Coletar registros de geração de registros do Microsoft Azure Key Vault

Compatível com:

Neste documento, descrevemos como coletar os registros de geração de registros do Azure Key Vault configurando um feed do Google Security Operations.

Para mais informações, consulte Ingestão de dados no Google SecOps.

Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão AZURE_KEYVAULT_AUDI.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

  • Uma assinatura do Azure em que você pode fazer login
  • Ambiente (locatário) do Azure Key Vault no Azure
  • Função de administrador global ou do Azure Key Vault
  • Conta de armazenamento do Azure para armazenar os registros

Configurar uma conta de armazenamento

  1. Faça login no portal do Azure.
  2. No console do Azure, pesquise Contas de armazenamento.

  3. Selecione a conta de armazenamento de onde os registros precisam ser extraídos e clique em Chave de acesso. Para criar uma conta de armazenamento, faça o seguinte:

    1. Clique em Criar.
    2. Insira um nome para a nova conta de armazenamento.

    3. Selecione a assinatura, o grupo de recursos, a região, a performance e a redundância da conta. Recomendamos definir o desempenho como standard e a redundância como GRS ou LRS.

    4. Clique em Revisar + criar.

    5. Revise a visão geral da conta e clique em Criar.

  4. Clique em Mostrar chaves e anote a chave compartilhada da conta de armazenamento.

  5. Selecione Endpoints e anote o endpoint do serviço de blob.

    Para mais informações sobre como criar uma conta de armazenamento, consulte a seção Criar uma conta de armazenamento do Azure na documentação da Microsoft.

Configurar o registro em log do Azure Key Vault

  1. No portal do Azure, acesse Key vaults e selecione o cofre de chaves que você quer configurar para geração de registros.
  2. Na seção Monitoring, selecione Configurações de diagnóstico.
  3. Selecione Adicionar configuração de diagnóstico. A janela Configurações de diagnóstico fornece as configurações dos registros de diagnóstico.
  4. No campo Nome da configuração de diagnóstico, especifique o nome da configuração de diagnóstico.
  5. Na seção Grupos de categorias, marque a caixa de seleção audit.

  6. No campo Retenção (dias), especifique um valor de retenção de registros que esteja em conformidade com as políticas da sua organização. A Google SecOps recomenda um mínimo de um dia de retenção de registros.

    É possível armazenar os registros de registro em log do Azure Key Vault em uma conta de armazenamento ou transmitir os registros para os Hubs de Eventos. O Google SecOps oferece suporte à coleta de registros usando uma conta de armazenamento.

Arquivar em uma conta de armazenamento

  1. Para armazenar registros em uma conta de armazenamento, na janela Configurações de diagnóstico, marque a caixa de seleção Arquivar em uma conta de armazenamento.
  2. Na lista Assinatura, selecione a assinatura atual.
  3. Na lista Conta de armazenamento, selecione a conta de armazenamento atual.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds
  • Central de conteúdo > Pacotes de conteúdo

Configure feeds em "Configurações do SIEM" > "Feeds".

Para configurar um feed, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed. Por exemplo, Registros de registro em log do Azure Key Vault.
  5. Selecione Microsoft Azure Blob Storage como o Tipo de origem.
  6. Selecione Registro em log do Azure Key Vault como o Tipo de registro.
  7. Clique em Próxima.
  8. Configure os seguintes parâmetros de entrada:
    • URI do Azure: especifique o endpoint do Serviço de blobs que você recebeu anteriormente, junto com um dos nomes de contêiner dessa conta de armazenamento. Por exemplo, https://xyz.blob.core.windows.net/abc/.
    • URI é um: especifique a opção de URI.
    • Opção de exclusão de origem: especifique a opção de exclusão de origem.
    • Chave: especifique a chave compartilhada que você recebeu anteriormente.
  9. Clique em Próxima e em Enviar.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

  • URI do Azure: especifique o endpoint do serviço de blob que você obteve anteriormente junto com um dos nomes de contêiner dessa conta de armazenamento. Por exemplo, https://xyz.blob.core.windows.net/abc/.
  • URI é um: especifique a opção de URI.
  • Opção de exclusão de origem: especifique a opção de exclusão de origem.
  • Chave: especifique a chave compartilhada que você recebeu anteriormente.

Opções avançadas

  • Nome do feed: um valor pré-preenchido que identifica o feed.
  • Tipo de origem: método usado para coletar registros no Google SecOps.
  • Namespace do recurso: namespace associado ao feed.
  • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

Para mais informações sobre feeds do Google SecOps, consulte a documentação sobre feeds do Google SecOps.

Para informações sobre os requisitos de cada tipo de feed, consulte Configuração de feed por tipo.

Se você tiver problemas ao criar feeds, entre em contato com o suporte do Google Security Operations.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.