Ingerir registros de actividad de Microsoft Azure

En este documento se describen los pasos necesarios para ingerir registros de actividad de Microsoft Azure (AZURE_ACTIVITY) en Google Security Operations.

Configurar una cuenta de almacenamiento

Sigue estos pasos para configurar una cuenta de almacenamiento:

1. En la consola de Azure, busca Cuentas de almacenamiento.
2. Haz clic en Crear.
3. Seleccione la suscripción, el grupo de recursos, la región, el rendimiento (se recomienda Estándar) y la redundancia (se recomienda GRS o LRS) que necesite la cuenta. A continuación, introduzca un nombre para la nueva cuenta de almacenamiento.
4. Haz clic en Revisar y crear, consulta el resumen de la cuenta y haz clic en Crear.
5. En la página Información general de la cuenta de almacenamiento, seleccione Claves de acceso en el panel de navegación de la izquierda de la ventana.
6. Haz clic en Mostrar claves y anota la clave compartida de la cuenta de almacenamiento.
7. Selecciona Endpoints (Endpoints) en el panel de navegación de la izquierda de la ventana.
8. Anota el endpoint del servicio Blob. (https://<storageaccountname>.blob.core.windows.net/)

Configurar el registro de actividad de Azure

Sigue estos pasos para configurar el registro de actividad de Azure:

1. En la consola de Azure, busca Monitor.
2. En la navegación de la izquierda de la página, haga clic en el enlace Registro de actividad.
3. En la parte superior de la ventana, haz clic en Exportar registros de actividad.
4. Haz clic en Añadir ajuste de diagnóstico.
5. Selecciona todas las categorías que quieras exportar a Google SecOps.
6. En Detalles del destino, seleccione Archivar en una cuenta de almacenamiento.
7. Selecciona la suscripción y la cuenta de almacenamiento que has creado en el paso anterior.
8. Haz clic en Guardar.

Configurar feeds

Hay dos puntos de entrada diferentes para configurar feeds en la plataforma Google SecOps:

• Configuración de SIEM > Feeds > Añadir nuevo feed
• Centro de contenido > Paquetes de contenido > Empezar

Cómo configurar el feed de actividad de Microsoft Azure

1. Haz clic en el paquete Plataforma de Azure.
2. Busca el feed de actividad de Microsoft Azure.

3. Especifique los valores de los siguientes campos:

   • Tipo de fuente: Microsoft Azure Blob Storage V2
   • URI de Azure: introduce el valor del endpoint Blob Service que has registrado antes, seguido de insights-activity-logs (por ejemplo, https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs).
   • Opción de eliminación de la fuente: especifica si quieres eliminar los archivos y directorios después de transferirlos.
   • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es 180 días.
   • Clave compartida: introduce el valor de la clave compartida que has obtenido antes.

   Opciones avanzadas

   • Nombre del feed: un valor rellenado automáticamente que identifica el feed.
   • Espacio de nombres del recurso: espacio de nombres asociado al feed.
   • Etiquetas de ingestión: etiquetas aplicadas a todos los eventos de este feed.

4. Haga clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros en esta familia de productos, consulta el artículo Configurar feeds por producto.

Referencia de asignación de campos

Este código de analizador primero inicializa un gran número de campos en cadenas vacías y, a continuación, realiza una serie de manipulaciones de cadenas y operaciones de análisis de JSON para extraer información relevante del mensaje del registro de actividad de Azure. Por último, asigna los datos extraídos a los campos del modelo de datos unificado (UDM), categoriza el tipo de evento y lo enriquece con detalles adicionales, como la gravedad, la información principal y los datos de red.

Tabla de asignación de UDM