本頁面由 Cloud Translation API 翻譯而成。

收集 Azure 儲存體稽核記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Azure 儲存空間帳戶，將 Azure 儲存空間稽核記錄匯出至 Google Security Operations。剖析器會處理 JSON 格式的記錄，並轉換為統一資料模型 (UDM)。這項服務會從原始記錄中擷取欄位、執行資料類型轉換、使用額外內容 (例如剖析使用者代理程式和 IP 位址細目) 擴充資料，並將擷取的欄位對應至相應的 UDM 欄位。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
有效的 Azure 租用戶
Azure 特殊存取權

設定 Azure 儲存體帳戶

在 Azure 控制台中，搜尋「Storage accounts」(儲存體帳戶)。
點選「建立」。
指定下列輸入參數的值：
- 訂閱：選取訂閱方案。
- 資源群組：選取資源群組。
- 區域：選取區域。
- 成效：選取成效 (建議使用「標準」)。
- 備援：選取備援 (建議使用 GRS 或 LRS)。
- 「儲存體帳戶名稱」：輸入新儲存體帳戶的名稱。
按一下「Review + create」。
查看帳戶總覽，然後按一下「建立」。
在「儲存空間帳戶總覽」頁面中，選取「安全性 + 網路」中的「存取金鑰」子選單。
按一下「key1」或「key2」旁邊的「顯示」。
按一下「複製到剪貼簿」即可複製金鑰。
將金鑰儲存於安全的位置，以供日後使用。
在「儲存空間帳戶總覽」頁面中，選取「設定」中的「端點」子選單。
按一下「複製到剪貼簿」，複製「Blob 服務」端點網址，例如 https://<storageaccountname>.blob.core.windows.net。
請將端點網址儲存於安全位置，以供日後使用。

如何設定 Azure 儲存體稽核記錄的記錄匯出功能

使用具備權限的帳戶登入 Azure 入口網站。
依序前往「儲存空間帳戶」>「診斷設定」。
按一下「+ 新增診斷設定」。
選取 blob、queue、table 和 file 的診斷設定。
- 在每個診斷設定的「類別群組」中，選取「allLogs」選項。
- 為每個診斷設定輸入描述性名稱。
選取「封存至儲存空間帳戶」核取方塊做為目的地。
- 指定「訂閱項目」和「儲存空間帳戶」。
按一下 [儲存]。

設定動態饋給

在 Google SecOps 平台中，有兩種不同的進入點可設定動態饋給：

「SIEM 設定」>「動態消息」
內容中心 > 內容包

依序前往「SIEM 設定」>「動態消息」，設定動態消息

如要為這個產品系列中的不同記錄類型設定多個動態饋給，請參閱「依產品設定動態饋給」。

如要設定單一動態饋給，請按照下列步驟操作：

依序前往「SIEM 設定」>「動態饋給」。
按一下「新增動態消息」。
在下一個頁面中，按一下「設定單一動態饋給」。
在「Feed name」(動態消息名稱) 欄位中，輸入動態消息名稱，例如「Azure Storage Audit Logs」(Azure 儲存體稽核記錄)。
選取「Microsoft Azure Blob Storage」做為「來源類型」。
選取「Azure Storage Audit」(Azure 儲存體稽核) 做為「Log type」(記錄類型)。
點選「下一步」。
指定下列輸入參數的值：
- Azure URI：Blob 端點 URL。
  - ENDPOINT_URL/BLOB_NAME
    - 取代下列項目：
      - ENDPOINT_URL：Blob 端點網址 (https://<storageaccountname>.blob.core.windows.net)
      - BLOB_NAME：Blob 的名稱 (例如 <logname>-logs)
- URI 為：根據記錄串流設定選取 URI 類型 (「單一檔案」|「目錄」|「包含子目錄的目錄」)。
- 來源刪除選項：根據擷取偏好設定選取刪除選項。
  
  注意： 如果選取 Delete transferred files 或 Delete transferred files and empty directories 選項，請務必授予服務帳戶適當的權限。
- 共用金鑰：Azure Blob 儲存體的存取金鑰。
- 資產命名空間：資產命名空間。
- 擷取標籤：要套用至這個動態饋給事件的標籤。
點選「下一步」。
在「Finalize」畫面上檢查新的動態饋給設定，然後按一下「Submit」。

從內容中心設定動態饋給

為下列欄位指定值：

Azure URI：Blob 端點 URL。
- ENDPOINT_URL/BLOB_NAME
  - 取代下列項目：
    - ENDPOINT_URL：Blob 端點網址 (https://<storageaccountname>.blob.core.windows.net)
    - BLOB_NAME：Blob 的名稱 (例如 <logname>-logs)
URI 為：根據記錄串流設定選取 URI 類型 (「單一檔案」|「目錄」|「包含子目錄的目錄」)。
來源刪除選項：根據擷取偏好設定選取刪除選項。
共用金鑰：Azure Blob 儲存體的存取金鑰。

進階選項

動態饋給名稱：系統預先填入的值，用於識別動態饋給。
來源類型：將記錄收集到 Google SecOps 的方法。
資產命名空間：與動態饋給相關聯的命名空間。
擷取標籤：套用至這個動態饋給所有事件的標籤。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`callerIpAddress`	`principal.asset.ip`	系統會使用 grok 模式從 `callerIpAddress` 欄位擷取 IP 位址，並指派給 `principal.asset.ip`。
`callerIpAddress`	`principal.ip`	系統會使用 grok 模式從 `callerIpAddress` 欄位擷取 IP 位址，並指派給 `principal.ip`。
`callerIpAddress`	`principal.port`	通訊埠號碼會使用 grok 模式從 `callerIpAddress` 欄位擷取，並指派給 `principal.port`。
`category`	`security_result.category_details`	`category` 欄位的值會指派給 `security_result.category_details`。
`correlationId`	`security_result.detection_fields[0].key`	字串文字 `correlationId` 會指派給鍵欄位。
`correlationId`	`security_result.detection_fields[0].value`	`correlationId` 欄位的值會指派給 `security_result.detection_fields[0].value`。`time` 欄位的值會剖析為時間戳記，並指派給 `event.idm.read_only_udm.metadata.event_timestamp`。如果 `category` 為 `StorageWrite` 且 `principal.user.userid` 存在 (衍生自 `properties.accountName`)，則值會設為 `USER_RESOURCE_UPDATE_CONTENT`。如果 `category` 為 `StorageDelete` 且 `principal.user.userid` 存在，則值會設為 `USER_RESOURCE_DELETION`。否則，該值會設為 `USER_RESOURCE_ACCESS`。字串常值 `AZURE_STORAGE_AUDIT` 會指派給 `event.idm.read_only_udm.metadata.log_type`。字串常值 `AZURE_STORAGE_AUDIT` 會指派給 `event.idm.read_only_udm.metadata.product_name`。`schemaVersion` 欄位的值會指派給 `event.idm.read_only_udm.metadata.product_version`。字串常值 `AZURE_STORAGE_AUDIT` 會指派給 `event.idm.read_only_udm.metadata.vendor_name`。
`location`	`target.location.name`	`location` 欄位的值會指派給 `target.location.name`。
`operationName`	`additional.fields[x].key`	字串文字 `operationName` 會指派給鍵欄位。
`operationName`	`additional.fields[x].value.string_value`	`operationName` 欄位的值會指派給 `additional.fields[x].value.string_value`。
`operationVersion`	`additional.fields[x].key`	字串文字 `operationVersion` 會指派給鍵欄位。
`operationVersion`	`additional.fields[x].value.string_value`	`operationVersion` 欄位的值會指派給 `additional.fields[x].value.string_value`。
`properties.accountName`	`principal.user.userid`	`properties.accountName` 欄位的值會指派給 `principal.user.userid`。
`properties.clientRequestId`	`additional.fields[x].key`	字串文字 `clientRequestId` 會指派給鍵欄位。
`properties.clientRequestId`	`additional.fields[x].value.string_value`	`properties.clientRequestId` 欄位的值會指派給 `additional.fields[x].value.string_value`。
`properties.etag`	`additional.fields[x].key`	字串文字 `etag` 會指派給鍵欄位。
`properties.etag`	`additional.fields[x].value.string_value`	`properties.etag` 欄位的值會指派給 `additional.fields[x].value.string_value`。
`properties.objectKey`	`additional.fields[x].key`	字串文字 `objectKey` 會指派給鍵欄位。
`properties.objectKey`	`additional.fields[x].value.string_value`	`properties.objectKey` 欄位的值會指派給 `additional.fields[x].value.string_value`。
`properties.requestMd5`	`additional.fields[x].key`	字串文字 `requestMd5` 會指派給鍵欄位。
`properties.requestMd5`	`additional.fields[x].value.string_value`	`properties.requestMd5` 欄位的值會指派給 `additional.fields[x].value.string_value`。
`properties.responseMd5`	`additional.fields[x].key`	字串文字 `responseMd5` 會指派給鍵欄位。
`properties.responseMd5`	`additional.fields[x].value.string_value`	`properties.responseMd5` 欄位的值會指派給 `additional.fields[x].value.string_value`。
`properties.serviceType`	`additional.fields[x].key`	字串文字 `serviceType` 會指派給鍵欄位。
`properties.serviceType`	`additional.fields[x].value.string_value`	`properties.serviceType` 欄位的值會指派給 `additional.fields[x].value.string_value`。
`properties.tlsVersion`	`network.tls.version`	`properties.tlsVersion` 欄位的值會指派給 `network.tls.version`。
`properties.userAgentHeader`	`network.http.parsed_user_agent`	系統會將 `properties.userAgentHeader` 欄位的值剖析為使用者代理程式字串，並指派給 `network.http.parsed_user_agent`。
`properties.userAgentHeader`	`network.http.user_agent`	`properties.userAgentHeader` 欄位的值會指派給 `network.http.user_agent`。
`protocol`	`network.application_protocol`	`protocol` 欄位的值會指派給 `network.application_protocol`。
`resourceId`	`target.resource.id`	`resourceId` 欄位的值會指派給 `target.resource.id`。
`resourceId`	`target.resource.product_object_id`	`resourceId` 欄位的值會指派給 `target.resource.product_object_id`。字串常值 `DATABASE` 會指派給 `target.resource.resource_type`。
`resourceType`	`additional.fields[x].key`	字串文字 `resourceType` 會指派給鍵欄位。
`resourceType`	`additional.fields[x].value.string_value`	`resourceType` 欄位的值會指派給 `additional.fields[x].value.string_value`。如果 `statusText` 為 `Success`，則值會設為 `ALLOW`。
`statusCode`	`network.http.response_code`	`statusCode` 欄位的值會轉換為整數，並指派給 `network.http.response_code`。字串常值 `MICROSOFT_AZURE` 會指派給 `target.cloud.environment`。
`time`	`timestamp`	`time` 欄位的值會剖析為時間戳記，並指派給 `timestamp`。
`uri`	`network.http.referral_url`	`uri` 欄位的值會指派給 `network.http.referral_url`。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。