Raccogliere i log di Azure Firewall
Supportato in:
Google SecOps
SIEM
Questo documento spiega come esportare i log di Azure Firewall in Google Security Operations utilizzando l'account di archiviazione Azure. Il parser tenta innanzitutto di elaborare l'input come JSON, estraendo i dati dal campo Record. Se il campo Record è vuoto, il parser utilizza una serie di pattern Grok e istruzioni condizionali per estrarre i campi pertinenti dal messaggio, gestendo diversi formati e varianti nei log di Azure Firewall.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Istanza Google SecOps
- Un tenant Azure attivo
- Accesso con privilegi ad Azure
Configura l'account di archiviazione di Azure
- Nella console Azure, cerca Storage accounts.
- Fai clic su + Crea.
- Specifica i valori per i seguenti parametri di input:
- Abbonamento: seleziona l'abbonamento.
- Gruppo di risorse: seleziona il gruppo di risorse.
- Regione: seleziona la regione.
- Rendimento: seleziona il rendimento (consigliato Standard).
- Ridondanza: seleziona la ridondanza (consigliata GRS o LRS).
- Nome account di archiviazione: inserisci un nome per il nuovo account di archiviazione.
- Fai clic su Review + create (Rivedi e crea).
- Controlla la panoramica dell'account e fai clic su Crea.
- Nella pagina Panoramica account di archiviazione, seleziona il sottomenu Chiavi di accesso in Sicurezza e networking.
- Fai clic su Mostra accanto a key1 o key2.
- Fai clic su Copia negli appunti per copiare la chiave.
- Salva la chiave in un luogo sicuro per utilizzarla in un secondo momento.
- Nella pagina Panoramica account di archiviazione, seleziona il sottomenu Endpoint in Impostazioni.
- Fai clic su Copia negli appunti per copiare l'URL dell'endpoint Blob service, ad esempio
https://<storageaccountname>.blob.core.windows.net. - Salva l'URL dell'endpoint in una posizione sicura per utilizzarlo in un secondo momento.
Come configurare l'esportazione dei log per i log dei firewall Azure
- Accedi al portale di Azure utilizzando il tuo account con privilegi.
- Vai a Firewall e seleziona il firewall richiesto.
- Seleziona Monitoraggio > Servizi di diagnostica.
- Fai clic su + Aggiungi impostazione di diagnostica.
- Inserisci un nome descrittivo per l'impostazione di diagnostica.
- Seleziona allLogs.
- Seleziona la casella di controllo Archivia in un account di archiviazione come destinazione.
- Specifica l'Abbonamento e l'Account di archiviazione.
- Fai clic su Salva.
Configurare i feed
Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:
- Impostazioni SIEM > Feed > Aggiungi nuovo feed
- Hub dei contenuti > Pacchetti di contenuti > Inizia
Come configurare il feed firewall di Azure
- Fai clic sul pacchetto Azure Platform.
- Individua il tipo di log Azure Firewall e fai clic su Aggiungi nuovo feed.
Specifica i valori per i seguenti campi:
- Tipo di origine: Microsoft Azure Blob Storage V2.
- URI Azure: l'URL dell'endpoint blob.
ENDPOINT_URL/BLOB_NAME- Sostituisci quanto segue:
ENDPOINT_URL: l'URL dell'endpoint blob (https://<storageaccountname>.blob.core.windows.net)BLOB_NAME: il nome del blob (ad esempio,<logname>-logs)
- Sostituisci quanto segue:
Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.
Età massima del file: include i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
Chiave condivisa: la chiave condivisa (una stringa casuale di 512 bit con codifica base64) utilizzata per accedere alle risorse Azure.
Opzioni avanzate
- Nome feed: un valore precompilato che identifica il feed.
- Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
- Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.
Fai clic su Crea feed.
Per ulteriori informazioni sulla configurazione di più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.
Mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
| @timestamp | metadata.event_timestamp | Converte il campo log non elaborato @timestamp nel formato UDM. |
| categoria | security_result.rule_type | Mappa il campo dei log non elaborati category a UDM. |
| operationName | metadata.product_event_type | Mappa il campo dei log non elaborati operationName a UDM. |
| properties.Action | security_result.action | Mappa il campo del log non elaborato properties.Action a UDM, convertendo ALLOW in ALLOW, DENY in BLOCK e qualsiasi altro valore in UNKNOWN_ACTION. |
| properties.DestinationIp | target.ip | Mappa il campo dei log non elaborati properties.DestinationIp a UDM. |
| properties.DestinationPort | target.port | Mappa il campo dei log non elaborati properties.DestinationPort a UDM. |
| properties.DnssecOkBit | additional.fields.value.bool_value | Mappa il campo dei log non elaborati properties.DnssecOkBit a UDM. |
| properties.EDNS0BufferSize | additional.fields.value.number_value | Mappa il campo dei log non elaborati properties.EDNS0BufferSize a UDM. |
| properties.ErrorMessage | additional.fields.value.string_value | Mappa il campo dei log non elaborati properties.ErrorMessage a UDM. |
| properties.ErrorNumber | additional.fields.value.number_value | Mappa il campo dei log non elaborati properties.ErrorNumber a UDM. |
| properties.Policy | security_result.detection_fields.value | Mappa il campo dei log non elaborati properties.Policy a UDM. |
| properties.Protocol | network.ip_protocol | Mappa il campo del log non elaborato properties.Protocol a UDM se non è HTTPS o HTTP. |
| properties.Protocol | network.application_protocol | Mappa il campo di log non elaborato properties.Protocol a UDM se è HTTPS o HTTP. |
| properties.QueryClass | network.dns.questions.class | Mappa il campo del log non elaborato properties.QueryClass a UDM utilizzando una tabella di ricerca per mappare le classi di query DNS. |
| properties.QueryId | network.dns.id | Mappa il campo dei log non elaborati properties.QueryId a UDM. |
| properties.QueryName | network.dns.questions.name | Mappa il campo dei log non elaborati properties.QueryName a UDM. |
| properties.QueryType | network.dns.questions.type | Mappa il campo del log non elaborato properties.QueryType a UDM utilizzando una tabella di ricerca per la mappatura dei tipi di record DNS. |
| properties.RequestSize | network.sent_bytes | Mappa il campo dei log non elaborati properties.RequestSize a UDM. |
| properties.ResponseCode | network.dns.response_code | Mappa il campo log non elaborato properties.ResponseCode a UDM utilizzando una tabella di ricerca per mappare i codici di risposta DNS. |
| properties.ResponseFlags | additional.fields.value.string_value | Mappa il campo dei log non elaborati properties.ResponseFlags a UDM. |
| properties.ResponseSize | network.received_bytes | Mappa il campo dei log non elaborati properties.ResponseSize a UDM. |
| properties.Rule | security_result.rule_name | Mappa il campo dei log non elaborati properties.Rule a UDM. |
| properties.RuleCollection | security_result.detection_fields.value | Mappa il campo dei log non elaborati properties.RuleCollection a UDM. |
| properties.RuleCollectionGroup | security_result.detection_fields.value | Mappa il campo dei log non elaborati properties.RuleCollectionGroup a UDM. |
| properties.SourceIp | principal.ip | Mappa il campo dei log non elaborati properties.SourceIp a UDM. |
| properties.SourcePort | principal.port | Mappa il campo dei log non elaborati properties.SourcePort a UDM. |
| properties.msg | security_result.description | Mappa il campo di log non elaborato properties.msg a UDM dopo aver estratto altri campi. |
| records.category | security_result.rule_type | Mappa il campo dei log non elaborati records.category a UDM. |
| records.operationName | metadata.product_event_type | Mappa il campo dei log non elaborati records.operationName a UDM. |
| records.properties.msg | Questo campo viene utilizzato per estrarre più campi utilizzando i pattern Grok e non ha un mapping diretto con UDM. | |
| records.resourceId | metadata.product_log_id | Mappa il campo dei log non elaborati records.resourceId a UDM. |
| resourceId | metadata.product_log_id | Mappa il campo dei log non elaborati resourceId a UDM. |
| tempo | metadata.event_timestamp | Converte il campo log non elaborato time nel formato UDM. |
| metadata.vendor_name | Questo campo viene compilato dal parser con il valore Microsoft Inc.. |
|
| metadata.product_name | Questo campo viene compilato dal parser con il valore Azure Firewall Application Rule. |
|
| metadata.log_type | Questo campo viene compilato dal parser con il valore AZURE_FIREWALL. |
|
| additional.fields.key | Questo campo viene compilato dal parser con la chiave del campo aggiuntivo. | |
| security_result.detection_fields.key | Questo campo viene compilato dal parser con la chiave per il campo di rilevamento. | |
| network.application_protocol | Questo campo viene compilato dal parser con il valore DNS per i log DNS. |
|
| metadata.event_type | Questo campo viene compilato dal parser in base al messaggio di log. Può essere NETWORK_CONNECTION, GENERIC_EVENT, STATUS_UPDATE o NETWORK_DNS. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.