Raccogliere i log di registrazione di Microsoft Azure Key Vault

Supportato in:

Questo documento descrive come raccogliere i log di registrazione di Azure Key Vault configurando un feed di Google Security Operations.

Per ulteriori informazioni, vedi Importazione dei dati in Google SecOps.

Un'etichetta di importazione identifica il parser che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione AZURE_KEYVAULT_AUDI.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Abbonamento Azure a cui puoi accedere
  • Ambiente (tenant) Azure Key Vault in Azure
  • Ruolo di amministratore globale o amministratore di Azure Key Vault
  • Account di archiviazione di Azure per archiviare i log

Configurare un account di archiviazione

  1. Accedi al portale Azure.
  2. Nella console Azure, cerca Storage accounts.

  3. Seleziona l'account di archiviazione da cui devono essere estratti i log, quindi seleziona Chiave di accesso. Per creare un nuovo account di archiviazione:

    1. Fai clic su Crea.
    2. Inserisci un nome per il nuovo account di archiviazione.

    3. Seleziona l'abbonamento, il gruppo di risorse, la regione, il rendimento e la ridondanza per l'account. Ti consigliamo di impostare il rendimento su standard e la ridondanza su GRS o LRS.

    4. Fai clic su Review + create (Rivedi e crea).

    5. Controlla la panoramica dell'account e fai clic su Crea.

  4. Fai clic su Mostra chiavi e prendi nota della chiave condivisa per l'account di archiviazione.

  5. Seleziona Endpoint e prendi nota dell'endpoint Servizio Blob.

    Per saperne di più sulla creazione di un account di archiviazione, consulta la sezione Creare un account di archiviazione Azure nella documentazione di Microsoft.

Configura la registrazione di Azure Key Vault

  1. Nel portale Azure, vai a Key Vault e seleziona il Key Vault che vuoi configurare per la registrazione.
  2. Nella sezione Monitoraggio, seleziona Impostazioni di diagnostica.
  3. Seleziona Aggiungi impostazione di diagnostica. La finestra Impostazioni diagnostica fornisce le impostazioni per i log diagnostici.
  4. Nel campo Nome impostazione di diagnostica, specifica il nome dell'impostazione di diagnostica.
  5. Nella sezione Gruppi di categorie, seleziona la casella di controllo Audit.

  6. Nel campo Conservazione (giorni), specifica un valore di conservazione dei log conforme ai criteri della tua organizzazione. Google SecOps consiglia un minimo di un giorno di conservazione dei log.

    Puoi archiviare i log di logging di Azure Key Vault in un account di archiviazione o trasmetterli in streaming a Event Hubs. Google SecOps supporta la raccolta dei log utilizzando un account di archiviazione.

Archiviare in un account di archiviazione

  1. Per archiviare i log nell'account di archiviazione, nella finestra Impostazioni di diagnostica, seleziona la casella di controllo Archivia in un account di archiviazione.
  2. Nell'elenco Abbonamento, seleziona l'abbonamento esistente.
  3. Nell'elenco Account di archiviazione, seleziona l'account di archiviazione esistente.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed
  • Hub dei contenuti > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare un feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log di registrazione di Azure Key Vault.
  5. Seleziona Microsoft Azure Blob Storage come Tipo di origine.
  6. Seleziona Logging di Azure Key Vault come Tipo di log.
  7. Fai clic su Avanti.
  8. Configura i seguenti parametri di input:
    • URI Azure: specifica l'endpoint del servizio BLOB che hai ottenuto in precedenza insieme a uno dei nomi dei container dell'account di archiviazione. Ad esempio: https://xyz.blob.core.windows.net/abc/.
    • L'URI è un: specifica l'opzione URI.
    • Opzione di eliminazione dell'origine: specifica l'opzione di eliminazione dell'origine.
    • Chiave: specifica la chiave condivisa che hai ottenuto in precedenza.
  9. Fai clic su Avanti e poi su Invia.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

  • URI di Azure: specifica l'endpoint del servizio Blob che hai ottenuto in precedenza insieme a uno dei nomi dei container dell'account di archiviazione. Ad esempio: https://xyz.blob.core.windows.net/abc/.
  • L'URI è un: specifica l'opzione URI.
  • Opzione di eliminazione dell'origine: specifica l'opzione di eliminazione dell'origine.
  • Chiave: specifica la chiave condivisa che hai ottenuto in precedenza.

Opzioni avanzate

  • Nome feed: un valore precompilato che identifica il feed.
  • Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
  • Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
  • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

Per ulteriori informazioni sui feed Google SecOps, consulta la documentazione sui feed Google SecOps.

Per informazioni sui requisiti per ogni tipo di feed, vedi Configurazione dei feed per tipo.

Se riscontri problemi durante la creazione dei feed, contatta l'assistenza Google Security Operations.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.