Microsoft Azure Key Vault-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie die Azure Key Vault-Logging-Logs erfassen können, indem Sie einen Google Security Operations-Feed einrichten.

Weitere Informationen finden Sie unter Datenaufnahme in Google SecOps.

Mit einem Ingestion-Label wird der Parser identifiziert, der Rohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Ingestion-Label AZURE_KEYVAULT_AUDI.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Azure-Abo, bei dem Sie sich anmelden können
  • Azure Key Vault-Umgebung (Mandant) in Azure
  • Globale Administratorrolle oder Azure Key Vault-Administratorrolle
  • Azure-Speicherkonto zum Speichern der Logs

Speicherkonto konfigurieren

  1. Melden Sie sich im Azure an.
  2. Suchen Sie in der Azure-Konsole nach Storage accounts (Speicherkonten).

  3. Wählen Sie das Speicherkonto aus, aus dem die Protokolle abgerufen werden müssen, und wählen Sie dann Zugriffsschlüssel aus. So erstellen Sie ein neues Speicherkonto:

    1. Klicken Sie auf Erstellen.
    2. Geben Sie einen Namen für das neue Speicherkonto ein.

    3. Wählen Sie das Abo, die Ressourcengruppe, die Region, die Leistung und die Redundanz für das Konto aus. Wir empfehlen, die Leistung auf Standard und die Redundanz auf GRS oder LRS festzulegen.

    4. Klicken Sie auf Überprüfen + Erstellen.

    5. Sehen Sie sich die Übersicht des Kontos an und klicken Sie auf Erstellen.

  4. Klicken Sie auf Schlüssel anzeigen und notieren Sie sich den freigegebenen Schlüssel für das Speicherkonto.

  5. Wählen Sie Endpunkte aus und notieren Sie sich den Endpunkt des Blob-Dienstes.

    Weitere Informationen zum Erstellen eines Speicherkontos finden Sie im Abschnitt Azure-Speicherkonto erstellen in der Microsoft-Dokumentation.

Azure Key Vault-Protokollierung konfigurieren

  1. Rufen Sie im Azure-Portal Key Vaults auf und wählen Sie den Key Vault aus, den Sie für die Protokollierung konfigurieren möchten.
  2. Wählen Sie im Bereich Monitoring die Option Diagnoseeinstellungen aus.
  3. Wählen Sie Diagnoseeinstellung hinzufügen aus. Das Fenster Diagnoseeinstellungen enthält die Einstellungen für die Diagnoselogs.
  4. Geben Sie im Feld Name der Diagnoseeinstellung den Namen für die Diagnoseeinstellung an.
  5. Wählen Sie im Bereich Kategoriegruppen das Kästchen audit aus.

  6. Geben Sie im Feld Aufbewahrung (Tage) einen Wert für die Log-Aufbewahrung an, der den Richtlinien Ihrer Organisation entspricht. Google SecOps empfiehlt eine Mindestaufbewahrungszeit von einem Tag für Logs.

    Sie können die Azure Key Vault-Protokolle in einem Speicherkonto speichern oder an Event Hubs streamen. Google SecOps unterstützt die Erfassung von Logs über ein Speicherkonto.

In einem Speicherkonto archivieren

  1. Wenn Sie Protokolle in einem Speicherkonto speichern möchten, aktivieren Sie im Fenster Diagnoseeinstellungen das Kontrollkästchen In einem Speicherkonto archivieren.
  2. Wählen Sie in der Liste Abo das vorhandene Abo aus.
  3. Wählen Sie in der Liste Speicherkonto das vorhandene Speicherkonto aus.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds > Neu hinzufügen
  • Content Hub > Content-Packs > Erste Schritte

Azure Key Vault-Logfeed einrichten

  1. Klicken Sie auf das Paket Azure-Plattform.
  2. Suchen Sie den Logtyp Azure Key Vault-Protokollierung und klicken Sie auf Neuen Feed hinzufügen.

  3. Geben Sie Werte für die folgenden Felder an:

    • Quelltyp: Microsoft Azure Blob Storage V2.
    • Azure-URI: Geben Sie den Blob-Dienst-Endpunkt an, den Sie zuvor abgerufen haben, zusammen mit einem der Containernamen dieses Speicherkontos. Beispiel: https://xyz.blob.core.windows.net/abc/
    • Option zum Löschen der Quelle: Geben Sie die Option zum Löschen der Quelle an.
    • Maximales Dateialter: Enthält Dateien, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
    • Schlüssel: Geben Sie den gemeinsamen Schlüssel an, den Sie zuvor abgerufen haben.

    Erweiterte Optionen

    • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
    • Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
    • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

  4. Klicken Sie auf Feed erstellen.

Weitere Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

Weitere Informationen zu Google SecOps-Feeds finden Sie in der Dokumentation zu Google SecOps-Feeds.

Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten