Raccogliere i log di Azure Firewall
Questo documento spiega come esportare i log di Azure Firewall in Google Security Operations utilizzando l'account di archiviazione Azure. Il parser tenta innanzitutto di elaborare l'input come JSON, estraendo i dati dal campo Record. Se il campo Record è vuoto, il parser utilizza una serie di pattern Grok e istruzioni condizionali per estrarre i campi pertinenti dal messaggio, gestendo diversi formati e varianti nei log di Azure Firewall.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Istanza Google SecOps
- Un tenant Azure attivo
- Accesso con privilegi ad Azure
Configura l'account di archiviazione di Azure
- Nella console Azure, cerca Storage accounts.
- Fai clic su + Crea.
- Specifica i valori per i seguenti parametri di input:
- Abbonamento: seleziona l'abbonamento.
- Gruppo di risorse: seleziona il gruppo di risorse.
- Regione: seleziona la regione.
- Rendimento: seleziona il rendimento (consigliato Standard).
- Ridondanza: seleziona la ridondanza (consigliata GRS o LRS).
- Nome account di archiviazione: inserisci un nome per il nuovo account di archiviazione.
- Fai clic su Review + create (Rivedi e crea).
- Controlla la panoramica dell'account e fai clic su Crea.
- Nella pagina Panoramica account di archiviazione, seleziona il sottomenu Chiavi di accesso in Sicurezza e networking.
- Fai clic su Mostra accanto a key1 o key2.
- Fai clic su Copia negli appunti per copiare la chiave.
- Salva la chiave in una posizione sicura per utilizzarla in un secondo momento.
- Nella pagina Panoramica dell'account di archiviazione, seleziona il sottomenu Endpoint in Impostazioni.
- Fai clic su Copia negli appunti per copiare l'URL dell'endpoint Blob service, ad esempio
https://<storageaccountname>.blob.core.windows.net
. - Salva l'URL dell'endpoint in una posizione sicura per utilizzarlo in un secondo momento.
Come configurare l'esportazione dei log per i log dei firewall Azure
- Accedi al portale di Azure utilizzando il tuo account con privilegi.
- Vai a Firewall e seleziona il firewall richiesto.
- Seleziona Monitoraggio > Servizi di diagnostica.
- Fai clic su + Aggiungi impostazione di diagnostica.
- Inserisci un nome descrittivo per l'impostazione di diagnostica.
- Seleziona allLogs.
- Seleziona la casella di controllo Archivia in un account di archiviazione come destinazione.
- Specifica l'abbonamento e l'account di archiviazione.
- Fai clic su Salva.
Configurare i feed
Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:
- Impostazioni SIEM > Feed
- Hub dei contenuti > Pacchetti di contenuti
Configurare i feed da Impostazioni SIEM > Feed
Per configurare più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.
Per configurare un singolo feed:
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo feed.
- Nella pagina successiva, fai clic su Configura un singolo feed.
- Nel campo Nome feed, inserisci un nome per il feed, ad esempio Azure Firewall Logs.
- Seleziona Microsoft Azure Blob Storage come Tipo di origine.
- Seleziona Azure Firewall come Tipo di log.
- Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- URI di Azure: l'URL dell'endpoint blob.
ENDPOINT_URL/BLOB_NAME
- Sostituisci quanto segue:
ENDPOINT_URL
: l'URL dell'endpoint blob (https://<storageaccountname>.blob.core.windows.net
)BLOB_NAME
: il nome del blob (ad esempio,<logname>-logs
)
- Sostituisci quanto segue:
- URI è un: seleziona il TIPO DI URI in base alla configurazione del flusso di log (Singolo file | Directory | Directory che include sottodirectory).
Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.
Chiave condivisa: la chiave di accesso ad Azure Blob Storage.
Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
- URI di Azure: l'URL dell'endpoint blob.
Fai clic su Avanti.
Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.
Configurare i feed dall'hub dei contenuti
Specifica i valori per i seguenti campi:
- URI di Azure: l'URL dell'endpoint blob.
ENDPOINT_URL/BLOB_NAME
- Sostituisci quanto segue:
ENDPOINT_URL
: l'URL dell'endpoint blob (https://<storageaccountname>.blob.core.windows.net
)BLOB_NAME
: il nome del blob (ad esempio,insights-logs-<logname>
)
- Sostituisci quanto segue:
- URI è un: seleziona il TIPO DI URI in base alla configurazione del flusso di log (Singolo file | Directory | Directory che include sottodirectory).
- Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.
- Chiave condivisa: la chiave di accesso ad Azure Blob Storage.
Opzioni avanzate
- Nome feed: un valore precompilato che identifica il feed.
- Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
- Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
- Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.
Mappatura UDM
Campo log | Mappatura UDM | Logic |
---|---|---|
@timestamp | metadata.event_timestamp | Converte il campo log non elaborato @timestamp nel formato UDM. |
categoria | security_result.rule_type | Mappa il campo dei log non elaborati category a UDM. |
operationName | metadata.product_event_type | Mappa il campo dei log non elaborati operationName a UDM. |
properties.Action | security_result.action | Mappa il campo del log non elaborato properties.Action a UDM, convertendo ALLOW in ALLOW , DENY in BLOCK e qualsiasi altro valore in UNKNOWN_ACTION . |
properties.DestinationIp | target.ip | Mappa il campo dei log non elaborati properties.DestinationIp a UDM. |
properties.DestinationPort | target.port | Mappa il campo dei log non elaborati properties.DestinationPort a UDM. |
properties.DnssecOkBit | additional.fields.value.bool_value | Mappa il campo dei log non elaborati properties.DnssecOkBit a UDM. |
properties.EDNS0BufferSize | additional.fields.value.number_value | Mappa il campo dei log non elaborati properties.EDNS0BufferSize a UDM. |
properties.ErrorMessage | additional.fields.value.string_value | Mappa il campo dei log non elaborati properties.ErrorMessage a UDM. |
properties.ErrorNumber | additional.fields.value.number_value | Mappa il campo dei log non elaborati properties.ErrorNumber a UDM. |
properties.Policy | security_result.detection_fields.value | Mappa il campo dei log non elaborati properties.Policy a UDM. |
properties.Protocol | network.ip_protocol | Mappa il campo del log non elaborato properties.Protocol a UDM se non è HTTPS o HTTP . |
properties.Protocol | network.application_protocol | Mappa il campo di log non elaborato properties.Protocol a UDM se è HTTPS o HTTP . |
properties.QueryClass | network.dns.questions.class | Mappa il campo del log non elaborato properties.QueryClass a UDM utilizzando una tabella di ricerca per mappare le classi di query DNS. |
properties.QueryId | network.dns.id | Mappa il campo dei log non elaborati properties.QueryId a UDM. |
properties.QueryName | network.dns.questions.name | Mappa il campo dei log non elaborati properties.QueryName a UDM. |
properties.QueryType | network.dns.questions.type | Mappa il campo log non elaborato properties.QueryType a UDM utilizzando una tabella di ricerca per mappare i tipi di record DNS. |
properties.RequestSize | network.sent_bytes | Mappa il campo dei log non elaborati properties.RequestSize a UDM. |
properties.ResponseCode | network.dns.response_code | Mappa il campo log non elaborato properties.ResponseCode a UDM utilizzando una tabella di ricerca per mappare i codici di risposta DNS. |
properties.ResponseFlags | additional.fields.value.string_value | Mappa il campo dei log non elaborati properties.ResponseFlags a UDM. |
properties.ResponseSize | network.received_bytes | Mappa il campo dei log non elaborati properties.ResponseSize a UDM. |
properties.Rule | security_result.rule_name | Mappa il campo dei log non elaborati properties.Rule a UDM. |
properties.RuleCollection | security_result.detection_fields.value | Mappa il campo dei log non elaborati properties.RuleCollection a UDM. |
properties.RuleCollectionGroup | security_result.detection_fields.value | Mappa il campo dei log non elaborati properties.RuleCollectionGroup a UDM. |
properties.SourceIp | principal.ip | Mappa il campo dei log non elaborati properties.SourceIp a UDM. |
properties.SourcePort | principal.port | Mappa il campo dei log non elaborati properties.SourcePort a UDM. |
properties.msg | security_result.description | Mappa il campo di log non elaborato properties.msg a UDM dopo aver estratto altri campi. |
records.category | security_result.rule_type | Mappa il campo dei log non elaborati records.category a UDM. |
records.operationName | metadata.product_event_type | Mappa il campo dei log non elaborati records.operationName a UDM. |
records.properties.msg | Questo campo viene utilizzato per estrarre più campi utilizzando i pattern Grok e non ha un mapping diretto con UDM. | |
records.resourceId | metadata.product_log_id | Mappa il campo dei log non elaborati records.resourceId a UDM. |
resourceId | metadata.product_log_id | Mappa il campo dei log non elaborati resourceId a UDM. |
tempo | metadata.event_timestamp | Converte il campo log non elaborato time nel formato UDM. |
metadata.vendor_name | Questo campo viene compilato dal parser con il valore Microsoft Inc. . |
|
metadata.product_name | Questo campo viene compilato dal parser con il valore Azure Firewall Application Rule . |
|
metadata.log_type | Questo campo viene compilato dal parser con il valore AZURE_FIREWALL . |
|
additional.fields.key | Questo campo viene compilato dal parser con la chiave del campo aggiuntivo. | |
security_result.detection_fields.key | Questo campo viene compilato dal parser con la chiave per il campo di rilevamento. | |
network.application_protocol | Questo campo viene compilato dal parser con il valore DNS per i log DNS. |
|
metadata.event_type | Questo campo viene compilato dal parser in base al messaggio di log. Può essere NETWORK_CONNECTION , GENERIC_EVENT , STATUS_UPDATE o NETWORK_DNS . |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.