Recopila registros de registro de Microsoft Azure Key Vault

Compatible con:

En este documento, se describe cómo recopilar los registros de registro de Azure Key Vault configurando un feed de Google Security Operations.

Para obtener más información, consulta Ingesta de datos en Google SecOps.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia AZURE_KEYVAULT_AUDI.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Suscripción a Azure a la que puedes acceder
  • Entorno (inquilino) de Azure Key Vault en Azure
  • Rol de administrador global o de administrador de Azure Key Vault
  • Cuenta de almacenamiento de Azure para almacenar los registros

Configura una cuenta de almacenamiento

  1. Accede al portal de Azure.
  2. En la consola de Azure, busca Cuentas de almacenamiento.

  3. Selecciona la cuenta de almacenamiento de la que se deben extraer los registros y, luego, selecciona Clave de acceso. Para crear una cuenta de almacenamiento nueva, haz lo siguiente:

    1. Haga clic en Crear.
    2. Ingresa un nombre para la cuenta de almacenamiento nueva.

    3. Selecciona la suscripción, el grupo de recursos, la región, el rendimiento y la redundancia de la cuenta. Te recomendamos que configures el rendimiento como estándar y la redundancia como GRS o LRS.

    4. Haz clic en Revisar + crear.

    5. Revisa el resumen de la cuenta y haz clic en Crear.

  4. Haz clic en Mostrar claves y anota la clave compartida de la cuenta de almacenamiento.

  5. Selecciona Endpoints y anota el extremo de Blob service.

    Para obtener más información sobre cómo crear una cuenta de almacenamiento, consulta la sección Crea una cuenta de almacenamiento de Azure en la documentación de Microsoft.

Configura el registro de Azure Key Vault

  1. En el portal de Azure, ve a Key vaults y selecciona el almacén de claves que deseas configurar para el registro.
  2. En la sección Monitoring, selecciona Configuración de diagnóstico.
  3. Selecciona Agregar parámetro de configuración de diagnóstico. En la ventana Configuración de diagnóstico, se proporciona la configuración de los registros de diagnóstico.
  4. En el campo Nombre del parámetro de configuración de diagnóstico, especifica el nombre del parámetro de configuración de diagnóstico.
  5. En la sección Grupos de categorías, selecciona la casilla de verificación auditoría.

  6. En el campo Retención (días), especifica un valor de retención de registros que cumpla con las políticas de tu organización. Google SecOps recomienda un mínimo de un día de retención de registros.

    Puedes almacenar los registros de registro de Azure Key Vault en una cuenta de almacenamiento o transmitirlos a Event Hubs. Google SecOps admite la recopilación de registros con una cuenta de almacenamiento.

Archiva en una cuenta de almacenamiento

  1. Para almacenar registros en la cuenta de almacenamiento, en la ventana Configuración de diagnóstico, selecciona la casilla de verificación Archivar en una cuenta de almacenamiento.
  2. En la lista Subscription, selecciona la suscripción existente.
  3. En la lista Cuenta de almacenamiento, selecciona la cuenta de almacenamiento existente.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración de SIEM > Feeds
  • Centro de contenido > Paquetes de contenido

Configura feeds en Configuración del SIEM > Feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración del SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la siguiente página, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de registro de Azure Key Vault.
  5. Selecciona Microsoft Azure Blob Storage como el Tipo de fuente.
  6. Selecciona Registro de Azure Key Vault como el Tipo de registro.
  7. Haz clic en Siguiente.
  8. Configura los siguientes parámetros de entrada:
    • URI de Azure: Especifica el extremo del servicio de Blob que obtuviste anteriormente junto con uno de los nombres de contenedor de esa cuenta de almacenamiento. Por ejemplo, https://xyz.blob.core.windows.net/abc/.
    • URI is a: Especifica la opción de URI.
    • Opción de borrado de la fuente: Especifica la opción de borrado de la fuente.
    • Clave: Especifica la clave compartida que obtuviste anteriormente.
  9. Haz clic en Siguiente y, luego, en Enviar.

Configura feeds desde el Centro de contenido

Especifica valores para los siguientes campos:

  • URI de Azure: Especifica el extremo del servicio de Blob que obtuviste anteriormente junto con uno de los nombres de contenedor de esa cuenta de almacenamiento. Por ejemplo, https://xyz.blob.core.windows.net/abc/.
  • URI is a: Especifica la opción de URI.
  • Opción de borrado de la fuente: Especifica la opción de borrado de la fuente.
  • Clave: Especifica la clave compartida que obtuviste anteriormente.

Opciones avanzadas

  • Nombre del feed: Es un valor completado previamente que identifica el feed.
  • Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
  • Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
  • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

Para obtener más información sobre los feeds de Google SecOps, consulta la documentación de los feeds de Google SecOps.

Para obtener información sobre los requisitos de cada tipo de feed, consulta Configuración de feeds por tipo.

Si tienes problemas para crear feeds, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.