件中心名称。

配置 Azure Feed

如需在 Google SecOps 中配置 Azure Feed,请执行以下操作:

  1. 在 Google SecOps 菜单中,选择 SIEM 设置,然后点击Feed

  2. 点击新增

  3. Feed 名称字段中,输入 Feed 的名称。

  4. 来源类型列表中,选择 Microsoft Azure Event Hub

  5. 选择日志类型。例如,如需为开放网络安全架构框架创建 Feed,请选择开放网络安全架构框架 (OCSF) 作为日志类型

  6. 点击下一步。系统会显示添加 Feed 窗口。

  7. 从您之前在 Azure 门户中创建的事件中心检索信息,以填写以下字段:

    • Event Hub 名称:Event Hub 名称

    • 事件中心使用方组:与您的事件中心关联的使用方组

    • Event Hub 连接字符串:Event Hub 连接字符串

    • Azure 存储连接字符串:可选。Blob Storage 连接字符串

    • Azure 存储容器名称:可选。Blob Storage 容器名称

    • Azure SAS 令牌:可选。SAS 令牌

    • 资源命名空间:可选。资产命名空间

    • 注入标签:可选。要应用于此 Feed 中事件的标签

  8. 点击下一步。系统会显示完成界面。

  9. 检查您的 Feed 配置,然后点击提交

验证数据流

如需验证数据是否流入 Google SecOps 以及事件中心是否正常运行,您可以执行以下检查:

  • 在 Google SecOps 中,检查信息中心并使用“原始日志扫描”或“统一数据模型 (UDM)”搜索来验证提取的数据是否以正确的格式显示。

  • 在 Azure 门户中,前往事件中心的页面,然后检查显示传入和传出字节数的图表。确保入站速率和出站速率大致相当,这表示消息正在处理,没有积压。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。