Importare i log delle attività di Microsoft Azure

Questo documento descrive i passaggi necessari per importare i log attività di Microsoft Azure (AZURE_ACTIVITY) in Google Security Operations.

Configura un account di archiviazione

Completa i seguenti passaggi per configurare un account di archiviazione:

1. Nella console Azure, cerca Storage accounts (Account di archiviazione).
2. Fai clic su Crea.
3. Seleziona l'abbonamento, il gruppo di risorse, la regione, il rendimento (consigliato Standard) e la ridondanza (consigliata GRS o LRS) necessari per l'account, quindi inserisci un nome per il nuovo account di archiviazione.
4. Fai clic su Rivedi e crea, controlla la panoramica dell'account e fai clic su Crea.
5. Nella pagina Panoramica dell'account di archiviazione, seleziona Chiavi di accesso nel riquadro di navigazione a sinistra della finestra.
6. Fai clic su Mostra chiavi e prendi nota della chiave condivisa per l'account di archiviazione.
7. Seleziona Endpoint nel menu di navigazione a sinistra della finestra.
8. Prendi nota dell'endpoint del servizio Blob. (https://<storageaccountname>.blob.core.windows.net/)

Configurare la registrazione delle attività di Azure

Completa i seguenti passaggi per configurare la registrazione dell'attività di Azure:

1. Nella console Azure, cerca Monitor.
2. Fai clic sul link Log attività nel menu di navigazione a sinistra della pagina.
3. Fai clic su Esporta log attività nella parte superiore della finestra.
4. Fai clic su Aggiungi impostazione di diagnostica.
5. Seleziona tutte le categorie che vuoi esportare in Google SecOps.
6. In Dettagli destinazione, seleziona Archivia in un account di archiviazione.
7. Seleziona l'account di abbonamento e di archiviazione che hai creato nel passaggio precedente.
8. Fai clic su Salva.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

• Impostazioni SIEM > Feed > Aggiungi nuovo feed
• Hub dei contenuti > Pacchetti di contenuti > Inizia

Come configurare il feed attività di Microsoft Azure

1. Fai clic sul pacchetto Azure Platform.
2. Individua il feed Attività di Microsoft Azure.

3. Specifica i valori per i seguenti campi:

   • Tipo di origine: Microsoft Azure Blob Storage V2
   • URI Azure: inserisci il valore dell'endpoint Blob Service che hai registrato in precedenza, con il suffisso insights-activity-logs (ad esempio, https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs)
   • Opzione di eliminazione dell'origine: specifica se eliminare file e directory dopo il trasferimento.
   • Età massima del file: include i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
   • Chiave condivisa: inserisci il valore della chiave condivisa acquisito in precedenza.

   Opzioni avanzate

   • Nome feed: un valore precompilato che identifica il feed.
   • Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
   • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

4. Fai clic su Crea feed.

Per ulteriori informazioni sulla configurazione di più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Riferimento alla mappatura dei campi

Questo codice del parser inizializza innanzitutto un numero elevato di campi con stringhe vuote, quindi esegue una serie di manipolazioni di stringhe e operazioni di analisi JSON per estrarre le informazioni pertinenti dal messaggio Log delle attività di Azure. Infine, mappa i dati estratti nei campi Unified Data Model (UDM), classificando il tipo di evento e arricchendolo con dettagli aggiuntivi come gravità, informazioni sul principal e dati di rete.

Tabella di mappatura UDM