创建 Azure Event Hub Feed

支持的平台:

本文档介绍如何设置 Azure Event Hub 以向 Google Security Operations 发送安全数据。您最多可以创建 10 个 Azure Event Hub Feed,包括有效 Feed 和无效 Feed。

如需设置 Azure Feed,请完成以下过程:

  1. 在 Azure 中创建事件中心:在 Azure 环境中设置所需的基础架构,以接收和存储安全数据流。

  2. 在 Google SecOps 中配置 Feed:在 Google SecOps 中配置 Feed,以连接到您的 Azure 事件中心并开始提取数据。

创建 Azure Event Hub

如需在 Azure 中创建活动中心,请执行以下操作:

  1. 创建活动中心命名空间和活动中心

    • 为确保以最佳方式提取数据,请在 Google SecOps 实例所在的同一区域中部署 Event Hub 命名空间。在其他区域中部署事件中心可能会减少提取到 Google SecOps 的吞吐量。

    • 将分区数设置为 40 以实现最佳扩缩。

    • 为防止数据因 Google SecOps 配额限制而丢失,请为事件中心设置较长的保留时间。这可确保在配额限制后恢复提取之前不会删除日志。如需详细了解事件保留和保留时间限制,请参阅事件保留

    • 对于标准层级事件中心,请启用自动膨胀以根据需要自动扩缩吞吐量。如需了解详情,请参阅自动扩缩 Azure Event Hub 吞吐量单位

    • 对于基本层级和标准层级,Azure Event Hub 中的一个吞吐量单位 (TU) 最多支持每秒 1 MB 的数据提取。如果传入事件量超过配置的 TU 的容量,则数据可能会丢失。例如,如果您配置 5 TU,则支持的最大提取速率为每秒 5 MB。如果以 20 MB/秒的速率发送事件,Event Hub 可能会崩溃。因此,在到达 Google SecOps 之前,Event Hub 级别的日志可能会丢失。

  2. 获取 Google SecOps 从 Azure 事件中心提取数据所需的事件中心连接字符串。此连接字符串可授权 Google SecOps 从您的事件中心访问和收集安全数据。您可以通过以下两种方式提供连接字符串:

    • Event Hub 命名空间级别:适用于命名空间内的所有事件中心。如果您使用多个活动中心,并且希望在 Feed 设置中为所有活动中心使用相同的连接字符串,那么这是一种更简单的选择。

    • Event Hub 级:适用于单个活动中心。 如果您只需授予对一个 Event Hub 的访问权限,则这是一种安全的方法。请务必从连接字符串的末尾移除 EntityPath

    例如,将 Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME> 更改为 Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>

  3. 配置您的应用(例如 Web 应用防火墙Microsoft Defender),以将其日志发送到事件中心。

    Microsoft Defender 用户:配置 Microsoft Defender 流式传输时,请务必输入现有的事件中心名称。如果您将此字段留空,系统可能会创建不必要的事件中心,并消耗有限的 Feed 配额。为了确保各项活动井然有序,请使用与日志类型匹配的活动中心名称。

配置 Azure Feed

如需在 Google SecOps 中配置 Azure Feed,请执行以下操作:

  1. 在 Google SecOps 菜单中,选择 SIEM 设置,然后点击 Feed

  2. 点击新增

  3. Feed 名称字段中,输入 Feed 的名称。

  4. 来源类型列表中,选择 Microsoft Azure Event Hub

  5. 选择日志类型。例如,如需为 Open Cybersecurity Schema Framework 创建 Feed,请选择 Open Cybersecurity Schema Framework (OCSF) 作为 Log type

  6. 点击下一步。系统随即会显示添加 Feed 窗口。

  7. 从您之前在 Azure 门户中创建的活动中心检索信息,以填写以下字段:

    • Event Hub 名称:事件中心名称

    • Event Hub 使用方群组:与您的活动中心关联的使用方群组

    • Event Hub 连接字符串:事件中心连接字符串

    • Azure Storage 连接字符串:可选。blob 存储连接字符串

    • Azure 存储容器名称:可选。blob 存储容器名称

    • Azure SAS 令牌:可选。SAS 令牌

    • 资产命名空间:可选。素材资源命名空间

    • 提取标签:可选。要应用于此 Feed 中的事件的标签

  8. 点击下一步。系统随即会显示 Finalize 屏幕。

  9. 检查 Feed 配置,然后点击提交

验证数据流

如需验证您的数据是否流入 Google SecOps 以及活动中心是否正常运行,您可以执行以下检查:

  • 在 Google SecOps 中,检查信息中心并使用原始日志扫描或统一数据模型 (UDM) 搜索来验证所提取的数据是否以正确的格式存在。

  • 在 Azure 门户中,转到事件中心页面,并检查显示传入和传出字节的图表。确保传入和传出速率大致相等,表示正在处理消息,并且没有积压。

需要更多帮助?向社区成员和 Google SecOps 专业人员寻求答案。