建立 Azure 事件中樞動態饋給

支援的國家/地區:

本文說明如何設定 Azure 事件中樞,將安全性資料傳送至 Google Security Operations。您最多可以建立 10 個 Azure 事件中樞動態饋給,包括有效和無效的動態饋給。

如要設定 Azure 動態饋給,請完成下列程序:

  1. 在 Azure 中建立事件中樞在 Azure 環境中設定必要基礎架構,以接收及儲存安全資料串流。

  2. 在 Google SecOps 中設定動態饋給 在 Google SecOps 中設定動態饋給,連結至 Azure 事件中樞,並開始擷取資料。

建立 Azure 事件中樞

如要在 Azure 中建立事件中樞,請按照下列步驟操作:

  1. 建立事件中樞命名空間和事件中樞

    • 為確保資料順利擷取,請在與 Google SecOps 執行個體相同的區域中,部署事件中樞命名空間。在不同區域部署事件中樞,可減少 Google SecOps 擷取的輸送量。

    • 將分區數量設為 40,以達到最佳擴充效果。

    • 為避免因 Google SecOps 配額限制而遺失資料,請為事件中樞設定較長的保留時間。這樣可確保系統不會在配額用盡導致節流後,於重新開始擷取記錄前刪除記錄。如要進一步瞭解事件保留和保留時間限制,請參閱「事件保留」一文。

    • 如果是標準層級的事件中樞,請啟用「自動膨脹」,視需要自動調整輸送量。詳情請參閱「Automatically scale up Azure Event Hubs throughput units」(自動調高 Azure 事件中樞輸送量單位)。

    • 在 Azure 事件中樞的基本和標準層級中,一個輸送量單位 (TU) 最多支援每秒 1 MB 的資料擷取量。如果傳入的事件量超過設定的 TU 容量,可能會發生資料遺失。舉例來說,如果您設定 5 個 TU,則支援的最高擷取率為每秒 5 MB。如果以每秒 20 MB 的速度傳送事件,事件中樞可能會當機。因此,記錄可能會在到達 Google SecOps 前,於事件中樞層級遺失。

  2. 取得事件中樞連線字串,供 Google SecOps 從 Azure 事件中樞擷取資料。這個連線字串會授權 Google SecOps 從事件中樞存取及收集安全性資料。您有兩種方式可以提供連線字串:

    • Event Hubs 命名空間層級:適用於命名空間內的所有事件中樞。如果您使用多個事件中樞,並想在動態饋給設定中為所有事件中樞使用相同的連線字串,這個選項會比較簡單。

    • 事件中心層級:適用於單一事件中心。 如果您只需要授予單一事件中樞的存取權,這是安全選項。 請務必從連線字串結尾移除 EntityPath

    舉例來說,將 Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME> 變更為 Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>

  3. 設定應用程式 (例如 Web 應用程式防火牆Microsoft Defender),將記錄傳送至事件中樞。

    Microsoft Defender 使用者:設定 Microsoft Defender 串流時,請務必輸入現有的事件中樞名稱。如果將這個欄位留空,系統可能會建立不必要的事件中樞,並耗用有限的動態饋給配額。為方便管理,請使用與記錄類型相符的事件中樞名稱。

設定 Azure 動態饋給

如要在 Google SecOps 中設定 Azure 動態饋給,請按照下列步驟操作:

  1. 在 Google SecOps 選單中選取「SIEM Settings」(SIEM 設定),然後按一下「Feeds」(資訊提供)

  2. 按一下「新增」

  3. 在「動態饋給名稱」欄位中,輸入動態饋給名稱。

  4. 在「來源類型」清單中,選取「Microsoft Azure Event Hub」

  5. 選取「記錄類型」。舉例來說,如要為 Open Cybersecurity Schema Framework 建立動態饋給,請選取「Open Cybersecurity Schema Framework (OCSF)」做為「記錄類型」

  6. 點選「下一步」。系統會顯示「新增動態消息」視窗。

  7. 從您先前在 Azure 入口網站中建立的事件中樞擷取資訊,填入下列欄位:

    • 事件中心名稱:事件中心名稱

    • 事件中樞消費者群組:與事件中樞相關聯的消費者群組

    • 事件中樞連線字串:事件中樞連線字串

    • Azure 儲存體連線字串:選用。Blob 儲存空間連線字串

    • Azure 儲存體容器名稱:選填。Blob 儲存體容器名稱

    • Azure SAS 權杖:選用。SAS 權杖

    • 資產命名空間:選用。資產命名空間

    • 擷取標籤:選用。要套用至這個動態饋給事件的標籤

  8. 點選「下一步」。「Finalize」(完成) 畫面隨即顯示。

  9. 檢查動態饋給設定,然後按一下「提交」

驗證資料流

如要確認資料是否會傳送至 Google SecOps,以及事件中樞是否正常運作,請執行下列檢查:

  • 在 Google SecOps 中檢查資訊主頁,並使用原始記錄掃描或 Unified Data Model (UDM) 搜尋,確認擷取的資料是否採用正確格式。

  • 在 Azure 入口網站中,前往事件中樞的頁面,並檢查顯示傳入和傳出位元組的圖表。確認傳入和傳出速率大致相等,表示系統正在處理訊息,且沒有積壓的訊息。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。