Coletar registros do Gerenciamento de APIs do Azure

Este documento explica como exportar registros do Azure API Management para o Google Security Operations usando uma conta de armazenamento do Azure.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

• Instância do Google SecOps
• Um locatário ativo do Azure
• Acesso privilegiado ao Azure

Configurar a conta de armazenamento do Azure

1. No console do Azure, pesquise Contas de armazenamento.
2. Clique em + Criar.
3. Especifique valores para os seguintes parâmetros de entrada:
   • Assinatura: selecione a assinatura.
   • Grupo de recursos: selecione o grupo de recursos.
   • Região: selecione a região.
   • Performance: selecione a performance (padrão recomendado).
   • Redundância: selecione a redundância (GRS ou LRS recomendado).
   • Nome da conta de armazenamento: insira um nome para a nova conta de armazenamento.
4. Clique em Revisar + criar.
5. Revise a visão geral da conta e clique em Criar.
6. Na página Visão geral da conta de armazenamento, selecione o submenu Chaves de acesso em Segurança e rede.
7. Clique em Mostrar ao lado de key1 ou key2.
8. Clique em Copiar para a área de transferência para copiar a chave.
9. Salve a chave em um local seguro para uso posterior.
10. Na página Visão geral da conta de armazenamento, selecione o submenu Endpoints em Configurações.
11. Clique em Copiar para a área de transferência para copiar o URL do endpoint do serviço de blob. Por exemplo, https://<storageaccountname>.blob.core.windows.net.
12. Salve o URL do endpoint em um local seguro para uso posterior.

Como configurar a exportação de registros para registros do Azure API Management

1. Faça login no portal do Azure usando sua conta privilegiada.
2. No portal do Azure, encontre e selecione a instância do serviço de Gerenciamento de API.
3. Selecione Monitoring > Configurações de diagnóstico.
4. Clique em + Adicionar configuração de diagnóstico.
   • Insira um nome descritivo para a configuração de diagnóstico.
5. Selecione os registros relacionados ao Gateway do ApiManagement.
6. Marque a caixa de seleção Arquivar em uma conta de armazenamento como destino.
   • Especifique a Assinatura e a Conta de armazenamento.
7. Clique em Salvar.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

• Configurações do SIEM > Feeds > Adicionar novo
• Central de conteúdo > Pacotes de conteúdo > Começar

Como configurar o feed do gerenciamento de APIs do Azure

1. Clique no pacote Plataforma do Azure.
2. Localize o tipo de registro Gerenciamento de API do Azure e clique em Adicionar novo feed.

3. Especifique valores para os seguintes campos:

   • Tipo de origem: Armazenamento de blobs do Microsoft Azure V2.
   • URI do Azure: o URL do endpoint do blob.
     • ENDPOINT_URL/BLOB_NAME
       • Substitua:
         • ENDPOINT_URL: o URL do endpoint do blob (https://<storageaccountname>.blob.core.windows.net)
         • BLOB_NAME: o nome do blob (por exemplo, insights-logs-<logname>)

   • Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.

   • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.

   • Chave compartilhada: a chave de acesso ao Azure Blob Storage.

   Opções avançadas

   • Nome do feed: um valor pré-preenchido que identifica o feed.
   • Namespace do recurso: namespace associado ao feed.
   • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

4. Clique em Criar feed.

Para mais informações sobre como configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.