收集 Azure 防火牆記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Azure 儲存空間帳戶,將 Azure 防火牆記錄匯出至 Google Security Operations。剖析器會先嘗試將輸入內容處理為 JSON,並從「記錄」欄位擷取資料。如果「記錄」欄位空白,剖析器就會使用一系列 Grok 模式和條件陳述式,從訊息中擷取相關欄位,處理 Azure 防火牆記錄檔中的不同格式和變化。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- 有效的 Azure 租用戶
- Azure 特殊存取權
設定 Azure 儲存體帳戶
- 在 Azure 控制台中,搜尋「Storage accounts」(儲存體帳戶)。
- 點選「+ 建立」。
- 指定下列輸入參數的值:
- 訂閱:選取訂閱方案。
- 資源群組:選取資源群組。
- 區域:選取區域。
- 成效:選取成效 (建議使用「標準」)。
- 備援:選取備援 (建議使用 GRS 或 LRS)。
- 「儲存體帳戶名稱」:輸入新儲存體帳戶的名稱。
- 按一下「Review + create」。
- 查看帳戶總覽,然後按一下「建立」。
- 在「儲存空間帳戶總覽」頁面中,選取「安全性 + 網路」中的「存取金鑰」子選單。
- 按一下「key1」或「key2」旁邊的「顯示」。
- 按一下「複製到剪貼簿」即可複製金鑰。
- 將金鑰儲存於安全的位置,以供日後使用。
- 在「儲存空間帳戶總覽」頁面中,選取「設定」中的「端點」子選單。
- 按一下「複製到剪貼簿」,複製「Blob 服務」端點網址,例如
https://<storageaccountname>.blob.core.windows.net。 - 請將端點網址儲存於安全位置,以供日後使用。
如何設定 Azure 防火牆記錄的記錄匯出功能
- 使用具備權限的帳戶登入 Azure 入口網站。
- 前往「Firewalls」(防火牆),然後選取所需防火牆。
- 選取「監控」>「診斷服務」。
- 按一下「+ 新增診斷設定」。
- 輸入診斷設定的描述性名稱。
- 選取「allLogs」allLogs。
- 選取「封存至儲存空間帳戶」核取方塊做為目的地。
- 指定「訂閱項目」和「儲存空間帳戶」。
- 按一下 [儲存]。
設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 「SIEM 設定」>「動態消息」
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態消息」,設定動態消息
如要為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。
如要設定單一動態饋給,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「Feed name」(動態消息名稱) 欄位中,輸入動態消息的名稱,例如「Azure Firewall Logs」(Azure 防火牆記錄)。
- 選取「Microsoft Azure Blob Storage」做為「來源類型」。
- 選取「Azure 防火牆」做為「記錄類型」。
- 點選「下一步」。
指定下列輸入參數的值:
- Azure URI:Blob 端點 URL。
ENDPOINT_URL/BLOB_NAME- 取代下列項目:
ENDPOINT_URL:Blob 端點網址 (https://<storageaccountname>.blob.core.windows.net)BLOB_NAME:Blob 的名稱 (例如<logname>-logs)
- 取代下列項目:
- URI 為:根據記錄串流設定選取 URI 類型 (「單一檔案」|「目錄」|「包含子目錄的目錄」)。
來源刪除選項:根據擷取偏好設定選取刪除選項。
共用金鑰:Azure Blob 儲存體的存取金鑰。
資產命名空間:資產命名空間。
擷取標籤:要套用至這個動態饋給事件的標籤。
- Azure URI:Blob 端點 URL。
點選「下一步」。
在「Finalize」畫面上檢查新的動態饋給設定,然後按一下「Submit」。
從內容中心設定動態饋給
為下列欄位指定值:
- Azure URI:Blob 端點 URL。
ENDPOINT_URL/BLOB_NAME- 取代下列項目:
ENDPOINT_URL:Blob 端點網址 (https://<storageaccountname>.blob.core.windows.net)BLOB_NAME:Blob 的名稱 (例如insights-logs-<logname>)
- 取代下列項目:
- URI 為:根據記錄串流設定選取 URI 類型 (「單一檔案」|「目錄」|「包含子目錄的目錄」)。
- 來源刪除選項:根據擷取偏好設定選取刪除選項。
- 共用金鑰:Azure Blob 儲存體的存取金鑰。
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 來源類型:將記錄收集到 Google SecOps 的方法。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 擷取標籤:套用至這個動態饋給所有事件的標籤。
UDM 對應
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| @timestamp | metadata.event_timestamp | 將原始記錄檔欄位 @timestamp 轉換為 UDM 格式。 |
| category | security_result.rule_type | 將原始記錄檔欄位 category 對應至 UDM。 |
| operationName | metadata.product_event_type | 將原始記錄檔欄位 operationName 對應至 UDM。 |
| properties.Action | security_result.action | 將原始記錄欄位 properties.Action 對應至 UDM,並將 ALLOW 轉換為 ALLOW、DENY 轉換為 BLOCK,以及將任何其他值轉換為 UNKNOWN_ACTION。 |
| properties.DestinationIp | target.ip | 將原始記錄檔欄位 properties.DestinationIp 對應至 UDM。 |
| properties.DestinationPort | target.port | 將原始記錄檔欄位 properties.DestinationPort 對應至 UDM。 |
| properties.DnssecOkBit | additional.fields.value.bool_value | 將原始記錄檔欄位 properties.DnssecOkBit 對應至 UDM。 |
| properties.EDNS0BufferSize | additional.fields.value.number_value | 將原始記錄檔欄位 properties.EDNS0BufferSize 對應至 UDM。 |
| properties.ErrorMessage | additional.fields.value.string_value | 將原始記錄檔欄位 properties.ErrorMessage 對應至 UDM。 |
| properties.ErrorNumber | additional.fields.value.number_value | 將原始記錄檔欄位 properties.ErrorNumber 對應至 UDM。 |
| properties.Policy | security_result.detection_fields.value | 將原始記錄檔欄位 properties.Policy 對應至 UDM。 |
| properties.Protocol | network.ip_protocol | 如果原始記錄欄位不是 HTTPS 或 HTTP,則會將該欄位對應至 UDM。properties.Protocol |
| properties.Protocol | network.application_protocol | 如果原始記錄檔欄位 properties.Protocol 為 HTTPS 或 HTTP,則會對應至 UDM。 |
| properties.QueryClass | network.dns.questions.class | 使用 DNS 查詢類別的對照表,將原始記錄欄位 properties.QueryClass 對應至 UDM。 |
| properties.QueryId | network.dns.id | 將原始記錄檔欄位 properties.QueryId 對應至 UDM。 |
| properties.QueryName | network.dns.questions.name | 將原始記錄檔欄位 properties.QueryName 對應至 UDM。 |
| properties.QueryType | network.dns.questions.type | 使用查閱表對應 DNS 記錄類型,將原始記錄欄位 properties.QueryType 對應至 UDM。 |
| properties.RequestSize | network.sent_bytes | 將原始記錄檔欄位 properties.RequestSize 對應至 UDM。 |
| properties.ResponseCode | network.dns.response_code | 使用查閱表對應 DNS 回應碼,將原始記錄欄位 properties.ResponseCode 對應至 UDM。 |
| properties.ResponseFlags | additional.fields.value.string_value | 將原始記錄檔欄位 properties.ResponseFlags 對應至 UDM。 |
| properties.ResponseSize | network.received_bytes | 將原始記錄檔欄位 properties.ResponseSize 對應至 UDM。 |
| properties.Rule | security_result.rule_name | 將原始記錄檔欄位 properties.Rule 對應至 UDM。 |
| properties.RuleCollection | security_result.detection_fields.value | 將原始記錄檔欄位 properties.RuleCollection 對應至 UDM。 |
| properties.RuleCollectionGroup | security_result.detection_fields.value | 將原始記錄檔欄位 properties.RuleCollectionGroup 對應至 UDM。 |
| properties.SourceIp | principal.ip | 將原始記錄檔欄位 properties.SourceIp 對應至 UDM。 |
| properties.SourcePort | principal.port | 將原始記錄檔欄位 properties.SourcePort 對應至 UDM。 |
| properties.msg | security_result.description | 從原始記錄檔欄位 properties.msg 中擷取其他欄位後,將該欄位對應至 UDM。 |
| records.category | security_result.rule_type | 將原始記錄檔欄位 records.category 對應至 UDM。 |
| records.operationName | metadata.product_event_type | 將原始記錄檔欄位 records.operationName 對應至 UDM。 |
| records.properties.msg | 這個欄位用於使用 Grok 模式擷取多個欄位,且不會直接對應至 UDM。 | |
| records.resourceId | metadata.product_log_id | 將原始記錄檔欄位 records.resourceId 對應至 UDM。 |
| resourceId | metadata.product_log_id | 將原始記錄檔欄位 resourceId 對應至 UDM。 |
| 時間 | metadata.event_timestamp | 將原始記錄檔欄位 time 轉換為 UDM 格式。 |
| metadata.vendor_name | 剖析器會在這個欄位填入 Microsoft Inc. 值。 |
|
| metadata.product_name | 剖析器會在這個欄位填入 Azure Firewall Application Rule 值。 |
|
| metadata.log_type | 剖析器會在這個欄位填入 AZURE_FIREWALL 值。 |
|
| additional.fields.key | 剖析器會在這個欄位中填入額外欄位的鍵。 | |
| security_result.detection_fields.key | 剖析器會在這個欄位中填入偵測欄位的鍵。 | |
| network.application_protocol | 剖析器會為 DNS 記錄填入 DNS 值。 |
|
| metadata.event_type | 剖析器會根據記錄訊息填入這個欄位。可以是 NETWORK_CONNECTION、GENERIC_EVENT、STATUS_UPDATE 或 NETWORK_DNS。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。