Mengumpulkan log Azure APP Service
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara mengekspor log Azure APP Service ke Google Security Operations menggunakan Akun Azure Storage. Parser mengubah log Azure App Service berformat JSON mentah menjadi Model Data Terpadu (UDM) terstruktur. Proses ini mengekstrak kolom yang relevan dari log mentah, melakukan pembersihan dan normalisasi data, serta memetakan informasi yang diekstrak ke kolom UDM yang sesuai, yang pada akhirnya menghasilkan objek JSON yang kompatibel dengan UDM untuk setiap entri log.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Tenant Azure yang aktif
- Akses istimewa ke Azure
Mengonfigurasi Akun Azure Storage
- Di konsol Azure, cari Storage accounts.
- Klik + Create.
- Tentukan nilai untuk parameter input berikut:
- Langganan: Pilih langganan.
- Grup Resource: Pilih grup resource.
- Region: Pilih region.
- Performa: Pilih performa (Standar direkomendasikan).
- Redundansi: Pilih redundansi (GRS atau LRS direkomendasikan).
- Nama akun penyimpanan: Masukkan nama untuk akun penyimpanan baru.
- Klik Review + create.
- Tinjau ringkasan akun, lalu klik Buat.
- Dari halaman Storage Account Overview, pilih submenu Access keys di Security + networking.
- Klik Tampilkan di samping key1 atau key2.
- Klik Salin ke papan klip untuk menyalin kunci.
- Simpan kunci di lokasi yang aman untuk digunakan nanti.
- Dari halaman Storage Account Overview, pilih submenu Endpoints di Settings.
- Klik Salin ke papan klip untuk menyalin URL endpoint Blob service; misalnya,
https://<storageaccountname>.blob.core.windows.net. - Simpan URL endpoint di lokasi yang aman untuk digunakan nanti.
Cara mengonfigurasi Ekspor Log untuk Log Azure App Service
- Login ke Portal Azure menggunakan akun istimewa Anda.
- Buka App Services, lalu pilih layanan aplikasi yang diperlukan dan sedang digunakan.
- Pilih Monitoring > App Service Logs.
- Aktifkan ON untuk Application Logging (blob).
- Pilih Penyimpanan di bagian Logging Layanan Web.
- Pilih Subscription dan Storage Account.
- Tentukan Periode Retensi dan Kuota sesuai dengan persyaratan Anda.
- Aktifkan AKTIF untuk Pesan error mendetail.
- Aktifkan ON untuk Pelacakan permintaan yang gagal.
- Klik Simpan.
Menyiapkan feed
Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:
- Setelan SIEM > Feed > Tambahkan Baru
- Hub Konten > Paket Konten > Mulai
Cara menyiapkan feed Azure App Service
- Klik paket Azure Platform.
- Cari jenis log Azure App Service, lalu klik Tambahkan feed baru.
Tentukan nilai untuk kolom berikut:
- Jenis Sumber: Microsoft Azure Blob Storage V2.
- URI Azure: URL endpoint blob.
ENDPOINT_URL/BLOB_NAME- Ganti kode berikut:
ENDPOINT_URL: URL endpoint blob (https://<storageaccountname>.blob.core.windows.net)BLOB_NAME: Nama blob (seperti,<logname>-logs)
- Ganti kode berikut:
Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.
Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.
Shared key: Kunci akses ke Azure Blob Storage.
Opsi lanjutan
- Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
- Namespace Aset: Namespace yang terkait dengan feed.
- Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.
Klik Buat feed.
Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.
Tabel Pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| AppRoleInstance | read_only_udm.principal.resource.product_object_id | Pemetaan langsung |
| AppRoleName | read_only_udm.principal.resource.name | Pemetaan langsung |
| AppVersion | read_only_udm.principal.resource.attribute.labels.value | Pemetaan langsung |
| Kategori | read_only_udm.metadata.product_event_type | Pemetaan langsung |
| CIp | read_only_udm.target.asset.ip | Pemetaan langsung |
| CIp | read_only_udm.target.ip | Pemetaan langsung |
| ClientCity | read_only_udm.principal.location.city | Pemetaan langsung |
| ClientCountryOrRegion | read_only_udm.principal.location.country_or_region | Pemetaan langsung |
| ClientIP | read_only_udm.principal.asset.ip | Pemetaan langsung |
| ClientIP | read_only_udm.principal.ip | Pemetaan langsung |
| ClientStateOrProvince | read_only_udm.principal.location.state | Pemetaan langsung |
| ClientType | read_only_udm.additional.fields.value.string_value | Pemetaan langsung |
| ComputerName | read_only_udm.principal.asset.hostname | Pemetaan langsung |
| ComputerName | read_only_udm.principal.hostname | Pemetaan langsung |
| Cookie | read_only_udm.principal.resource.attribute.labels.value | Pemetaan langsung |
| CsBytes | read_only_udm.network.sent_bytes | Diganti namanya dari CsBytes |
| CsHost | read_only_udm.additional.fields.value.string_value | Pemetaan langsung |
| CsMethod | read_only_udm.network.http.method | Pemetaan langsung |
| CsUriQuery | read_only_udm.principal.resource.attribute.labels.value | Pemetaan langsung |
| CsUriStem | read_only_udm.additional.fields.value.string_value | Pemetaan langsung |
| CsUriStem | read_only_udm.target.url | Pemetaan langsung |
| CsUsername | read_only_udm.principal.user.user_display_name | Pemetaan langsung |
| EventIpAddress | read_only_udm.principal.asset.ip | Pemetaan langsung |
| EventIpAddress | read_only_udm.principal.ip | Pemetaan langsung |
| EventPrimaryStampName | read_only_udm.additional.fields.value.string_value | Pemetaan langsung |
| EventStampName | read_only_udm.additional.fields.value.string_value | Pemetaan langsung |
| EventStampType | read_only_udm.additional.fields.value.string_value | Pemetaan langsung |
| Host | read_only_udm.principal.asset.hostname | Pemetaan langsung |
| Host | read_only_udm.principal.hostname | Pemetaan langsung |
| IKey | read_only_udm.target.resource.attribute.labels.value | Pemetaan langsung |
| Instance | read_only_udm.additional.fields.value.string_value | Pemetaan langsung |
| Nama | read_only_udm.additional.fields.value.string_value | Pemetaan langsung |
| Protokol | read_only_udm.additional.fields.value.string_value | Pemetaan langsung |
| Protokol | read_only_udm.network.application_protocol | Dipetakan ke HTTP jika Protokol adalah HTTP/1.1 |
| Referer | read_only_udm.network.http.referral_url | Pemetaan langsung |
| ResourceGUID | read_only_udm.target.resource.product_object_id | Diganti namanya dari ResourceGUID |
| SDKVersion | read_only_udm.additional.fields.value.string_value | Pemetaan langsung |
| SDKVersion | read_only_udm.principal.resource.attribute.labels.value | Pemetaan langsung |
| SPort | read_only_udm.principal.port | Diganti namanya dari SPort |
| ScBytes | read_only_udm.network.received_bytes | Diganti namanya dari ScBytes |
| ScStatus | read_only_udm.network.http.response_code | Diganti namanya dari ScStatus |
| TimeTaken | read_only_udm.additional.fields.value.string_value | Pemetaan langsung |
| Jenis | read_only_udm.additional.fields.value.string_value | Pemetaan langsung |
| Pengguna | read_only_udm.principal.user.userid | Pemetaan langsung |
| UserAddress | read_only_udm.principal.asset.ip | Diekstrak dari UserAddress jika merupakan alamat IP yang valid |
| UserAddress | read_only_udm.principal.ip | Diekstrak dari UserAddress jika merupakan alamat IP yang valid |
| UserAgent | read_only_udm.network.http.user_agent | Pemetaan langsung |
| UserDisplayName | read_only_udm.principal.user.user_display_name | Pemetaan langsung |
| category | read_only_udm.metadata.product_event_type | Pemetaan langsung |
| level | read_only_udm.security_result.severity | Huruf besar dan diganti namanya dari level |
| location | read_only_udm.principal.location.name | Pemetaan langsung |
| operationName | read_only_udm.additional.fields.value.string_value | Pemetaan langsung |
| record.properties.Protocol | read_only_udm.additional.fields.value.string_value | Pemetaan langsung |
| record.properties.Result | read_only_udm.security_result.summary | Pemetaan langsung |
| record.time | read_only_udm.metadata.event_timestamp | Diuraikan sebagai stempel waktu RFC 3339 |
| resourceId | read_only_udm.target.resource.attribute.labels.value | Pemetaan langsung |
| resourceId | read_only_udm.target.resource.product_object_id | Diganti namanya dari resourceId |
| read_only_udm.metadata.event_type | Ditentukan berdasarkan keberadaan pokok, target, dan Protokol. Ditetapkan ke NETWORK_HTTP jika principal, target, dan Protocol=HTTP ada. Disetel ke NETWORK_CONNECTION jika pokok dan target ada. Disetel ke STATUS_UPDATE jika hanya ada prinsipal. Jika tidak, setel ke GENERIC_EVENT. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.