Mengumpulkan log logging Microsoft Azure Key Vault

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log Azure Key Vault logging dengan menyiapkan feed Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google SecOps.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan AZURE_KEYVAULT_AUDI.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Langganan Azure yang dapat Anda gunakan untuk login
  • Lingkungan (tenant) Azure Key Vault di Azure
  • Peran administrator global atau administrator Azure Key Vault
  • Akun penyimpanan Azure untuk menyimpan log

Mengonfigurasi akun penyimpanan

  1. Login ke portal Azure.
  2. Di konsol Azure, cari Storage accounts.

  3. Pilih akun penyimpanan tempat log harus diambil, lalu pilih Kunci akses. Untuk membuat akun penyimpanan baru, lakukan langkah berikut:

    1. Klik Buat.
    2. Masukkan nama untuk akun penyimpanan baru.

    3. Pilih langganan, grup resource, region, performa, dan redundansi untuk akun. Sebaiknya setel performa ke standard, dan redundansi ke GRS atau LRS.

    4. Klik Review + create.

    5. Tinjau ringkasan akun, lalu klik Buat.

  4. Klik Show keys dan catat kunci bersama untuk akun penyimpanan.

  5. Pilih Endpoints dan catat endpoint Blob service.

    Untuk mengetahui informasi selengkapnya tentang cara membuat akun penyimpanan, lihat bagian Membuat akun penyimpanan Azure di dokumentasi Microsoft.

Mengonfigurasi logging Azure Key Vault

  1. Di portal Azure, buka Key vaults, lalu pilih key vault yang ingin Anda konfigurasi untuk pencatatan log.
  2. Di bagian Monitoring, pilih Setelan diagnostik.
  3. Pilih Tambahkan setelan diagnostik. Jendela Setelan diagnostik menyediakan setelan untuk log diagnostik.
  4. Di kolom Nama setelan diagnostik, tentukan nama untuk setelan diagnostik.
  5. Di bagian Grup kategori, centang kotak audit.

  6. Di kolom Retensi (hari), tentukan nilai retensi log yang sesuai dengan kebijakan organisasi Anda. Google SecOps merekomendasikan retensi log minimal satu hari.

    Anda dapat menyimpan log Azure Key Vault logging di akun penyimpanan atau mengalirkan log ke Event Hubs. Google SecOps mendukung pengumpulan log menggunakan akun penyimpanan.

Mengarsipkan ke akun penyimpanan

  1. Untuk menyimpan log di akun penyimpanan, di jendela Setelan diagnostik, centang kotak Arsipkan ke akun penyimpanan.
  2. Di daftar Langganan, pilih langganan yang ada.
  3. Di daftar Storage account, pilih akun penyimpanan yang ada.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

  • Setelan SIEM > Feed > Tambahkan Baru
  • Hub Konten > Paket Konten > Mulai

Cara menyiapkan feed logging Azure Key Vault

  1. Klik paket Azure Platform.
  2. Cari jenis log Azure Key Vault logging, lalu klik Add new feed.

  3. Tentukan nilai untuk kolom berikut:

    • Jenis Sumber: Microsoft Azure Blob Storage V2.
    • URI Azure: tentukan endpoint Blob service yang Anda peroleh sebelumnya bersama dengan salah satu nama container akun penyimpanan tersebut. Misalnya, https://xyz.blob.core.windows.net/abc/.
    • Opsi penghapusan sumber: tentukan opsi penghapusan sumber.
    • Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.
    • Key: tentukan kunci bersama yang Anda peroleh sebelumnya.

    Opsi lanjutan

    • Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
    • Namespace Aset: Namespace yang terkait dengan feed.
    • Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

  4. Klik Buat feed.

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.

Untuk mengetahui informasi selengkapnya tentang feed Google SecOps, lihat dokumentasi feed Google SecOps.

Untuk mengetahui informasi tentang persyaratan untuk setiap jenis feed, lihat Konfigurasi feed menurut jenis.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.