Collecter les journaux de journalisation Microsoft Azure Key Vault

Compatible avec :

Ce document explique comment collecter les journaux Azure Key Vault en configurant un flux Google Security Operations.

Pour en savoir plus, consultez Ingérer des données dans Google SecOps.

Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion AZURE_KEYVAULT_AUDI.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Abonnement Azure auquel vous pouvez vous connecter
  • Environnement (locataire) Azure Key Vault dans Azure
  • Rôle d'administrateur global ou d'administrateur Azure Key Vault
  • Compte de stockage Azure pour stocker les journaux

Configurer un compte de stockage

  1. Connectez-vous au portail Azure.
  2. Dans la console Azure, recherchez Comptes de stockage.

  3. Sélectionnez le compte de stockage à partir duquel les journaux doivent être extraits, puis sélectionnez Clé d'accès. Pour créer un compte de stockage :

    1. Cliquez sur Create (Créer).
    2. Saisissez un nom pour le nouveau compte de stockage.

    3. Sélectionnez l'abonnement, le groupe de ressources, la région, les performances et la redondance pour le compte. Nous vous recommandons de définir les performances sur standard et la redondance sur GRS ou LRS.

    4. Cliquez sur Examiner et créer.

    5. Consultez l'aperçu du compte, puis cliquez sur Créer.

  4. Cliquez sur Afficher les clés et notez la clé partagée du compte de stockage.

  5. Sélectionnez Points de terminaison et notez le point de terminaison Service Blob.

    Pour en savoir plus sur la création d'un compte de stockage, consultez la section Créer un compte de stockage Azure dans la documentation Microsoft.

Configurer la journalisation Azure Key Vault

  1. Dans le portail Azure, accédez à Key vaults (Coffres de clés), puis sélectionnez le coffre de clés que vous souhaitez configurer pour la journalisation.
  2. Dans la section Surveillance, sélectionnez Paramètres de diagnostic.
  3. Sélectionnez Ajouter un paramètre de diagnostic. La fenêtre Paramètres de diagnostic fournit les paramètres des journaux de diagnostic.
  4. Dans le champ Nom du paramètre de diagnostic, spécifiez le nom du paramètre de diagnostic.
  5. Dans la section Groupes de catégories, cochez la case audit.

  6. Dans le champ Conservation (jours), spécifiez une valeur de conservation des journaux conforme aux règles de votre organisation. L'équipe Google SecOps recommande une durée de conservation des journaux d'au moins un jour.

    Vous pouvez stocker les journaux de journalisation Azure Key Vault dans un compte de stockage ou les diffuser en continu vers Event Hubs. Google SecOps permet de collecter des journaux à l'aide d'un compte de stockage.

Archiver dans un compte de stockage

  1. Pour stocker les journaux dans un compte de stockage, cochez la case Archiver dans un compte de stockage dans la fenêtre Paramètres de diagnostic.
  2. Dans la liste Abonnement, sélectionnez l'abonnement existant.
  3. Dans la liste Compte de stockage, sélectionnez le compte de stockage existant.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

  • Paramètres SIEM> Flux
  • Plate-forme de contenu > Packs de contenu

Configurer des flux à partir de Paramètres SIEM > Flux

Pour configurer un flux, procédez comme suit :

  1. Accédez à Paramètres SIEM > Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Sur la page suivante, cliquez sur Configurer un seul flux.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux de journalisation Azure Key Vault).
  5. Sélectionnez Microsoft Azure Blob Storage comme Type de source.
  6. Sélectionnez Journalisation Azure Key Vault comme Type de journal.
  7. Cliquez sur Suivant.
  8. Configurez les paramètres d'entrée suivants :
    • URI Azure : spécifiez le point de terminaison Blob Service que vous avez obtenu précédemment, ainsi que l'un des noms de conteneur de ce compte de stockage. Par exemple, https://xyz.blob.core.windows.net/abc/.
    • URI est un : spécifiez l'option URI.
    • Option de suppression de la source : spécifiez l'option de suppression de la source.
    • Clé : spécifiez la clé partagée que vous avez obtenue précédemment.
  9. Cliquez sur Suivant, puis sur Envoyer.

Configurer des flux depuis le Hub de contenu

Indiquez les valeurs des champs suivants :

  • URI Azure : spécifiez le point de terminaison Blob Service que vous avez obtenu précédemment, ainsi que l'un des noms de conteneur de ce compte de stockage. Par exemple, https://xyz.blob.core.windows.net/abc/.
  • URI est un : spécifiez l'option URI.
  • Option de suppression de la source : spécifiez l'option de suppression de la source.
  • Clé : spécifiez la clé partagée que vous avez obtenue précédemment.

Options avancées

  • Nom du flux : valeur préremplie qui identifie le flux.
  • Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
  • Espace de noms de l'élément : espace de noms associé au flux.
  • Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

Pour en savoir plus sur les flux Google SecOps, consultez la documentation sur les flux Google SecOps.

Pour en savoir plus sur les exigences associées à chaque type de flux, consultez Configuration des flux par type.

Si vous rencontrez des problèmes lors de la création de flux, contactez l'assistance Google Security Operations.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.