Microsoft Azure Key Vault-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie die Azure Key Vault-Logging-Logs erfassen können, indem Sie einen Google Security Operations-Feed einrichten.

Weitere Informationen finden Sie unter Datenaufnahme in Google SecOps.

Mit einem Ingestion-Label wird der Parser identifiziert, der Rohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Ingestion-Label AZURE_KEYVAULT_AUDI.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Azure-Abo, bei dem Sie sich anmelden können
  • Azure Key Vault-Umgebung (Mandant) in Azure
  • Globale Administratorrolle oder Azure Key Vault-Administratorrolle
  • Azure-Speicherkonto zum Speichern der Logs

Speicherkonto konfigurieren

  1. Melden Sie sich im Azure an.
  2. Suchen Sie in der Azure-Konsole nach Storage accounts (Speicherkonten).

  3. Wählen Sie das Speicherkonto aus, aus dem die Protokolle abgerufen werden müssen, und wählen Sie dann Zugriffsschlüssel aus. So erstellen Sie ein neues Speicherkonto:

    1. Klicken Sie auf Erstellen.
    2. Geben Sie einen Namen für das neue Speicherkonto ein.

    3. Wählen Sie das Abo, die Ressourcengruppe, die Region, die Leistung und die Redundanz für das Konto aus. Wir empfehlen, die Leistung auf Standard und die Redundanz auf GRS oder LRS festzulegen.

    4. Klicken Sie auf Überprüfen + Erstellen.

    5. Sehen Sie sich die Übersicht des Kontos an und klicken Sie auf Erstellen.

  4. Klicken Sie auf Schlüssel anzeigen und notieren Sie sich den freigegebenen Schlüssel für das Speicherkonto.

  5. Wählen Sie Endpunkte aus und notieren Sie sich den Endpunkt des Blob-Dienstes.

    Weitere Informationen zum Erstellen eines Speicherkontos finden Sie im Abschnitt Azure-Speicherkonto erstellen in der Microsoft-Dokumentation.

Azure Key Vault-Protokollierung konfigurieren

  1. Rufen Sie im Azure-Portal Key Vaults auf und wählen Sie den Key Vault aus, den Sie für die Protokollierung konfigurieren möchten.
  2. Wählen Sie im Bereich Monitoring die Option Diagnoseeinstellungen aus.
  3. Wählen Sie Diagnoseeinstellung hinzufügen aus. Das Fenster Diagnoseeinstellungen enthält die Einstellungen für die Diagnoselogs.
  4. Geben Sie im Feld Name der Diagnoseeinstellung den Namen für die Diagnoseeinstellung an.
  5. Wählen Sie im Bereich Kategoriegruppen das Kästchen audit aus.

  6. Geben Sie im Feld Aufbewahrung (Tage) einen Wert für die Log-Aufbewahrung an, der den Richtlinien Ihrer Organisation entspricht. Google SecOps empfiehlt eine Mindestaufbewahrungszeit von einem Tag für Logs.

    Sie können die Azure Key Vault-Protokolle in einem Speicherkonto speichern oder an Event Hubs streamen. Google SecOps unterstützt die Erfassung von Logs über ein Speicherkonto.

In einem Speicherkonto archivieren

  1. Wenn Sie Protokolle in einem Speicherkonto speichern möchten, aktivieren Sie im Fenster Diagnoseeinstellungen das Kontrollkästchen In einem Speicherkonto archivieren.
  2. Wählen Sie in der Liste Abo das vorhandene Abo aus.
  3. Wählen Sie in der Liste Speicherkonto das vorhandene Speicherkonto aus.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten

So konfigurieren Sie einen Feed:

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Azure Key Vault Logging Logs (Azure Key Vault-Protokollierungsprotokolle).
  5. Wählen Sie Microsoft Azure Blob Storage als Quelltyp aus.
  6. Wählen Sie Azure Key Vault-Protokollierung als Protokolltyp aus.
  7. Klicken Sie auf Weiter.
  8. Konfigurieren Sie die folgenden Eingabeparameter:
    • Azure-URI: Geben Sie den Blob-Dienst-Endpunkt an, den Sie zuvor abgerufen haben, zusammen mit einem der Containernamen dieses Speicherkontos. Beispiel: https://xyz.blob.core.windows.net/abc/
    • URI is a (URI ist ein): Geben Sie die URI-Option an.
    • Option zum Löschen der Quelle: Geben Sie die Option zum Löschen der Quelle an.
    • Schlüssel: Geben Sie den gemeinsamen Schlüssel an, den Sie zuvor abgerufen haben.
  9. Klicken Sie auf Weiter und dann auf Senden.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

  • Azure-URI: Geben Sie den Blob-Dienst-Endpunkt an, den Sie zuvor abgerufen haben, zusammen mit einem der Containernamen dieses Speicherkontos. Beispiel: https://xyz.blob.core.windows.net/abc/
  • URI is a (URI ist ein): Geben Sie die URI-Option an.
  • Option zum Löschen der Quelle: Geben Sie die Option zum Löschen der Quelle an.
  • Schlüssel: Geben Sie den gemeinsamen Schlüssel an, den Sie zuvor abgerufen haben.

Erweiterte Optionen

  • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
  • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

Weitere Informationen zu Google SecOps-Feeds finden Sie in der Dokumentation zu Google SecOps-Feeds.

Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ.

Wenn Sie Probleme beim Erstellen von Feeds haben, wenden Sie sich an den Google Security Operations-Support.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten