Menyerap log aktivitas Microsoft Azure
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan langkah-langkah yang diperlukan untuk menyerap log aktivitas Microsoft Azure
(AZURE_ACTIVITY) ke Google Security Operations.
Mengonfigurasi Akun Penyimpanan
Selesaikan langkah-langkah berikut untuk mengonfigurasi akun Storage:
- Di konsol Azure, cari Storage accounts.
- Klik Buat.
- Pilih Langganan, Grup Resource, region, performa (sebaiknya Standard), dan Redundancy (sebaiknya GRS atau LRS) yang diperlukan untuk akun, lalu masukkan nama untuk Akun Penyimpanan baru.
- Klik Tinjau + buat, tinjau ringkasan akun, lalu klik Buat.
- Di halaman Storage Account Overview, pilih Access keys dari navigasi kiri jendela.
- Klik Show keys dan catat kunci bersama untuk akun penyimpanan.
- Pilih Endpoints dari navigasi kiri jendela.
- Catat endpoint Blob service. (https://<storageaccountname>.blob.core.windows.net/)
Mengonfigurasi logging aktivitas Azure
Selesaikan langkah-langkah berikut untuk mengonfigurasi logging aktivitas Azure:
- Di konsol Azure, telusuri Monitor.
- Klik link Log aktivitas di navigasi kiri halaman.
- Klik Ekspor Log Aktivitas di bagian atas jendela.
- Klik Tambahkan Setelan diagnostik.
- Pilih semua kategori yang ingin Anda ekspor ke Google SecOps.
- Di bagian Detail tujuan, pilih Arsipkan ke akun penyimpanan.
- Pilih langganan dan akun penyimpanan yang Anda buat di langkah sebelumnya.
- Klik Simpan.
Menyiapkan feed
Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:
- Setelan SIEM > Feed > Tambahkan Baru
- Hub Konten > Paket Konten > Mulai
Cara menyiapkan feed aktivitas Microsoft Azure
- Klik paket Azure Platform.
- Temukan Microsoft Azure Activity feed.
Tentukan nilai untuk kolom berikut:
- Jenis Sumber: Microsoft Azure Blob Storage V2
- URI Azure: masukkan nilai endpoint Blob Service yang Anda catat sebelumnya, yang diakhiri dengan insights-activity-logs (misalnya, https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs)
- Opsi Penghapusan Sumber: tentukan apakah akan menghapus file dan direktori setelah ditransfer.
- Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.
- Shared key: masukkan nilai shared key yang Anda ambil sebelumnya.
Opsi lanjutan
- Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
- Namespace Aset: Namespace yang terkait dengan feed.
- Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.
Klik Buat feed.
Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.
Referensi pemetaan kolom
Kode parser ini pertama-tama menginisialisasi sejumlah besar kolom ke string kosong, lalu melakukan serangkaian operasi manipulasi string dan penguraian JSON untuk mengekstrak informasi yang relevan dari pesan log Aktivitas Azure. Terakhir, data yang diekstrak dipetakan ke kolom Model Data Terpadu (UDM), mengategorikan jenis peristiwa dan memperkayanya dengan detail tambahan seperti tingkat keparahan, informasi utama, dan data jaringan.
Tabel Pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| category | read_only_udm.security_result.category_details |
Dipetakan langsung dari kolom "category" di log mentah. |
| callerIpAddress | read_only_udm.principal.asset.ip, read_only_udm.principal.ip |
Dipetakan langsung dari kolom "callerIpAddress" di log mentah. |
| correlationId | read_only_udm.security_result.detection_fields.correlationId |
Dipetakan langsung dari kolom "correlationId" dalam log mentah. |
| data.callerIpAddress | read_only_udm.principal.asset.ip, read_only_udm.principal.ip |
Dipetakan langsung dari kolom "callerIpAddress" dalam objek "data" di log mentah. |
| data.correlationId | read_only_udm.security_result.detection_fields.correlationId |
Dipetakan langsung dari kolom "correlationId" dalam objek "data" di log mentah. |
| data.DeploymentUnit | read_only_udm.target.resource.name |
Dipetakan langsung dari kolom "DeploymentUnit" dalam objek "data" di log mentah. |
| data.details | read_only_udm.metadata.description |
Dipetakan langsung dari kolom "details" dalam objek "data" di log mentah, hanya jika kolom "details" bukan "Unknown". |
| data.entity | read_only_udm.additional.fields.entity |
Dipetakan langsung dari kolom "entity" dalam objek "data" di log mentah. |
| data.EventName | read_only_udm.metadata.product_event_type |
Dipetakan langsung dari kolom "EventName" dalam objek "data" di log mentah. |
| data.hierarchy | read_only_udm.additional.fields.hierarchy |
Dipetakan langsung dari kolom "hierarchy" dalam objek "data" di log mentah. |
| data.identity.authorization.action | read_only_udm.security_result.detection_fields.action |
Dipetakan langsung dari kolom "action" dalam objek "authorization" dari objek "identity" di log mentah. |
| data.identity.authorization.evidence.principalId | read_only_udm.principal.user.product_object_id, read_only_udm.principal.resource.product_object_id, read_only_udm.principal.group.product_object_id |
Dipetakan langsung dari kolom "principalId" dalam objek "evidence" dari objek "authorization" dari objek "identity" dalam log mentah. Kolom UDM tertentu yang dipetakan bergantung pada nilai kolom "principalType". Jika "principalType" adalah "User" atau "ServicePrincipal", maka akan dipetakan ke principal.user.product_object_id. Jika "principalType" adalah "Group", maka akan dipetakan ke principal.group.product_object_id. Jika "principalType" adalah "ServicePrincipal", maka akan dipetakan ke principal.resource.product_object_id. |
| data.identity.authorization.evidence.principalType | read_only_udm.principal.resource.resource_subtype |
Dipetakan langsung dari kolom "principalType" dalam objek "bukti" dari objek "otorisasi" dari objek "identitas" dalam log mentah. |
| data.identity.authorization.evidence.role | read_only_udm.principal.user.role_name |
Dipetakan langsung dari kolom "role" dalam objek "evidence" dari objek "authorization" dari objek "identity" dalam log mentah. |
| data.identity.authorization.evidence.roleAssignmentId | read_only_udm.principal.resource.attribute.labels.roleAssignmentId |
Dipetakan langsung dari kolom "roleAssignmentId" dalam objek "evidence" dari objek "authorization" dari objek "identity" dalam log mentah. |
| data.identity.authorization.evidence.roleAssignmentScope | read_only_udm.principal.resource.attribute.labels.roleAssignmentScope |
Dipetakan langsung dari kolom "roleAssignmentScope" dalam objek "evidence" dari objek "authorization" dari objek "identity" dalam log mentah. |
| data.identity.authorization.evidence.roleDefinitionId | read_only_udm.principal.resource.attribute.labels.roleDefinitionId |
Dipetakan langsung dari kolom "roleDefinitionId" dalam objek "evidence" dari objek "authorization" dari objek "identity" dalam log mentah. |
| data.identity.authorization.scope | read_only_udm.security_result.detection_fields.scope |
Dipetakan langsung dari kolom "scope" dalam objek "authorization" dari objek "identity" di log mentah. |
| data.identity.claims.aio | read_only_udm.security_result.detection_fields.aio |
Dipetakan langsung dari kolom "aio" dalam objek "claims" dari objek "identity" di log mentah. |
| data.identity.claims.appid | read_only_udm.security_result.detection_fields.appid |
Dipetakan langsung dari kolom "appid" dalam objek "claims" dari objek "identity" di log mentah. |
| data.identity.claims.appidacr | read_only_udm.security_result.detection_fields.appidacr |
Dipetakan langsung dari kolom "appidacr" dalam objek "claims" dari objek "identity" di log mentah. |
| data.identity.claims.aud | read_only_udm.security_result.detection_fields.aud |
Dipetakan langsung dari kolom "aud" dalam objek "claims" dari objek "identity" di log mentah. |
| data.identity.claims.exp | read_only_udm.security_result.detection_fields.exp |
Dipetakan langsung dari kolom "exp" dalam objek "claims" dari objek "identity" di log mentah. |
data.identity.claims.http://schemas.microsoft.com/identity/claims/identityprovider |
read_only_udm.security_result.detection_fields.identityprovider |
Dipetakan langsung dari kolom "http://schemas.microsoft.com/identity/claims/identityprovider" dalam objek "claims" dari objek "identity" di log mentah. |
data.identity.claims.http://schemas.microsoft.com/identity/claims/objectidentifier |
read_only_udm.security_result.detection_fields.objectidentifier |
Dipetakan langsung dari kolom "http://schemas.microsoft.com/identity/claims/objectidentifier" dalam objek "claims" dari objek "identity" di log mentah. |
data.identity.claims.http://schemas.microsoft.com/identity/claims/tenantid |
read_only_udm.security_result.detection_fields.tenantid |
Dipetakan langsung dari kolom "http://schemas.microsoft.com/identity/claims/tenantid" dalam objek "claims" dari objek "identity" di log mentah. |
data.identity.claims.http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
read_only_udm.security_result.detection_fields.nameidentifier |
Dipetakan langsung dari kolom "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier" dalam objek "claims" dari objek "identity" di log mentah. |
| data.identity.claims.iat | read_only_udm.security_result.detection_fields.iat |
Dipetakan langsung dari kolom "iat" dalam objek "claims" dari objek "identity" di log mentah. |
| data.identity.claims.iss | read_only_udm.security_result.detection_fields.iss |
Dipetakan langsung dari kolom "iss" dalam objek "claims" dari objek "identity" di log mentah. |
| data.identity.claims.nbf | read_only_udm.security_result.detection_fields.nbf |
Dipetakan langsung dari kolom "nbf" dalam objek "claims" dari objek "identity" di log mentah. |
| data.identity.claims.rh | read_only_udm.security_result.detection_fields.rh |
Dipetakan langsung dari kolom "rh" dalam objek "claims" dari objek "identity" di log mentah. |
| data.identity.claims.uti | read_only_udm.security_result.detection_fields.uti |
Dipetakan langsung dari kolom "uti" dalam objek "claims" dari objek "identity" di log mentah. |
| data.identity.claims.ver | read_only_udm.security_result.detection_fields.ver |
Dipetakan langsung dari kolom "ver" dalam objek "claims" dari objek "identity" di log mentah. |
| data.identity.claims.xms_tcdt | read_only_udm.security_result.detection_fields.xms_tcdt |
Dipetakan langsung dari kolom "xms_tcdt" dalam objek "claims" dari objek "identity" di log mentah. |
| data.identity.UserName | read_only_udm.principal.user.user_display_name |
Dipetakan langsung dari kolom "UserName" dalam objek "identity" di log mentah. |
| data.level | read_only_udm.security_result.severity, read_only_udm.security_result.severity_details |
Dipetakan langsung dari kolom "level" dalam objek "data" di log mentah. Kolom "level" juga digunakan untuk menentukan nilai kolom severity. Jika "level" adalah "Information" atau "Informational", severity disetel ke "INFORMATIONAL". Jika "level" adalah "Warning", severity ditetapkan ke "MEDIUM". Jika "level" adalah "Error", severity ditetapkan ke "ERROR". Jika "level" adalah "Critical", severity disetel ke "CRITICAL". |
| data.location | read_only_udm.target.location.name |
Dipetakan langsung dari kolom "location" dalam objek "data" di log mentah. |
| data.operationName | read_only_udm.metadata.product_event_type |
Dipetakan langsung dari kolom "operationName" dalam objek "data" di log mentah. |
| data.properties.EventChannel | read_only_udm.additional.fields.properties EventChannel |
Dipetakan langsung dari kolom "EventChannel" dalam objek "properties" dari objek "data" dalam log mentah. |
| data.properties.EventSource | read_only_udm.additional.fields.properties EventSource |
Dipetakan langsung dari kolom "EventSource" dalam objek "properties" dari objek "data" dalam log mentah. |
| data.properties.EventId | read_only_udm.metadata.product_log_id |
Dipetakan langsung dari kolom "EventId" dalam objek "properties" dari objek "data" dalam log mentah. |
| data.properties.eventProperties.cause | read_only_udm.security_result.detection_fields.cause |
Dipetakan langsung dari kolom "cause" dalam objek "eventProperties" dari objek "properties" dari objek "data" dalam log mentah. |
| data.properties.eventProperties.clientIPAddress | read_only_udm.principal.asset.ip, read_only_udm.principal.ip |
Dipetakan langsung dari kolom "clientIPAddress" dalam objek "eventProperties" dari objek "properties" dari objek "data" dalam log mentah. |
| data.properties.eventProperties.compromisedHost | read_only_udm.principal.asset.hostname, read_only_udm.principal.hostname |
Dipetakan langsung dari kolom "compromisedHost" dalam objek "eventProperties" dari objek "properties" dari objek "data" dalam log mentah. |
| data.properties.eventProperties.currentHealthStatus | read_only_udm.security_result.detection_fields.currentHealthStatus |
Dipetakan langsung dari kolom "currentHealthStatus" dalam objek "eventProperties" dari objek "properties" dari objek "data" dalam log mentah. |
| data.properties.eventProperties.previousHealthStatus | read_only_udm.security_result.detection_fields.previousHealthStatus |
Dipetakan langsung dari kolom "previousHealthStatus" dalam objek "eventProperties" dari objek "properties" dari objek "data" dalam log mentah. |
| data.properties.eventProperties.type | read_only_udm.security_result.detection_fields.type |
Dipetakan langsung dari kolom "type" dalam objek "eventProperties" dari objek "properties" dari objek "data" dalam log mentah. |
| data.properties.eventProperties.User | read_only_udm.principal.user.userid |
Dipetakan langsung dari kolom "User" dalam objek "eventProperties" dari objek "properties" dari objek "data" dalam log mentah. |
| data.properties.eventProperties.userName | read_only_udm.principal.user.user_display_name |
Dipetakan langsung dari kolom "userName" dalam objek "eventProperties" dari objek "properties" dari objek "data" dalam log mentah, setelah menghapus awalan "SECURE\". |
| data.properties.ipAddress | read_only_udm.principal.asset.ip, read_only_udm.principal.ip |
Dipetakan langsung dari kolom "ipAddress" dalam objek "properties" dari objek "data" dalam log mentah. |
| data.properties.legacyChannels | read_only_udm.security_result.detection_fields.legacyChannels |
Dipetakan langsung dari kolom "legacyChannels" dalam objek "properties" dari objek "data" dalam log mentah. |
| data.properties.legacyEventDataId | read_only_udm.security_result.detection_fields.legacyEventDataId |
Dipetakan langsung dari kolom "legacyEventDataId" dalam objek "properties" dari objek "data" di log mentah. |
| data.properties.legacyResourceId | read_only_udm.security_result.detection_fields.legacyResourceId |
Dipetakan langsung dari kolom "legacyResourceId" dalam objek "properties" dari objek "data" dalam log mentah. |
| data.properties.legacyResourceGroup | read_only_udm.security_result.detection_fields.legacyResourceGroup |
Dipetakan langsung dari kolom "legacyResourceGroup" dalam objek "properties" dari objek "data" dalam log mentah. |
| data.properties.legacyResourceProviderName | read_only_udm.security_result.detection_fields.legacyResourceProviderName |
Dipetakan langsung dari kolom "legacyResourceProviderName" dalam objek "properties" dari objek "data" dalam log mentah. |
| data.properties.legacyResourceType | read_only_udm.security_result.detection_fields.legacyResourceType |
Dipetakan langsung dari kolom "legacyResourceType" dalam objek "properties" dari objek "data" dalam log mentah. |
| data.properties.legacySubscriptionId | read_only_udm.security_result.detection_fields.legacySubscriptionId |
Dipetakan langsung dari kolom "legacySubscriptionId" dalam objek "properties" dari objek "data" dalam log mentah. |
| data.properties.operationId | read_only_udm.security_result.detection_fields.operationId |
Dipetakan langsung dari kolom "operationId" dalam objek "properties" dari objek "data" dalam log mentah. |
| data.properties.result | read_only_udm.security_result.action_details |
Dipetakan langsung dari kolom "result" dalam objek "properties" dari objek "data" dalam log mentah. |
| data.properties.statusCode | read_only_udm.network.http.response_code |
Dipetakan langsung dari kolom "statusCode" dalam objek "properties" dari objek "data" dalam log mentah. |
| data.properties.suspiciousCommandLine | read_only_udm.target.process.command_line |
Dipetakan langsung dari kolom "suspiciousCommandLine" dalam objek "properties" dari objek "data" dalam log mentah. |
| data.properties.suspiciousProcess | read_only_udm.target.process.file.full_path |
Dipetakan langsung dari kolom "suspiciousProcess" dalam objek "properties" dari objek "data" dalam log mentah. |
| data.properties.suspiciousProcessId | read_only_udm.target.process.pid |
Dipetakan langsung dari kolom "suspiciousProcessId" dalam objek "properties" dari objek "data" dalam log mentah. |
| data.properties.tlsVersion | read_only_udm.network.tls.version |
Dipetakan langsung dari kolom "tlsVersion" dalam objek "properties" dari objek "data" dalam log mentah. |
| data.properties.userAgent | read_only_udm.network.http.user_agent, read_only_udm.network.http.parsed_user_agent |
Dipetakan langsung dari kolom "userAgent" dalam objek "properties" dari objek "data" dalam log mentah. |
| data.properties.userAgentHeader | read_only_udm.network.http.user_agent, read_only_udm.network.http.parsed_user_agent |
Dipetakan langsung dari kolom "userAgentHeader" dalam objek "properties" dari objek "data" dalam log mentah. |
| data.properties.userId | read_only_udm.target.user.product_object_id |
Dipetakan langsung dari kolom "userId" dalam objek "properties" dari objek "data" dalam log mentah. |
| data.ReleaseVersion | read_only_udm.metadata.product_version |
Dipetakan langsung dari kolom "ReleaseVersion" dalam objek "data" di log mentah. |
| data.resourceId | read_only_udm.target.resource.name |
Dipetakan langsung dari kolom "resourceId" dalam objek "data" di log mentah. |
| data.resourceType | read_only_udm.additional.fields.resourceType |
Dipetakan langsung dari kolom "resourceType" dalam objek "data" di log mentah. |
| data.resultDescription | read_only_udm.metadata.description |
Dipetakan langsung dari kolom "resultDescription" dalam objek "data" di log mentah. |
| data.resultSignature | read_only_udm.additional.fields.resultSignature |
Dipetakan langsung dari kolom "resultSignature" dalam objek "data" di log mentah. |
| data.resultType | read_only_udm.security_result.action_details, read_only_udm.additional.fields.resultType |
Dipetakan langsung dari kolom "resultType" dalam objek "data" di log mentah. |
| data.RoleLocation | read_only_udm.target.location.name |
Dipetakan langsung dari kolom "RoleLocation" dalam objek "data" di log mentah. |
| data.time | read_only_udm.metadata.event_timestamp |
Kolom "time" dalam objek "data" di log mentah diuraikan untuk mengekstrak stempel waktu, yang kemudian dipetakan ke event_timestamp. |
| data.uri | read_only_udm.network.http.referral_url |
Dipetakan langsung dari kolom "uri" dalam objek "data" di log mentah. |
read_only_udm.extensions.auth.mechanism |
INTERACTIVE |
Tetapkan ke "INTERACTIVE" jika kolom "isInteractive" dalam objek "properties" dari objek "data" di log mentah adalah "true". Jika tidak, nilai ini akan ditetapkan ke "MECHANISM_OTHER". |
read_only_udm.extensions.auth.type |
MACHINE |
Ditetapkan ke "MACHINE" jika kolom "category" dalam log mentah adalah "NonInteractiveUserSignInLogs", "ManagedIdentitySignInLogs", atau "ServicePrincipalSignInLogs". |
read_only_udm.metadata.log_type |
AZURE_ACTIVITY |
Dikodekan secara permanen ke "AZURE_ACTIVITY". |
read_only_udm.metadata.vendor_name |
Microsoft |
Dikodekan secara permanen ke "Microsoft". |
read_only_udm.principal.platform |
WINDOWS, MAC, LINUX, ANDROID |
Ditentukan berdasarkan nilai kolom "properties.test.deviceDetail.operatingSystem". Jika berisi "Win", platform ditetapkan ke "WINDOWS". Jika berisi "Mac", platform ditetapkan ke "MAC". Jika berisi "Lin", platform ditetapkan ke "LINUX". Jika berisi "Android", platform ditetapkan ke "ANDROID". |
read_only_udm.principal.resource.type |
SERVICE_ACCOUNT, UNSPECIFIED |
Ditentukan berdasarkan nilai kolom "identity.authorization.evidence.principalType". Jika "ServicePrincipal", type disetel ke "SERVICE_ACCOUNT". Jika tidak, nilai ini akan ditetapkan ke "UNSPECIFIED". |
read_only_udm.security_result.action |
ALLOW, BLOCK, UNKNOWN_ACTION |
Ditentukan berdasarkan nilai kolom "resultType", "status_errorcode", dan "statusText". Jika "resultType" adalah salah satu dari "Success", "success", "Succeeded", "Started", "Resolved", "Active", "Updated", "Start", "Accept", "Accepted", "0", atau jika "status_errorcode" adalah 0, atau jika "statusText" adalah "Success", action ditetapkan ke "ALLOW". Jika "resultType" adalah salah satu dari "Failure", "Failed", atau jika "status_errorcode" tidak kosong, atau jika "resultType" tidak kosong, action disetel ke "BLOCK". Jika tidak, nilai ini akan ditetapkan ke "UNKNOWN_ACTION". |
read_only_udm.target.cloud.environment |
MICROSOFT_AZURE |
Hardcode ke "MICROSOFT_AZURE". |