Recopila registros de registro de Microsoft Azure Key Vault

Compatible con:

En este documento, se describe cómo recopilar los registros de registro de Azure Key Vault configurando un feed de Google Security Operations.

Para obtener más información, consulta Ingesta de datos en Google SecOps.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia AZURE_KEYVAULT_AUDI.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Suscripción a Azure a la que puedes acceder
  • Entorno (inquilino) de Azure Key Vault en Azure
  • Rol de administrador global o de administrador de Azure Key Vault
  • Cuenta de almacenamiento de Azure para almacenar los registros

Configura una cuenta de almacenamiento

  1. Accede al portal de Azure.
  2. En la consola de Azure, busca Cuentas de almacenamiento.

  3. Selecciona la cuenta de almacenamiento de la que se deben extraer los registros y, luego, selecciona Clave de acceso. Para crear una cuenta de almacenamiento nueva, haz lo siguiente:

    1. Haga clic en Crear.
    2. Ingresa un nombre para la cuenta de almacenamiento nueva.

    3. Selecciona la suscripción, el grupo de recursos, la región, el rendimiento y la redundancia de la cuenta. Te recomendamos que configures el rendimiento como estándar y la redundancia como GRS o LRS.

    4. Haz clic en Revisar + crear.

    5. Revisa el resumen de la cuenta y haz clic en Crear.

  4. Haz clic en Mostrar claves y anota la clave compartida de la cuenta de almacenamiento.

  5. Selecciona Endpoints y anota el extremo de Blob service.

    Para obtener más información sobre cómo crear una cuenta de almacenamiento, consulta la sección Crea una cuenta de almacenamiento de Azure en la documentación de Microsoft.

Configura el registro de Azure Key Vault

  1. En el portal de Azure, ve a Key vaults y selecciona el almacén de claves que deseas configurar para el registro.
  2. En la sección Monitoring, selecciona Configuración de diagnóstico.
  3. Selecciona Agregar configuración de diagnóstico. En la ventana Configuración de diagnóstico, se proporciona la configuración de los registros de diagnóstico.
  4. En el campo Nombre del parámetro de configuración de diagnóstico, especifica el nombre del parámetro de configuración de diagnóstico.
  5. En la sección Grupos de categorías, selecciona la casilla de verificación auditoría.

  6. En el campo Retención (días), especifica un valor de retención de registros que cumpla con las políticas de tu organización. Google SecOps recomienda un mínimo de un día de retención de registros.

    Puedes almacenar los registros de registro de Azure Key Vault en una cuenta de almacenamiento o transmitirlos a Event Hubs. Google SecOps admite la recopilación de registros con una cuenta de almacenamiento.

Archiva en una cuenta de almacenamiento

  1. Para almacenar registros en la cuenta de almacenamiento, en la ventana Configuración de diagnóstico, selecciona la casilla de verificación Archivar en una cuenta de almacenamiento.
  2. En la lista Subscription, selecciona la suscripción existente.
  3. En la lista Cuenta de almacenamiento, selecciona la cuenta de almacenamiento existente.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración de SIEM > Feeds > Agregar un feed nuevo
  • Centro de contenido > Paquetes de contenido > Comenzar

Cómo configurar el feed de registro de Azure Key Vault

  1. Haz clic en el paquete Azure Platform.
  2. Busca el tipo de registro Registro de Azure Key Vault y haz clic en Agregar nuevo feed.

  3. Especifica valores para los siguientes campos:

    • Tipo de origen: Microsoft Azure Blob Storage V2.
    • URI de Azure: Especifica el extremo del servicio Blob que obtuviste anteriormente junto con uno de los nombres de contenedor de esa cuenta de almacenamiento. Por ejemplo, https://xyz.blob.core.windows.net/abc/.
    • Opción de borrado de la fuente: Especifica la opción de borrado de la fuente.
    • Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días más reciente. El valor predeterminado es de 180 días.
    • Clave: Especifica la clave compartida que obtuviste anteriormente.

    Opciones avanzadas

    • Nombre del feed: Es un valor completado previamente que identifica el feed.
    • Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
    • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

  4. Haz clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Configura feeds por producto.

Para obtener más información sobre los feeds de Google SecOps, consulta la documentación sobre los feeds de Google SecOps.

Para obtener información sobre los requisitos de cada tipo de feed, consulta Configuración de feeds por tipo.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.