Coletar registros do Gateway de Aplicativo do Azure

Este documento explica como coletar registros do Application Gateway do Azure configurando um feed do Google Security Operations. Esse analisador processa estruturas JSON de registro único e múltiplo, extrai campos da matriz "records", realiza conversões de tipo de dados, mapeia campos para a UDM e enriquece os dados com metadados e campos derivados, como o tipo de conexão de rede. Ele também processa uma lógica específica para diferentes valores de operationName, extraindo endereços IP, sub-redes e outros detalhes de configuração relevantes.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

• Instância do Google SecOps
• Acesso privilegiado a uma assinatura do Azure
• Um ambiente (locatário) de gateway de aplicativo do Azure no Azure

Configurar a conta de armazenamento do Azure

1. No console do Azure, pesquise Contas de armazenamento.
2. Clique em Criar.
3. Especifique valores para os seguintes parâmetros de entrada:
   • Assinatura: selecione a assinatura.
   • Grupo de recursos: selecione o grupo de recursos.
   • Região: selecione a região.
   • Performance: selecione a performance (padrão recomendado).
   • Redundância: selecione a redundância (GRS ou LRS recomendado).
   • Nome da conta de armazenamento: insira um nome para a nova conta de armazenamento.
4. Clique em Revisar + criar.
5. Revise a visão geral da conta e clique em Criar.
6. Na página Visão geral da conta de armazenamento, selecione o submenu Chaves de acesso em Segurança + rede.
7. Clique em Mostrar ao lado de key1 ou key2.
8. Clique em Copiar para a área de transferência para copiar a chave.
9. Salve a chave em um local seguro para uso posterior.
10. Na página Visão geral da conta de armazenamento, selecione o submenu Endpoints em Configurações.
11. Clique em Copiar para a área de transferência para copiar o URL do endpoint do serviço de blob. Por exemplo, https://<storageaccountname>.blob.core.windows.net.
12. Salve o URL do endpoint em um local seguro para uso posterior.

Como configurar o Gateway de aplicativo do Azure

1. Faça login no portal do Azure.
2. Acesse o grupo de recursos desejado.
3. Selecione Gateway de aplicativo (a janela Gateway de aplicativo vai aparecer).
4. Na seção Monitoring, selecione Configurações de diagnóstico > Ativar diagnóstico.
5. Selecione Adicionar configuração de diagnóstico. A janela Configurações de diagnóstico mostra as configurações dos registros de diagnóstico.
6. Na seção log, faça o seguinte:
   1. Marque a caixa de seleção ApplicationGatewayAccessLog.
   2. Marque a caixa de seleção ApplicationGatewayFirewallLog.
7. Para armazenar registros na conta de armazenamento, faça o seguinte:
   1. Marque a caixa de seleção Arquivar em uma conta de armazenamento.
   2. Na lista Assinatura, selecione uma assinatura.
   3. Na lista Conta de armazenamento, selecione uma conta de armazenamento.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

• Configurações do SIEM > Feeds
• Central de conteúdo > Pacotes de conteúdo

Configure feeds em Configurações do SIEM > Feeds

Para configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.

Para configurar um único feed, siga estas etapas:

1. Acesse Configurações do SIEM > Feeds.
2. Clique em Adicionar novo feed.
3. Na próxima página, clique em Configurar um único feed.
4. No campo Nome do feed, insira um nome para o feed (por exemplo, Registros do Application Gateway do Azure).
5. Selecione Microsoft Azure Blob Storage como o Tipo de origem.
6. Selecione "Azure Application Gateway" como o Tipo de registro.
7. Clique em Próxima.

8. Especifique valores para os seguintes parâmetros de entrada:

   • URI do Azure: o URL do endpoint do blob.
     • ENDPOINT_URL/BLOB_NAME
       • Substitua:
         • ENDPOINT_URL: o URL do endpoint do blob. (https://<storageaccountname>.blob.core.windows.net)
         • BLOB_NAME: o nome do blob. (como insights-logs-<logname>)
   • URI é um: selecione o TIPO DE URI de acordo com a configuração do fluxo de registros (Arquivo único | Diretório | Diretório que inclui subdiretórios).
   • Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.
   • Chave compartilhada: a chave de acesso ao Azure Blob Storage.
   • Namespace do recurso: o namespace do recurso.
   • Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.

9. Clique em Próxima.

10. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

• URI do Azure: o URL do endpoint do blob.
  • ENDPOINT_URL/BLOB_NAME
    • Substitua:
      • ENDPOINT_URL: o URL do endpoint do blob (https://<storageaccountname>.blob.core.windows.net)
      • BLOB_NAME: o nome do blob (por exemplo, insights-logs-<logname>)
• URI é um: selecione o TIPO DE URI de acordo com a configuração do fluxo de registros (Arquivo único | Diretório | Diretório que inclui subdiretórios).
• Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.
• Chave compartilhada: a chave de acesso ao Azure Blob Storage.

Opções avançadas

• Nome do feed: um valor pré-preenchido que identifica o feed.
• Tipo de origem: método usado para coletar registros no Google SecOps.
• Namespace do recurso: namespace associado ao feed.
• Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

Tabela de mapeamento do UDM