Coletar registros de geração de registros do Microsoft Azure Key Vault

Neste documento, descrevemos como coletar os registros de geração de registros do Azure Key Vault configurando um feed do Google Security Operations.

Para mais informações, consulte Ingestão de dados no Google SecOps.

Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão AZURE_KEYVAULT_AUDI.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

• Uma assinatura do Azure em que você pode fazer login
• Ambiente (locatário) do Azure Key Vault no Azure
• Função de administrador global ou do Azure Key Vault
• Conta de armazenamento do Azure para armazenar os registros

Configurar uma conta de armazenamento

1. Faça login no portal do Azure.
2. No console do Azure, pesquise Contas de armazenamento.

3. Selecione a conta de armazenamento de onde os registros precisam ser extraídos e clique em Chave de acesso. Para criar uma conta de armazenamento, faça o seguinte:

   1. Clique em Criar.
   2. Insira um nome para a nova conta de armazenamento.

   3. Selecione a assinatura, o grupo de recursos, a região, a performance e a redundância da conta. Recomendamos definir o desempenho como standard e a redundância como GRS ou LRS.

   4. Clique em Revisar + criar.

   5. Revise a visão geral da conta e clique em Criar.

4. Clique em Mostrar chaves e anote a chave compartilhada da conta de armazenamento.

5. Selecione Endpoints e anote o endpoint do serviço de blob.

   Para mais informações sobre como criar uma conta de armazenamento, consulte a seção Criar uma conta de armazenamento do Azure na documentação da Microsoft.

Configurar o registro em log do Azure Key Vault

1. No portal do Azure, acesse Key vaults e selecione o cofre de chaves que você quer configurar para geração de registros.
2. Na seção Monitoring, selecione Configurações de diagnóstico.
3. Selecione Adicionar configuração de diagnóstico. A janela Configurações de diagnóstico fornece as configurações dos registros de diagnóstico.
4. No campo Nome da configuração de diagnóstico, especifique o nome da configuração de diagnóstico.
5. Na seção Grupos de categorias, marque a caixa de seleção audit.

6. No campo Retenção (dias), especifique um valor de retenção de registros que esteja em conformidade com as políticas da sua organização. A Google SecOps recomenda um mínimo de um dia de retenção de registros.

   É possível armazenar os registros de registro em log do Azure Key Vault em uma conta de armazenamento ou transmitir os registros para os Hubs de Eventos. O Google SecOps oferece suporte à coleta de registros usando uma conta de armazenamento.

Arquivar em uma conta de armazenamento

1. Para armazenar registros em uma conta de armazenamento, na janela Configurações de diagnóstico, marque a caixa de seleção Arquivar em uma conta de armazenamento.
2. Na lista Assinatura, selecione a assinatura atual.
3. Na lista Conta de armazenamento, selecione a conta de armazenamento atual.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

• Configurações do SIEM > Feeds > Adicionar novo
• Central de conteúdo > Pacotes de conteúdo > Começar

Como configurar o feed de registros do Azure Key Vault

1. Clique no pacote Plataforma do Azure.
2. Localize o tipo de registro Registro do Azure Key Vault e clique em Adicionar novo feed.

3. Especifique valores para os seguintes campos:

   • Tipo de origem: Armazenamento de blobs do Microsoft Azure V2.
   • URI do Azure: especifique o endpoint do Serviço de blobs que você recebeu anteriormente, junto com um dos nomes de contêiner dessa conta de armazenamento. Por exemplo, https://xyz.blob.core.windows.net/abc/.
   • Opção de exclusão de origem: especifique a opção de exclusão de origem.
   • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.
   • Chave: especifique a chave compartilhada que você recebeu anteriormente.

   Opções avançadas

   • Nome do feed: um valor pré-preenchido que identifica o feed.
   • Namespace do recurso: namespace associado ao feed.
   • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

4. Clique em Criar feed.

Para mais informações sobre como configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.

Para mais informações sobre feeds do Google SecOps, consulte a documentação sobre feeds do Google SecOps.

Para informações sobre os requisitos de cada tipo de feed, consulte Configuração de feed por tipo.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.