Mengumpulkan log Azure Firewall
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara mengekspor log Azure Firewall ke Google Security Operations menggunakan Akun Azure Storage. Parser pertama-tama mencoba memproses input sebagai JSON, mengekstrak data dari kolom Records. Jika kolom Record kosong, parser akan menggunakan serangkaian pola Grok dan pernyataan bersyarat untuk mengekstrak kolom yang relevan dari pesan, menangani berbagai format dan variasi dalam log Azure Firewall.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Tenant Azure yang aktif
- Akses istimewa ke Azure
Mengonfigurasi Akun Azure Storage
- Di konsol Azure, cari Storage accounts.
- Klik + Create.
- Tentukan nilai untuk parameter input berikut:
- Langganan: Pilih langganan.
- Grup Resource: Pilih grup resource.
- Region: Pilih region.
- Performa: Pilih performa (Standar direkomendasikan).
- Redundansi: Pilih redundansi (GRS atau LRS direkomendasikan).
- Nama akun penyimpanan: Masukkan nama untuk akun penyimpanan baru.
- Klik Review + create.
- Tinjau ringkasan akun, lalu klik Buat.
- Dari halaman Storage Account Overview, pilih submenu Access keys di Security + networking.
- Klik Tampilkan di samping key1 atau key2.
- Klik Salin ke papan klip untuk menyalin kunci.
- Simpan kunci di lokasi yang aman untuk digunakan nanti.
- Dari halaman Storage Account Overview, pilih submenu Endpoints di Settings.
- Klik Salin ke papan klip untuk menyalin URL endpoint Blob service; misalnya,
https://<storageaccountname>.blob.core.windows.net. - Simpan URL endpoint di lokasi yang aman untuk digunakan nanti.
Cara mengonfigurasi Ekspor Log untuk Log Firewall Azure
- Login ke Portal Azure menggunakan akun istimewa Anda.
- Buka Firewall dan pilih firewall yang diperlukan.
- Pilih Monitoring > Diagnostic Services.
- Klik + Tambahkan setelan diagnostik.
- Masukkan nama deskriptif untuk setelan diagnostik.
- Pilih allLogs.
- Centang kotak Arsipkan ke akun penyimpanan sebagai tujuan.
- Tentukan Subscription dan Storage Account.
- Klik Simpan.
Menyiapkan feed
Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:
- Setelan SIEM > Feed > Tambahkan Baru
- Hub Konten > Paket Konten > Mulai
Cara menyiapkan feed firewall Azure
- Klik paket Azure Platform.
- Cari jenis log Azure firewall, lalu klik Tambahkan feed baru.
Tentukan nilai untuk kolom berikut:
- Jenis Sumber: Microsoft Azure Blob Storage V2.
- URI Azure: URL endpoint blob.
ENDPOINT_URL/BLOB_NAME- Ganti kode berikut:
ENDPOINT_URL: URL endpoint blob (https://<storageaccountname>.blob.core.windows.net)BLOB_NAME: Nama blob (seperti,<logname>-logs)
- Ganti kode berikut:
Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.
Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.
Kunci bersama: Kunci bersama (string acak 512-bit dalam encoding base-64) yang digunakan untuk mengakses resource Azure.
Opsi lanjutan
- Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
- Namespace Aset: Namespace yang terkait dengan feed.
- Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.
Klik Buat feed.
Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.
Pemetaan UDM
| Kolom log | Pemetaan UDM | Logika |
|---|---|---|
| @timestamp | metadata.event_timestamp | Mengonversi kolom log mentah @timestamp ke Format UDM. |
| category | security_result.rule_type | Memetakan kolom log mentah category ke UDM. |
| operationName | metadata.product_event_type | Memetakan kolom log mentah operationName ke UDM. |
| properties.Action | security_result.action | Memetakan kolom log mentah properties.Action ke UDM, mengonversi ALLOW menjadi ALLOW, DENY menjadi BLOCK, dan nilai lainnya menjadi UNKNOWN_ACTION. |
| properties.DestinationIp | target.ip | Memetakan kolom log mentah properties.DestinationIp ke UDM. |
| properties.DestinationPort | target.port | Memetakan kolom log mentah properties.DestinationPort ke UDM. |
| properties.DnssecOkBit | additional.fields.value.bool_value | Memetakan kolom log mentah properties.DnssecOkBit ke UDM. |
| properties.EDNS0BufferSize | additional.fields.value.number_value | Memetakan kolom log mentah properties.EDNS0BufferSize ke UDM. |
| properties.ErrorMessage | additional.fields.value.string_value | Memetakan kolom log mentah properties.ErrorMessage ke UDM. |
| properties.ErrorNumber | additional.fields.value.number_value | Memetakan kolom log mentah properties.ErrorNumber ke UDM. |
| properties.Policy | security_result.detection_fields.value | Memetakan kolom log mentah properties.Policy ke UDM. |
| properties.Protocol | network.ip_protocol | Memetakan kolom log mentah properties.Protocol ke UDM jika bukan HTTPS atau HTTP. |
| properties.Protocol | network.application_protocol | Memetakan kolom log mentah properties.Protocol ke UDM jika kolom tersebut adalah HTTPS atau HTTP. |
| properties.QueryClass | network.dns.questions.class | Memetakan kolom log mentah properties.QueryClass ke UDM menggunakan tabel lookup untuk memetakan class kueri DNS. |
| properties.QueryId | network.dns.id | Memetakan kolom log mentah properties.QueryId ke UDM. |
| properties.QueryName | network.dns.questions.name | Memetakan kolom log mentah properties.QueryName ke UDM. |
| properties.QueryType | network.dns.questions.type | Memetakan kolom log mentah properties.QueryType ke UDM menggunakan tabel penelusuran untuk memetakan jenis data DNS. |
| properties.RequestSize | network.sent_bytes | Memetakan kolom log mentah properties.RequestSize ke UDM. |
| properties.ResponseCode | network.dns.response_code | Memetakan kolom log mentah properties.ResponseCode ke UDM menggunakan tabel penelusuran untuk memetakan kode respons DNS. |
| properties.ResponseFlags | additional.fields.value.string_value | Memetakan kolom log mentah properties.ResponseFlags ke UDM. |
| properties.ResponseSize | network.received_bytes | Memetakan kolom log mentah properties.ResponseSize ke UDM. |
| properties.Rule | security_result.rule_name | Memetakan kolom log mentah properties.Rule ke UDM. |
| properties.RuleCollection | security_result.detection_fields.value | Memetakan kolom log mentah properties.RuleCollection ke UDM. |
| properties.RuleCollectionGroup | security_result.detection_fields.value | Memetakan kolom log mentah properties.RuleCollectionGroup ke UDM. |
| properties.SourceIp | principal.ip | Memetakan kolom log mentah properties.SourceIp ke UDM. |
| properties.SourcePort | principal.port | Memetakan kolom log mentah properties.SourcePort ke UDM. |
| properties.msg | security_result.description | Memetakan kolom log mentah properties.msg ke UDM setelah mengekstrak kolom lain darinya. |
| records.category | security_result.rule_type | Memetakan kolom log mentah records.category ke UDM. |
| records.operationName | metadata.product_event_type | Memetakan kolom log mentah records.operationName ke UDM. |
| records.properties.msg | Kolom ini digunakan untuk mengekstrak beberapa kolom menggunakan pola Grok dan tidak memiliki pemetaan langsung ke UDM. | |
| records.resourceId | metadata.product_log_id | Memetakan kolom log mentah records.resourceId ke UDM. |
| resourceId | metadata.product_log_id | Memetakan kolom log mentah resourceId ke UDM. |
| waktu | metadata.event_timestamp | Mengonversi kolom log mentah time ke Format UDM. |
| metadata.vendor_name | Kolom ini diisi oleh parser dengan nilai Microsoft Inc.. |
|
| metadata.product_name | Kolom ini diisi oleh parser dengan nilai Azure Firewall Application Rule. |
|
| metadata.log_type | Kolom ini diisi oleh parser dengan nilai AZURE_FIREWALL. |
|
| additional.fields.key | Kolom ini diisi oleh parser dengan kunci untuk kolom tambahan. | |
| security_result.detection_fields.key | Kolom ini diisi oleh parser dengan kunci untuk kolom deteksi. | |
| network.application_protocol | Kolom ini diisi oleh parser dengan nilai DNS untuk log DNS. |
|
| metadata.event_type | Kolom ini diisi oleh parser berdasarkan pesan log. Dapat berupa NETWORK_CONNECTION, GENERIC_EVENT, STATUS_UPDATE, atau NETWORK_DNS. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.