Recoger registros de auditoría de Azure Storage

Disponible en:

En este documento se explica cómo exportar registros de auditoría de Azure Storage a Google Security Operations mediante una cuenta de Azure Storage. El analizador procesa los registros en formato JSON y los transforma en el modelo de datos unificado (UDM). Extrae campos del registro sin procesar, convierte los tipos de datos, enriquece los datos con contexto adicional (como el análisis del user-agent y el desglose de la dirección IP) y asigna los campos extraídos a los campos de UDM correspondientes.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Un cliente de Azure activo
  • Acceso privilegiado a Azure

Configurar la cuenta de Azure Storage

  1. En la consola de Azure, busca Cuentas de almacenamiento.
  2. Haz clic en Crear.
  3. Especifique los valores de los siguientes parámetros de entrada:
    • Suscripción: selecciona la suscripción.
    • Grupo de recursos: selecciona el grupo de recursos.
    • Región: selecciona la región.
    • Rendimiento: selecciona el rendimiento (se recomienda Estándar).
    • Redundancia: selecciona la redundancia (se recomienda GRS o LRS).
    • Nombre de la cuenta de almacenamiento: escribe un nombre para la nueva cuenta de almacenamiento.
  4. Haz clic en Revisar y crear.
  5. Revisa el resumen de la cuenta y haz clic en Crear.
  6. En la página Información general de la cuenta de almacenamiento, seleccione el submenú Claves de acceso en Seguridad y redes.
  7. Haz clic en Mostrar junto a clave1 o clave2.
  8. Haz clic en Copiar en el portapapeles para copiar la clave.
  9. Guarda la clave en un lugar seguro para usarla más adelante.
  10. En la página Resumen de la cuenta de almacenamiento, seleccione el submenú Endpoints (Endpoints) en Settings (Configuración).
  11. Haz clic en Copiar en el portapapeles para copiar la URL del endpoint del servicio Blob. Por ejemplo, https://<storageaccountname>.blob.core.windows.net.
  12. Guarda la URL del endpoint en una ubicación segura para usarla más adelante.

Cómo configurar la exportación de registros para los registros de auditoría de Azure Storage

  1. Inicia sesión en el portal de Azure con tu cuenta con privilegios.
  2. Ve a Cuentas de almacenamiento > Configuración de diagnóstico.
  3. Haga clic en + Añadir ajuste de diagnóstico.
  4. Selecciona los ajustes de diagnóstico de blob, queue, table y file.
    • Selecciona la opción allLogs en Grupos de categorías para cada ajuste de diagnóstico.
    • Escribe un nombre descriptivo para cada ajuste de diagnóstico.
  5. Seleccione la casilla Archivar en una cuenta de almacenamiento como destino.
    • Especifica la Suscripción y la Cuenta de almacenamiento.
  6. Haz clic en Guardar.

Configurar feeds

Hay dos puntos de entrada diferentes para configurar feeds en la plataforma Google SecOps:

  • Configuración de SIEM > Feeds > Añadir nuevo feed
  • Centro de contenido > Paquetes de contenido > Empezar

Cómo configurar el feed de auditoría de almacenamiento de Azure

  1. Haz clic en el paquete Plataforma de Azure.
  2. Busca el tipo de registro Auditoría de almacenamiento de Azure y haz clic en Añadir nuevo feed.

  3. Especifique los valores de los siguientes campos:

    • Tipo de fuente: Microsoft Azure Blob Storage V2.
    • URI de Azure: la URL del endpoint del blob.
      • ENDPOINT_URL/BLOB_NAME
        • Sustituye lo siguiente:
          • ENDPOINT_URL: URL del endpoint de blob (https://<storageaccountname>.blob.core.windows.net)
          • BLOB_NAME: el nombre del blob (por ejemplo, <logname>-logs)

    • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras según tus preferencias de ingesta.

    • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es 180 días.

    • Clave compartida: la clave de acceso a Azure Blob Storage.

    Opciones avanzadas

    • Nombre del feed: un valor rellenado automáticamente que identifica el feed.
    • Espacio de nombres de recursos: espacio de nombres asociado al feed.
    • Etiquetas de ingestión: etiquetas aplicadas a todos los eventos de este feed.

  4. Haga clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros en esta familia de productos, consulta el artículo Configurar feeds por producto.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
callerIpAddress principal.asset.ip La dirección IP se extrae del campo callerIpAddress mediante un patrón grok y se asigna a principal.asset.ip.
callerIpAddress principal.ip La dirección IP se extrae del campo callerIpAddress mediante un patrón grok y se asigna a principal.ip.
callerIpAddress principal.port El número de puerto se extrae del campo callerIpAddress mediante un patrón grok y se asigna a principal.port.
category security_result.category_details El valor del campo category se asigna a security_result.category_details.
correlationId security_result.detection_fields[0].key La cadena literal correlationId se asigna al campo de clave.
correlationId security_result.detection_fields[0].value El valor del campo correlationId se asigna a security_result.detection_fields[0].value. El valor del campo time se analiza como una marca de tiempo y se asigna a event.idm.read_only_udm.metadata.event_timestamp. Si category es StorageWrite y principal.user.userid existe (derivado de properties.accountName), el valor se define como USER_RESOURCE_UPDATE_CONTENT. Si category es StorageDelete y principal.user.userid existe, el valor se define como USER_RESOURCE_DELETION. De lo contrario, se le asigna el valor USER_RESOURCE_ACCESS. La cadena literal AZURE_STORAGE_AUDIT se asigna a event.idm.read_only_udm.metadata.log_type. La cadena literal AZURE_STORAGE_AUDIT se asigna a event.idm.read_only_udm.metadata.product_name. El valor del campo schemaVersion se asigna a event.idm.read_only_udm.metadata.product_version. La cadena literal AZURE_STORAGE_AUDIT se asigna a event.idm.read_only_udm.metadata.vendor_name.
location target.location.name El valor del campo location se asigna a target.location.name.
operationName additional.fields[x].key La cadena literal operationName se asigna al campo de clave.
operationName additional.fields[x].value.string_value El valor del campo operationName se asigna a additional.fields[x].value.string_value.
operationVersion additional.fields[x].key La cadena literal operationVersion se asigna al campo de clave.
operationVersion additional.fields[x].value.string_value El valor del campo operationVersion se asigna a additional.fields[x].value.string_value.
properties.accountName principal.user.userid El valor del campo properties.accountName se asigna a principal.user.userid.
properties.clientRequestId additional.fields[x].key La cadena literal clientRequestId se asigna al campo de clave.
properties.clientRequestId additional.fields[x].value.string_value El valor del campo properties.clientRequestId se asigna a additional.fields[x].value.string_value.
properties.etag additional.fields[x].key La cadena literal etag se asigna al campo de clave.
properties.etag additional.fields[x].value.string_value El valor del campo properties.etag se asigna a additional.fields[x].value.string_value.
properties.objectKey additional.fields[x].key La cadena literal objectKey se asigna al campo de clave.
properties.objectKey additional.fields[x].value.string_value El valor del campo properties.objectKey se asigna a additional.fields[x].value.string_value.
properties.requestMd5 additional.fields[x].key La cadena literal requestMd5 se asigna al campo de clave.
properties.requestMd5 additional.fields[x].value.string_value El valor del campo properties.requestMd5 se asigna a additional.fields[x].value.string_value.
properties.responseMd5 additional.fields[x].key La cadena literal responseMd5 se asigna al campo de clave.
properties.responseMd5 additional.fields[x].value.string_value El valor del campo properties.responseMd5 se asigna a additional.fields[x].value.string_value.
properties.serviceType additional.fields[x].key La cadena literal serviceType se asigna al campo de clave.
properties.serviceType additional.fields[x].value.string_value El valor del campo properties.serviceType se asigna a additional.fields[x].value.string_value.
properties.tlsVersion network.tls.version El valor del campo properties.tlsVersion se asigna a network.tls.version.
properties.userAgentHeader network.http.parsed_user_agent El valor del campo properties.userAgentHeader se analiza como una cadena user-agent y se asigna a network.http.parsed_user_agent.
properties.userAgentHeader network.http.user_agent El valor del campo properties.userAgentHeader se asigna a network.http.user_agent.
protocol network.application_protocol El valor del campo protocol se asigna a network.application_protocol.
resourceId target.resource.id El valor del campo resourceId se asigna a target.resource.id.
resourceId target.resource.product_object_id El valor del campo resourceId se asigna a target.resource.product_object_id. La cadena literal DATABASE se asigna a target.resource.resource_type.
resourceType additional.fields[x].key La cadena literal resourceType se asigna al campo de clave.
resourceType additional.fields[x].value.string_value El valor del campo resourceType se asigna a additional.fields[x].value.string_value. Si statusText es Success, el valor se define como ALLOW.
statusCode network.http.response_code El valor del campo statusCode se convierte en un número entero y se asigna a network.http.response_code. La cadena literal MICROSOFT_AZURE se asigna a target.cloud.environment.
time timestamp El valor del campo time se analiza como una marca de tiempo y se asigna a timestamp.
uri network.http.referral_url El valor del campo uri se asigna a network.http.referral_url.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.