收集 Microsoft Azure Key Vault 日志记录日志

支持的语言:

本文档介绍了如何通过设置 Google Security Operations Feed 来收集 Azure Key Vault 日志记录日志。

如需了解详情,请参阅将数据提取到 Google SecOps

注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 AZURE_KEYVAULT_AUDI 注入标签的解析器。

准备工作

确保您满足以下前提条件:

  • 您可以登录的 Azure 订阅
  • Azure 中的 Azure Key Vault 环境(租户)
  • 全局管理员或 Azure Key Vault 管理员角色
  • 用于存储日志的 Azure 存储账号

配置存储账号

  1. 登录 Azure 门户。
  2. Azure 控制台中,搜索存储账号

  3. 选择必须从中提取日志的存储账号,然后选择访问密钥。如需创建新的存储账号,请执行以下操作:

    1. 点击创建
    2. 为新存储账号输入名称。

    3. 为账号选择订阅、资源组、区域、性能和冗余。建议将性能设置为标准,并将冗余设置为 GRSLRS

    4. 点击 Review + create(检查 + 创建)。

    5. 查看账号概览,然后点击创建

  4. 点击显示密钥,然后记下存储账号的共享密钥。

  5. 选择端点,然后记下 Blob 服务端点。

    如需详细了解如何创建存储账号,请参阅 Microsoft 文档中的创建 Azure 存储账号部分。

配置 Azure Key Vault 日志记录

  1. Azure 门户中,前往 Key Vault,然后选择要配置日志记录的 Key Vault。
  2. Monitoring 部分中,选择诊断设置
  3. 选择添加诊断设置诊断设置窗口提供诊断日志的设置。
  4. 诊断设置名称字段中,指定诊断设置的名称。
  5. 类别组部分中,选中审核复选框。

  6. 保留期限(天)字段中,指定符合贵组织政策的日志保留期限值。 Google SecOps 建议至少保留一天的日志。

    您可以将 Azure Key Vault 日志记录日志存储在存储账号中,也可以将日志流式传输到事件中心。Google SecOps 支持使用存储账号收集日志。

归档到存储账号

  1. 如需将日志存储在存储账号中,请在诊断设置窗口中选中归档到存储账号复选框。
  2. 订阅列表中,选择现有订阅。
  3. 存储账号列表中,选择现有存储账号。

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:

  • SIEM 设置 > Feed
  • 内容中心 > 内容包

通过“SIEM 设置”>“Feed”设置 Feed

如需配置 Feed,请按以下步骤操作:

  1. 依次前往 SIEM 设置 > Feed
  2. 点击添加新 Feed
  3. 在下一页上,点击配置单个 Feed
  4. Feed 名称字段中,输入 Feed 的名称,例如 Azure Key Vault Logging Logs
  5. 选择 Microsoft Azure Blob Storage 作为来源类型
  6. 选择 Azure 密钥保管库日志记录作为日志类型
  7. 点击下一步
  8. 配置以下输入参数:
    • Azure URI:指定您之前获得的 Blob 服务端点以及相应存储账号的其中一个容器名称。例如 https://xyz.blob.core.windows.net/abc/
    • URI is a:指定 URI 选项。
    • 来源删除选项:指定来源删除选项。
    • 密钥:指定您之前获得的共享密钥。
  9. 点击下一步,然后点击提交

设置来自内容中心的 Feed

为以下字段指定值:

  • Azure URI:指定您之前获得的 Blob 服务端点以及相应存储账号的某个容器名称。 例如 https://xyz.blob.core.windows.net/abc/
  • URI is a:指定 URI 选项。
  • 来源删除选项:指定来源删除选项。
  • 密钥:指定您之前获得的共享密钥。

高级选项

  • Feed 名称:用于标识 Feed 的预填充值。
  • 来源类型:用于将日志收集到 Google SecOps 中的方法。
  • 资源命名空间:与 Feed 关联的命名空间。
  • 提取标签:应用于相应 Feed 中所有事件的标签。

如需详细了解 Google SecOps Feed,请参阅 Google SecOps Feed 文档

如需了解每种 Feed 类型的要求,请参阅按类型划分的 Feed 配置

如果您在创建 Feed 时遇到问题,请与 Google Security Operations 支持团队联系。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。