收集 Microsoft Azure Key Vault 日志记录日志

支持的语言:

本文档介绍了如何通过设置 Google Security Operations Feed 来收集 Azure Key Vault 日志记录日志。

如需了解详情,请参阅将数据提取到 Google SecOps

注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 AZURE_KEYVAULT_AUDI 注入标签的解析器。

准备工作

确保您满足以下前提条件:

  • 您可以登录的 Azure 订阅
  • Azure 中的 Azure Key Vault 环境(租户)
  • 全局管理员或 Azure Key Vault 管理员角色
  • 用于存储日志的 Azure 存储账号

配置存储账号

  1. 登录 Azure 门户。
  2. Azure 控制台中,搜索存储账号

  3. 选择必须从中提取日志的存储账号,然后选择访问密钥。如需创建新的存储账号,请执行以下操作:

    1. 点击创建
    2. 为新存储账号输入名称。

    3. 为账号选择订阅、资源组、区域、性能和冗余。建议将性能设置为标准,并将冗余设置为 GRSLRS

    4. 点击 Review + create(检查 + 创建)。

    5. 查看账号概览,然后点击创建

  4. 点击显示密钥,然后记下存储账号的共享密钥。

  5. 选择端点,然后记下 Blob 服务端点。

    如需详细了解如何创建存储账号,请参阅 Microsoft 文档中的创建 Azure 存储账号部分。

配置 Azure Key Vault 日志记录

  1. Azure 门户中,前往 Key Vault,然后选择要配置日志记录的 Key Vault。
  2. Monitoring 部分中,选择诊断设置
  3. 选择添加诊断设置诊断设置窗口提供诊断日志的设置。
  4. 诊断设置名称字段中,指定诊断设置的名称。
  5. 类别组部分中,选中审核复选框。

  6. 保留期限(天)字段中,指定符合贵组织政策的日志保留期限值。 Google SecOps 建议至少保留一天的日志。

    您可以将 Azure Key Vault 日志记录日志存储在存储账号中,也可以将日志流式传输到事件中心。Google SecOps 支持使用存储账号收集日志。

归档到存储账号

  1. 如需将日志存储在存储账号中,请在诊断设置窗口中选中归档到存储账号复选框。
  2. 订阅列表中,选择现有订阅。
  3. 存储账号列表中,选择现有存储账号。

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:

  • SIEM 设置 > Feed > 添加新 Feed
  • 内容中心 > 内容包 > 开始

如何设置 Azure 密钥保管库日志记录 Feed

  1. 点击 Azure 平台包。
  2. 找到 Azure Key Vault 日志记录日志类型,然后点击添加新 Feed

  3. 为以下字段指定值:

    • 来源类型Microsoft Azure Blob Storage V2
    • Azure URI:指定您之前获得的 Blob 服务端点以及相应存储账号的其中一个容器名称。例如 https://xyz.blob.core.windows.net/abc/
    • 来源删除选项:指定来源删除选项。
    • 文件存在时间上限:包含在过去指定天数内修改的文件。 默认值为 180 天。
    • 密钥:指定您之前获得的共享密钥。

    高级选项

    • Feed 名称:用于标识 Feed 的预填充值。
    • 资源命名空间:与 Feed 关联的命名空间。
    • 提取标签:应用于相应 Feed 中所有事件的标签。

  4. 点击创建 Feed

如需详细了解如何为相应产品系列中的不同日志类型配置多个 Feed,请参阅按产品配置 Feed

如需详细了解 Google SecOps Feed,请参阅 Google SecOps Feed 文档

如需了解每种 Feed 类型的要求,请参阅按类型划分的 Feed 配置

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。