Raccogliere i log del gateway applicazione di Azure

Questo documento spiega come raccogliere i log di Azure Application Gateway configurando un feed Google Security Operations. Questo parser gestisce strutture JSON a uno o più record, estrae i campi dall'array "records", esegue conversioni dei tipi di dati, mappa i campi sull'UDM e arricchisce i dati con metadati e campi derivati come il tipo di connessione di rete. Gestisce anche la logica specifica per diversi valori di operationName, estraendo indirizzi IP, subnet e altri dettagli di configurazione pertinenti.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

• Istanza Google SecOps
• Accesso con privilegi a un abbonamento Azure
• Un ambiente (tenant) Azure Application Gateway in Azure

Configura l'account di archiviazione di Azure

1. Nella console Azure, cerca Storage accounts.
2. Fai clic su Crea.
3. Specifica i valori per i seguenti parametri di input:
   • Abbonamento: seleziona l'abbonamento.
   • Gruppo di risorse: seleziona il gruppo di risorse.
   • Regione: seleziona la regione.
   • Rendimento: seleziona il rendimento (consigliato Standard).
   • Ridondanza: seleziona la ridondanza (consigliata GRS o LRS).
   • Nome account di archiviazione: inserisci un nome per il nuovo account di archiviazione.
4. Fai clic su Review + create (Rivedi e crea).
5. Controlla la panoramica dell'account e fai clic su Crea.
6. Nella pagina Panoramica dell'account di archiviazione, seleziona il sottomenu Chiavi di accesso in Sicurezza e networking.
7. Fai clic su Mostra accanto a key1 o key2.
8. Fai clic su Copia negli appunti per copiare la chiave.
9. Salva la chiave in una posizione sicura per utilizzarla in un secondo momento.
10. Nella pagina Panoramica account di archiviazione, seleziona il sottomenu Endpoint in Impostazioni.
11. Fai clic su Copia negli appunti per copiare l'URL dell'endpoint del servizio Blob. (ad esempio, https://<storageaccountname>.blob.core.windows.net)
12. Salva l'URL dell'endpoint in una posizione sicura per utilizzarlo in un secondo momento.

Come configurare Azure Application Gateway

1. Accedi al portale di Azure.
2. Vai al gruppo di risorse che ti interessa.
3. Seleziona Application Gateway (viene visualizzata la finestra Application Gateway).
4. Nella sezione Monitoraggio, seleziona Impostazioni di diagnostica > Attiva diagnostica.
5. Seleziona Aggiungi impostazione diagnostica (la finestra Impostazioni diagnostiche mostra le impostazioni per i log diagnostici).
6. Nella sezione Log, segui questi passaggi:
   1. Seleziona la casella di controllo ApplicationGatewayAccessLog.
   2. Seleziona la casella di controllo ApplicationGatewayFirewallLog.
7. Per archiviare i log nell'account di archiviazione:
   1. Seleziona la casella di controllo Archivia in un account di archiviazione.
   2. Nell'elenco Abbonamento, seleziona un abbonamento esistente.
   3. Nell'elenco Account di archiviazione, seleziona un account di archiviazione esistente.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

• Impostazioni SIEM > Feed
• Hub dei contenuti > Pacchetti di contenuti

Configurare i feed da Impostazioni SIEM > Feed

Per configurare più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Per configurare un singolo feed:

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su Aggiungi nuovo feed.
3. Nella pagina successiva, fai clic su Configura un singolo feed.
4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log di Azure Application Gateway).
5. Seleziona Microsoft Azure Blob Storage come Tipo di origine.
6. Seleziona Azure Application Gateway come Tipo di log.
7. Fai clic su Avanti.

8. Specifica i valori per i seguenti parametri di input:

   • URI di Azure: l'URL dell'endpoint blob.
     • ENDPOINT_URL/BLOB_NAME
       • Sostituisci quanto segue:
         • ENDPOINT_URL: l'URL dell'endpoint blob. (https://<storageaccountname>.blob.core.windows.net)
         • BLOB_NAME: il nome del blob. (ad esempio, insights-logs-<logname>)
   • L'URI è un: seleziona il TIPO DI URI in base alla configurazione dello stream di log (File singolo | Directory | Directory che include sottodirectory).
   • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.
   • Chiave condivisa: la chiave di accesso ad Azure Blob Storage.
   • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
   • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.

9. Fai clic su Avanti.

10. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

• URI di Azure: l'URL dell'endpoint blob.
  • ENDPOINT_URL/BLOB_NAME
    • Sostituisci quanto segue:
      • ENDPOINT_URL: l'URL dell'endpoint blob (https://<storageaccountname>.blob.core.windows.net)
      • BLOB_NAME: il nome del blob (ad esempio, insights-logs-<logname>)
• URI è un: seleziona il TIPO DI URI in base alla configurazione del flusso di log (Singolo file | Directory | Directory che include sottodirectory).
• Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.
• Chiave condivisa: la chiave di accesso ad Azure Blob Storage.

Opzioni avanzate

• Nome feed: un valore precompilato che identifica il feed.
• Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
• Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
• Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

Tabella di mappatura UDM