收集 Microsoft Azure Key Vault 記錄記錄

支援的國家/地區:

本文說明如何設定 Google Security Operations 資訊提供,以收集 Azure Key Vault 記錄檔。

詳情請參閱「將資料擷取至 Google SecOps」。

擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文件中的資訊適用於具有 AZURE_KEYVAULT_AUDI 攝入標籤的剖析器。

事前準備

請確認您已完成下列事前準備事項:

  • 可登入的 Azure 訂用帳戶
  • Azure 中的 Azure Key Vault 環境 (租用戶)
  • 全域管理員或 Azure Key Vault 管理員角色
  • 用於儲存記錄的 Azure 儲存體帳戶

設定儲存空間帳戶

  1. 登入 Azure 入口網站。
  2. Azure 控制台中,搜尋「Storage accounts」(儲存體帳戶)

  3. 選取要從中提取記錄的儲存空間帳戶,然後選取「存取金鑰」。如要建立新的儲存空間帳戶,請按照下列步驟操作:

    1. 按一下 [Create]。
    2. 輸入新儲存空間帳戶的名稱。

    3. 選取帳戶的訂閱項目、資源群組、區域、效能和備援。建議將效能設為「標準」,並將備援設為「GRS」或「LRS」

    4. 按一下「Review + create」

    5. 查看帳戶總覽,然後按一下「建立」

  4. 按一下「顯示金鑰」,並記下儲存空間帳戶的共用金鑰。

  5. 選取「Endpoints」,並記下「Blob service」端點。

    如要進一步瞭解如何建立儲存空間帳戶,請參閱 Microsoft 說明文件中的「建立 Azure 儲存空間帳戶」一節。

設定 Azure Key Vault 記錄

  1. Azure 入口網站中,前往「金鑰保存庫」,然後選取要設定記錄的金鑰保存庫。
  2. 在「監控」部分中,選取「診斷設定」
  3. 選取「新增診斷設定」。「診斷設定」視窗提供診斷記錄的設定。
  4. 在「診斷設定名稱」欄位中,指定診斷設定的名稱。
  5. 在「類別群組」部分,選取「稽核」核取方塊。

  6. 在「保留 (天數)」欄位中,指定符合貴機構政策的記錄保留值。 Google SecOps 建議至少保留一天的記錄。

    您可以將 Azure Key Vault 記錄檔儲存在儲存體帳戶中,或將記錄檔串流至事件中樞。Google SecOps 支援使用儲存空間帳戶收集記錄。

封存至儲存空間帳戶

  1. 如要在儲存空間帳戶中儲存記錄,請在「診斷設定」視窗中,選取「封存至儲存空間帳戶」核取方塊。
  2. 在「訂閱」清單中,選取現有訂閱方案。
  3. 在「Storage account」(儲存空間帳戶) 清單中,選取現有儲存空間帳戶。

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 「SIEM 設定」>「動態消息」
  • 內容中心 > 內容包

依序前往「SIEM 設定」>「動態饋給」,設定動態饋給

如要設定動態消息,請按照下列步驟操作:

  1. 依序前往「SIEM 設定」>「動態消息」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「Feed name」(動態消息名稱) 欄位中,輸入動態消息的名稱,例如「Azure Key Vault Logging Logs」(Azure 金鑰保存庫記錄檔)
  5. 選取「Microsoft Azure Blob Storage」做為「來源類型」
  6. 選取「Azure Key Vault Logging」(Azure Key Vault 記錄) 做為「Log type」(記錄類型)。
  7. 點選「下一步」
  8. 設定下列輸入參數:
    • Azure URI:指定先前取得的 Blob 服務端點,以及該儲存體帳戶的其中一個容器名稱。例如:https://xyz.blob.core.windows.net/abc/
    • URI 為:指定 URI 選項。
    • 來源刪除選項:指定來源刪除選項。
    • 金鑰:指定先前取得的共用金鑰。
  9. 依序點按「繼續」和「提交」

從內容中心設定動態饋給

為下列欄位指定值:

  • Azure URI:指定先前取得的 Blob 服務端點,以及該儲存體帳戶的其中一個容器名稱。例如:https://xyz.blob.core.windows.net/abc/
  • URI 為:指定 URI 選項。
  • 來源刪除選項:指定來源刪除選項。
  • 金鑰:指定先前取得的共用金鑰。

進階選項

  • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
  • 來源類型:將記錄收集到 Google SecOps 的方法。
  • 資產命名空間:與動態饋給相關聯的命名空間。
  • 擷取標籤:套用至這個動態饋給所有事件的標籤。

如要進一步瞭解 Google SecOps 動態消息,請參閱 Google SecOps 動態消息說明文件

如要瞭解各類動態饋給的規定,請參閱「依類型設定動態饋給」。

如果在建立動態饋給時遇到問題,請與 Google Security Operations 支援團隊聯絡。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。