Recopila registros de Azure Application Gateway

En este documento, se explica cómo recopilar registros de Azure Application Gateway configurando un feed de Google Security Operations. Este analizador controla las estructuras JSON de uno o varios registros, extrae campos del array "records", realiza conversiones de tipos de datos, asigna campos al UDM y enriquece los datos con metadatos y campos derivados, como el tipo de conexión de red. También controla la lógica específica para diferentes valores de operationName, y extrae las direcciones IP, las subredes y otros detalles de configuración pertinentes.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

• Instancia de Google SecOps
• Acceso con privilegios a una suscripción de Azure
• Un entorno (inquilino) de la puerta de enlace de aplicación de Azure en Azure

Configura la cuenta de Azure Storage

1. En la consola de Azure, busca Cuentas de almacenamiento.
2. Haz clic en Crear.
3. Especifica valores para los siguientes parámetros de entrada:
   • Suscripción: Selecciona la suscripción.
   • Grupo de recursos: Selecciona el grupo de recursos.
   • Región: Selecciona la región.
   • Rendimiento: Selecciona el rendimiento (se recomienda Estándar).
   • Redundancia: Selecciona la redundancia (se recomienda GRS o LRS).
   • Nombre de la cuenta de almacenamiento: Ingresa un nombre para la nueva cuenta de almacenamiento.
4. Haz clic en Revisar + crear.
5. Revisa el resumen de la cuenta y haz clic en Crear.
6. En la página Descripción general de la cuenta de almacenamiento, selecciona el submenú Claves de acceso en Seguridad y redes.
7. Haz clic en Mostrar junto a key1 o key2.
8. Haz clic en Copiar en el portapapeles para copiar la clave.
9. Guarda la llave en un lugar seguro para usarla más adelante.
10. En la página Información general de la cuenta de almacenamiento, selecciona el submenú Extremos en Configuración.
11. Haz clic en Copiar al portapapeles para copiar la URL del extremo del servicio Blob. (por ejemplo, https://<storageaccountname>.blob.core.windows.net)
12. Guarda la URL del extremo en una ubicación segura para usarla más adelante.

Cómo configurar Azure Application Gateway

1. Accede al portal de Azure.
2. Ve al grupo de recursos que desees.
3. Selecciona Puerta de enlace de aplicación (aparecerá la ventana Puerta de enlace de aplicación).
4. En la sección Monitoring, selecciona Configuración de diagnóstico > Activar el diagnóstico.
5. Selecciona Agregar configuración de diagnóstico (en la ventana Configuración de diagnóstico, se muestran los parámetros de configuración de los registros de diagnóstico).
6. En la sección log, haz lo siguiente:
   1. Selecciona la casilla de verificación ApplicationGatewayAccessLog.
   2. Selecciona la casilla de verificación ApplicationGatewayFirewallLog.
7. Para almacenar registros en la cuenta de almacenamiento, haz lo siguiente:
   1. Selecciona la casilla de verificación Archivar en una cuenta de almacenamiento.
   2. En la lista Subscription, selecciona una suscripción existente.
   3. En la lista Cuenta de almacenamiento, selecciona una cuenta de almacenamiento existente.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

• Configuración de SIEM > Feeds
• Centro de contenido > Paquetes de contenido

Configura feeds desde Configuración del SIEM > Feeds

Para configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Cómo configurar feeds por producto.

Para configurar un solo feed, sigue estos pasos:

1. Ve a SIEM Settings > Feeds.
2. Haz clic en Agregar feed nuevo.
3. En la siguiente página, haz clic en Configurar un solo feed.
4. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de Azure Application Gateway).
5. Selecciona Microsoft Azure Blob Storage como el Tipo de fuente.
6. Selecciona Azure Application Gateway como el Tipo de registro.
7. Haz clic en Siguiente.

8. Especifica valores para los siguientes parámetros de entrada:

   • URI de Azure: Es la URL del extremo del blob.
     • ENDPOINT_URL/BLOB_NAME
       • Reemplaza lo siguiente:
         • ENDPOINT_URL: Es la URL del extremo del blob. (https://<storageaccountname>.blob.core.windows.net)
         • BLOB_NAME: Es el nombre del blob. (como insights-logs-<logname>)
   • URI is a: Selecciona el TIPO de URI según la configuración del flujo de registros (Single file | Directory | Directory which includes subdirectories).
   • Opciones de eliminación de la fuente: Selecciona la opción de eliminación según tus preferencias de transferencia.
   • Clave compartida: Es la clave de acceso a Azure Blob Storage.
   • Espacio de nombres del recurso: Es el espacio de nombres del recurso.
   • Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.

9. Haz clic en Siguiente.

10. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Configura feeds desde el Centro de contenido

Especifica valores para los siguientes campos:

• URI de Azure: Es la URL del extremo del blob.
  • ENDPOINT_URL/BLOB_NAME
    • Reemplaza lo siguiente:
      • ENDPOINT_URL: URL del extremo del blob (https://<storageaccountname>.blob.core.windows.net)
      • BLOB_NAME: Es el nombre del blob (por ejemplo, insights-logs-<logname>).
• El URI es un: Selecciona el TIPO de URI según la configuración del flujo de registros (Archivo único | Directorio | Directorio que incluye subdirectorios).
• Opciones de eliminación de la fuente: Selecciona la opción de eliminación según tus preferencias de transferencia.
• Clave compartida: Es la clave de acceso a Azure Blob Storage.

Opciones avanzadas

• Nombre del feed: Es un valor completado previamente que identifica el feed.
• Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
• Espacio de nombres del recurso: Espacio de nombres asociado al feed.
• Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

Tabla de asignación de UDM