Azure Firewall-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Azure Firewall-Logs mithilfe eines Azure Storage-Kontos in Google Security Operations exportieren. Der Parser versucht zuerst, die Eingabe als JSON zu verarbeiten und Daten aus dem Feld Records zu extrahieren. Wenn das Feld Record leer ist, verwendet der Parser eine Reihe von Grok-Mustern und bedingten Anweisungen, um relevante Felder aus der Nachricht zu extrahieren. Dabei werden verschiedene Formate und Variationen in den Azure Firewall-Logs berücksichtigt.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • Ein aktiver Azure-Mandant
  • Privilegierter Zugriff auf Azure

Azure Storage-Konto konfigurieren

  1. Suchen Sie in der Azure-Konsole nach Storage accounts (Speicherkonten).
  2. Klicken Sie auf + Erstellen.
  3. Geben Sie Werte für die folgenden Eingabeparameter an:
    • Abo: Wählen Sie das Abo aus.
    • Ressourcengruppe: Wählen Sie die Ressourcengruppe aus.
    • Region: Wählen Sie die Region aus.
    • Leistung: Wählen Sie die Leistung aus (Standard wird empfohlen).
    • Redundanz: Wählen Sie die Redundanz aus (GRS oder LRS empfohlen).
    • Storage-Kontoname: Geben Sie einen Namen für das neue Speicherkonto ein.
  4. Klicken Sie auf Überprüfen + Erstellen.
  5. Sehen Sie sich die Übersicht des Kontos an und klicken Sie auf Erstellen.
  6. Wählen Sie auf der Seite Storage Account Overview (Speicherkonto – Übersicht) unter Security + networking (Sicherheit + Netzwerk) das Untermenü Access keys (Zugriffsschlüssel) aus.
  7. Klicken Sie neben key1 oder key2 auf Anzeigen.
  8. Klicken Sie auf In die Zwischenablage kopieren, um den Schlüssel zu kopieren.
  9. Bewahren Sie den Schlüssel an einem sicheren Ort auf, um ihn später zu verwenden.
  10. Wählen Sie auf der Seite Storage Account Overview (Speicherkontoübersicht) unter Settings (Einstellungen) das Untermenü Endpoints (Endpunkte) aus.
  11. Klicken Sie auf In die Zwischenablage kopieren, um die Endpunkt-URL des Blob-Dienstes zu kopieren, z. B. https://<storageaccountname>.blob.core.windows.net.
  12. Speichern Sie die Endpunkt-URL an einem sicheren Ort für die spätere Verwendung.

Logexport für Azure-Firewall-Logs konfigurieren

  1. Melden Sie sich mit Ihrem privilegierten Konto im Azure-Portal an.
  2. Rufen Sie Firewalls auf und wählen Sie die gewünschte Firewall aus.
  3. Wählen Sie Monitoring > Diagnosedienste aus.
  4. Klicken Sie auf + Diagnoseeinstellung hinzufügen.
    • Geben Sie einen aussagekräftigen Namen für die Diagnoseeinstellung ein.
  5. Wählen Sie allLogs aus.
  6. Wählen Sie das Kästchen In einem Speicherkonto archivieren als Ziel aus.
    • Geben Sie das Abo und das Speicherkonto an.
  7. Klicken Sie auf Speichern.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über die SIEM-Einstellungen > „Feeds“ einrichten

Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

So konfigurieren Sie einen einzelnen Feed:

  1. Rufen Sie die SIEM-Einstellungen> Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Azure Firewall Logs (Azure Firewall-Protokolle).
  5. Wählen Sie Microsoft Azure Blob Storage als Quelltyp aus.
  6. Wählen Sie Azure Firewall als Logtyp aus.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Azure-URI: Die Blob-Endpunkt-URL.
      • ENDPOINT_URL/BLOB_NAME
        • Dabei gilt:
          • ENDPOINT_URL: Die Blob-Endpunkt-URL (https://<storageaccountname>.blob.core.windows.net)
          • BLOB_NAME: Der Name des Blobs (z. B. <logname>-logs)
    • URI is a (URI ist ein): Wählen Sie den URI-TYP entsprechend der Logstream-Konfiguration aus (Single file (Einzelne Datei) | Directory (Verzeichnis) | Directory which includes subdirectories (Verzeichnis mit Unterverzeichnissen)).

    • Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.

    • Freigegebener Schlüssel: Der Zugriffsschlüssel für Azure Blob Storage.

    • Asset-Namespace: Der Asset-Namespace.

    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

  • Azure-URI: Die Blob-Endpunkt-URL.
    • ENDPOINT_URL/BLOB_NAME
      • Dabei gilt:
        • ENDPOINT_URL: Die Blob-Endpunkt-URL (https://<storageaccountname>.blob.core.windows.net)
        • BLOB_NAME: Der Name des Blobs (z. B. insights-logs-<logname>)
  • URI is a (URI ist ein): Wählen Sie den URI-TYP entsprechend der Logstream-Konfiguration aus (Single file (Einzelne Datei) | Directory (Verzeichnis) | Directory which includes subdirectories (Verzeichnis mit Unterverzeichnissen)).
  • Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.
  • Freigegebener Schlüssel: Der Zugriffsschlüssel für Azure Blob Storage.

Erweiterte Optionen

  • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
  • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

UDM-Zuordnung

Logfeld UDM-Zuordnung Logik
@timestamp metadata.event_timestamp Wandelt das Rohlogfeld @timestamp in das UDM-Format um.
Kategorie security_result.rule_type Ordnet das Rohlogfeld category der UDM zu.
operationName metadata.product_event_type Ordnet das Rohlogfeld operationName der UDM zu.
properties.Action security_result.action Ordnet das Rohlogfeld properties.Action dem UDM zu und konvertiert ALLOW in ALLOW, DENY in BLOCK und alle anderen Werte in UNKNOWN_ACTION.
properties.DestinationIp target.ip Ordnet das Rohlogfeld properties.DestinationIp der UDM zu.
properties.DestinationPort target.port Ordnet das Rohlogfeld properties.DestinationPort der UDM zu.
properties.DnssecOkBit additional.fields.value.bool_value Ordnet das Rohlogfeld properties.DnssecOkBit der UDM zu.
properties.EDNS0BufferSize additional.fields.value.number_value Ordnet das Rohlogfeld properties.EDNS0BufferSize der UDM zu.
properties.ErrorMessage additional.fields.value.string_value Ordnet das Rohlogfeld properties.ErrorMessage der UDM zu.
properties.ErrorNumber additional.fields.value.number_value Ordnet das Rohlogfeld properties.ErrorNumber der UDM zu.
properties.Policy security_result.detection_fields.value Ordnet das Rohlogfeld properties.Policy der UDM zu.
properties.Protocol network.ip_protocol Ordnet das Rohlogfeld properties.Protocol dem UDM zu, wenn es nicht HTTPS oder HTTP ist.
properties.Protocol network.application_protocol Ordnet das Rohlogfeld properties.Protocol der UDM zu, wenn es HTTPS oder HTTP ist.
properties.QueryClass network.dns.questions.class Ordnet das Rohlogfeld properties.QueryClass mithilfe einer Nachschlagetabelle zur Zuordnung von DNS-Abfrageklassen dem UDM zu.
properties.QueryId network.dns.id Ordnet das Rohlogfeld properties.QueryId der UDM zu.
properties.QueryName network.dns.questions.name Ordnet das Rohlogfeld properties.QueryName der UDM zu.
properties.QueryType network.dns.questions.type Ordnet das Rohlogfeld properties.QueryType mithilfe einer Nachschlagetabelle für die Zuordnung von DNS-Eintragstypen dem UDM zu.
properties.RequestSize network.sent_bytes Ordnet das Rohlogfeld properties.RequestSize der UDM zu.
properties.ResponseCode network.dns.response_code Ordnet das Rohlogfeld properties.ResponseCode mithilfe einer Nachschlagetabelle zur Zuordnung von DNS-Antwortcodes dem UDM zu.
properties.ResponseFlags additional.fields.value.string_value Ordnet das Rohlogfeld properties.ResponseFlags der UDM zu.
properties.ResponseSize network.received_bytes Ordnet das Rohlogfeld properties.ResponseSize der UDM zu.
properties.Rule security_result.rule_name Ordnet das Rohlogfeld properties.Rule der UDM zu.
properties.RuleCollection security_result.detection_fields.value Ordnet das Rohlogfeld properties.RuleCollection der UDM zu.
properties.RuleCollectionGroup security_result.detection_fields.value Ordnet das Rohlogfeld properties.RuleCollectionGroup der UDM zu.
properties.SourceIp principal.ip Ordnet das Rohlogfeld properties.SourceIp der UDM zu.
properties.SourcePort principal.port Ordnet das Rohlogfeld properties.SourcePort der UDM zu.
properties.msg security_result.description Ordnet das Rohlogfeld properties.msg der UDM zu, nachdem andere Felder daraus extrahiert wurden.
records.category security_result.rule_type Ordnet das Rohlogfeld records.category der UDM zu.
records.operationName metadata.product_event_type Ordnet das Rohlogfeld records.operationName der UDM zu.
records.properties.msg Dieses Feld wird zum Extrahieren mehrerer Felder mithilfe von Grok-Mustern verwendet und hat keine direkte Zuordnung zu UDM.
records.resourceId metadata.product_log_id Ordnet das Rohlogfeld records.resourceId der UDM zu.
resourceId metadata.product_log_id Ordnet das Rohlogfeld resourceId der UDM zu.
Zeit metadata.event_timestamp Wandelt das Rohlogfeld time in das UDM-Format um.
metadata.vendor_name Dieses Feld wird vom Parser mit dem Wert Microsoft Inc. ausgefüllt.
metadata.product_name Dieses Feld wird vom Parser mit dem Wert Azure Firewall Application Rule ausgefüllt.
metadata.log_type Dieses Feld wird vom Parser mit dem Wert AZURE_FIREWALL ausgefüllt.
additional.fields.key Dieses Feld wird vom Parser mit dem Schlüssel für das zusätzliche Feld gefüllt.
security_result.detection_fields.key Dieses Feld wird vom Parser mit dem Schlüssel für das Erkennungsfeld ausgefüllt.
network.application_protocol Dieses Feld wird vom Parser mit dem Wert DNS für DNS-Logs gefüllt.
metadata.event_type Dieses Feld wird vom Parser basierend auf der Logmeldung ausgefüllt. Das kann NETWORK_CONNECTION, GENERIC_EVENT, STATUS_UPDATE oder NETWORK_DNS sein.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten