此页面由 Cloud Translation API 翻译。

收集 Azure 存储审核日志

支持的语言：

Google SecOps SIEM

本文档介绍了如何使用 Azure 存储账号将 Azure 存储审核日志导出到 Google Security Operations。解析器会处理 JSON 格式的日志，将其转换为统一数据模型 (UDM)。它从原始日志中提取字段，执行数据类型转换，使用其他上下文（例如用户代理解析和 IP 地址细分）丰富数据，并将提取的字段映射到相应的 UDM 字段。

准备工作

确保您满足以下前提条件：

Google SecOps 实例
有效的 Azure 租户
对 Azure 的特权访问权限

配置 Azure 存储账号

在 Azure 控制台中，搜索存储账号。
点击创建。
为以下输入参数指定值：
- 订阅：选择相应订阅。
- 资源组：选择资源组。
- 地区：选择相应区域。
- 性能：选择性能（建议选择“标准”）。
- 冗余：选择冗余（建议使用 GRS 或 LRS）。
- 存储账号名称：输入新存储账号的名称。
点击 Review + create（检查 + 创建）。
查看账号概览，然后点击创建。
在存储账号概览页面上，选择安全性 + 网络中的访问密钥子菜单。
点击 key1 或 key2 旁边的显示。
点击复制到剪贴板以复制密钥。
将密钥保存在安全的位置，以备日后使用。
在存储账号概览页面中，选择设置中的终结点子菜单。
点击复制到剪贴板，复制 Blob 服务端点网址；例如，https://<storageaccountname>.blob.core.windows.net。
将端点网址保存在安全的位置，以供日后使用。

如何为 Azure 存储审核日志配置日志导出

使用您的特权账号登录 Azure 门户。
依次前往存储账号 > 诊断设置。
点击 + 添加诊断设置。
选择 blob、queue、table 和 file 的诊断设置。
- 在每个诊断设置的类别组中，选择 allLogs 选项。
- 为每项诊断设置输入描述性名称。
选择归档到存储账号复选框作为目标位置。
- 指定订阅和存储账号。
点击保存。

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed：

SIEM 设置 > Feed > 添加新 Feed
内容中心 > 内容包 > 开始

如何设置 Azure 存储审核 Feed

点击 Azure 平台包。
找到 Azure 存储审核日志类型，然后点击添加新 Feed。
为以下字段指定值：
- 来源类型：Microsoft Azure Blob Storage V2。
- Azure URI：Blob 端点网址。
  - ENDPOINT_URL/BLOB_NAME
    - 替换以下内容：
      - ENDPOINT_URL：Blob 端点网址 (https://<storageaccountname>.blob.core.windows.net)
      - BLOB_NAME：Blob 的名称（例如 <logname>-logs）
- 源删除选项：根据您的提取偏好设置选择删除选项。
  
  注意：如果您选择 Delete transferred files 或 Delete transferred files and empty directories 选项，请确保您已向服务账号授予适当的权限。
- 文件存在时间上限：包含在过去指定天数内修改的文件。默认值为 180 天。
- 共享密钥：Azure Blob Storage 的访问密钥。
高级选项
- Feed 名称：用于标识 Feed 的预填充值。
- 资产命名空间：与 Feed 关联的命名空间。
- 提取标签：应用于相应 Feed 中所有事件的标签。
点击创建 Feed。

如需详细了解如何为相应产品系列中的不同日志类型配置多个 Feed，请参阅按产品配置 Feed。

UDM 映射表

日志字段	UDM 映射	逻辑
`callerIpAddress`	`principal.asset.ip`	使用 grok 模式从 `callerIpAddress` 字段中提取 IP 地址，并将其分配给 `principal.asset.ip`。
`callerIpAddress`	`principal.ip`	使用 grok 模式从 `callerIpAddress` 字段中提取 IP 地址，并将其分配给 `principal.ip`。
`callerIpAddress`	`principal.port`	使用 grok 模式从 `callerIpAddress` 字段中提取端口号，并将其分配给 `principal.port`。
`category`	`security_result.category_details`	`category` 字段的值已分配给 `security_result.category_details`。
`correlationId`	`security_result.detection_fields[0].key`	字面量字符串 `correlationId` 已分配给键字段。
`correlationId`	`security_result.detection_fields[0].value`	`correlationId` 字段的值已分配给 `security_result.detection_fields[0].value`。`time` 字段的值会被解析为时间戳并分配给 `event.idm.read_only_udm.metadata.event_timestamp`。如果 `category` 为 `StorageWrite` 且存在 `principal.user.userid`（派生自 `properties.accountName`），则该值设置为 `USER_RESOURCE_UPDATE_CONTENT`。如果 `category` 为 `StorageDelete` 且存在 `principal.user.userid`，则该值设置为 `USER_RESOURCE_DELETION`。否则，该值设置为 `USER_RESOURCE_ACCESS`。字面量字符串 `AZURE_STORAGE_AUDIT` 已分配给 `event.idm.read_only_udm.metadata.log_type`。字面量字符串 `AZURE_STORAGE_AUDIT` 已分配给 `event.idm.read_only_udm.metadata.product_name`。`schemaVersion` 字段的值已分配给 `event.idm.read_only_udm.metadata.product_version`。字面量字符串 `AZURE_STORAGE_AUDIT` 已分配给 `event.idm.read_only_udm.metadata.vendor_name`。
`location`	`target.location.name`	`location` 字段的值已分配给 `target.location.name`。
`operationName`	`additional.fields[x].key`	字面量字符串 `operationName` 已分配给键字段。
`operationName`	`additional.fields[x].value.string_value`	`operationName` 字段的值已分配给 `additional.fields[x].value.string_value`。
`operationVersion`	`additional.fields[x].key`	字面量字符串 `operationVersion` 已分配给键字段。
`operationVersion`	`additional.fields[x].value.string_value`	`operationVersion` 字段的值已分配给 `additional.fields[x].value.string_value`。
`properties.accountName`	`principal.user.userid`	`properties.accountName` 字段的值已分配给 `principal.user.userid`。
`properties.clientRequestId`	`additional.fields[x].key`	字面量字符串 `clientRequestId` 已分配给键字段。
`properties.clientRequestId`	`additional.fields[x].value.string_value`	`properties.clientRequestId` 字段的值已分配给 `additional.fields[x].value.string_value`。
`properties.etag`	`additional.fields[x].key`	字面量字符串 `etag` 已分配给键字段。
`properties.etag`	`additional.fields[x].value.string_value`	`properties.etag` 字段的值已分配给 `additional.fields[x].value.string_value`。
`properties.objectKey`	`additional.fields[x].key`	字面量字符串 `objectKey` 已分配给键字段。
`properties.objectKey`	`additional.fields[x].value.string_value`	`properties.objectKey` 字段的值已分配给 `additional.fields[x].value.string_value`。
`properties.requestMd5`	`additional.fields[x].key`	字面量字符串 `requestMd5` 已分配给键字段。
`properties.requestMd5`	`additional.fields[x].value.string_value`	`properties.requestMd5` 字段的值已分配给 `additional.fields[x].value.string_value`。
`properties.responseMd5`	`additional.fields[x].key`	字面量字符串 `responseMd5` 已分配给键字段。
`properties.responseMd5`	`additional.fields[x].value.string_value`	`properties.responseMd5` 字段的值已分配给 `additional.fields[x].value.string_value`。
`properties.serviceType`	`additional.fields[x].key`	字面量字符串 `serviceType` 已分配给键字段。
`properties.serviceType`	`additional.fields[x].value.string_value`	`properties.serviceType` 字段的值已分配给 `additional.fields[x].value.string_value`。
`properties.tlsVersion`	`network.tls.version`	`properties.tlsVersion` 字段的值已分配给 `network.tls.version`。
`properties.userAgentHeader`	`network.http.parsed_user_agent`	系统会将 `properties.userAgentHeader` 字段的值解析为用户代理字符串，并将其分配给 `network.http.parsed_user_agent`。
`properties.userAgentHeader`	`network.http.user_agent`	`properties.userAgentHeader` 字段的值已分配给 `network.http.user_agent`。
`protocol`	`network.application_protocol`	`protocol` 字段的值已分配给 `network.application_protocol`。
`resourceId`	`target.resource.id`	`resourceId` 字段的值已分配给 `target.resource.id`。
`resourceId`	`target.resource.product_object_id`	`resourceId` 字段的值已分配给 `target.resource.product_object_id`。字面量字符串 `DATABASE` 已分配给 `target.resource.resource_type`。
`resourceType`	`additional.fields[x].key`	字面量字符串 `resourceType` 已分配给键字段。
`resourceType`	`additional.fields[x].value.string_value`	`resourceType` 字段的值已分配给 `additional.fields[x].value.string_value`。如果 `statusText` 为 `Success`，则该值设置为 `ALLOW`。
`statusCode`	`network.http.response_code`	`statusCode` 字段的值会转换为整数并分配给 `network.http.response_code`。字面量字符串 `MICROSOFT_AZURE` 已分配给 `target.cloud.environment`。
`time`	`timestamp`	`time` 字段的值会被解析为时间戳并分配给 `timestamp`。
`uri`	`network.http.referral_url`	`uri` 字段的值已分配给 `network.http.referral_url`。