Azure-VPN-Logs erfassen

Unterstützt in:

In diesem Leitfaden wird beschrieben, wie Sie Azure-VPN-Logs mithilfe eines Azure-Speicherkontos in Google Security Operations exportieren. Der Parser extrahiert Felder aus JSON-formatierten Azure VPN-Logs und verwendet dann Grok-Muster, um weitere Details aus dem Feld properties.message zu extrahieren. Schließlich werden die extrahierten Informationen den standardisierten Feldern des Unified Data Model (UDM) zugeordnet.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • Ein aktiver Azure-Mandant
  • Privilegierter Zugriff auf Azure

Azure Storage-Konto konfigurieren

  1. Suchen Sie in der Azure-Konsole nach Storage accounts (Speicherkonten).
  2. Klicken Sie auf + Erstellen.
  3. Geben Sie Werte für die folgenden Eingabeparameter an:
    • Abo: Wählen Sie das Abo aus.
    • Ressourcengruppe: Wählen Sie die Ressourcengruppe aus.
    • Region: Wählen Sie die Region aus.
    • Leistung: Wählen Sie die Leistung aus (Standard wird empfohlen).
    • Redundanz: Wählen Sie die Redundanz aus (GRS oder LRS empfohlen).
    • Storage-Kontoname: Geben Sie einen Namen für das neue Speicherkonto ein.
  4. Klicken Sie auf Überprüfen + Erstellen.
  5. Sehen Sie sich die Übersicht des Kontos an und klicken Sie auf Erstellen.
  6. Wählen Sie auf der Seite Storage Account Overview (Speicherkonto – Übersicht) unter Security + networking (Sicherheit + Netzwerk) das Untermenü Access keys (Zugriffsschlüssel) aus.
  7. Klicken Sie neben key1 oder key2 auf Anzeigen.
  8. Klicken Sie auf In die Zwischenablage kopieren, um den Schlüssel zu kopieren.
  9. Bewahren Sie den Schlüssel an einem sicheren Ort auf, um ihn später zu verwenden.
  10. Wählen Sie auf der Seite Storage Account Overview (Speicherkontoübersicht) unter Settings (Einstellungen) das Untermenü Endpoints (Endpunkte) aus.
  11. Klicken Sie auf In die Zwischenablage kopieren, um die Endpunkt-URL des Blob-Dienstes zu kopieren, z. B. https://<storageaccountname>.blob.core.windows.net.
  12. Speichern Sie die Endpunkt-URL an einem sicheren Ort für die spätere Verwendung.

Logexport für Azure VPN Gateway-Logs konfigurieren

  1. Melden Sie sich mit Ihrem privilegierten Konto im Azure-Portal an.
  2. Wählen Sie das Abo aus, das überwacht wird.
  3. Suchen Sie in der Ressourcenliste dieses Abos nach dem VPN-Gateway (dies sollte in der Regel vom Ressourcentyp „Virtual Network Gateway“ sein).
  4. Klicken Sie auf das Gateway.
  5. Wählen Sie Monitoring > Diagnosedienste aus.
  6. Klicken Sie auf + Diagnoseeinstellung hinzufügen.
    • Geben Sie einen aussagekräftigen Namen für die Diagnoseeinstellung ein.
  7. Wählen Sie allLogs aus.
  8. Wählen Sie das Kästchen In einem Speicherkonto archivieren als Ziel aus.
    • Geben Sie das Abo und das Speicherkonto an.
  9. Klicken Sie auf Speichern.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über die SIEM-Einstellungen > „Feeds“ einrichten

Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

So konfigurieren Sie einen einzelnen Feed:

  1. Rufen Sie die SIEM-Einstellungen> Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Azure VPN Logs (Azure-VPN-Logs).
  5. Wählen Sie Microsoft Azure Blob Storage als Quelltyp aus.
  6. Wählen Sie Azure VPN als Logtyp aus.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Azure-URI: Die Blob-Endpunkt-URL.
      • ENDPOINT_URL/BLOB_NAME
        • Dabei gilt:
          • ENDPOINT_URL: Die Blob-Endpunkt-URL (https://<storageaccountname>.blob.core.windows.net)
          • BLOB_NAME: Der Name des Blobs (z. B. <logname>-logs)
    • URI is a (URI ist ein): Wählen Sie den URI-TYP entsprechend der Logstream-Konfiguration aus (Single file (Einzelne Datei) | Directory (Verzeichnis) | Directory which includes subdirectories (Verzeichnis mit Unterverzeichnissen)).

    • Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.

    • Freigegebener Schlüssel: Der Zugriffsschlüssel für Azure Blob Storage.

    • Asset-Namespace: Der Asset-Namespace.

    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

  • Azure-URI: Die Blob-Endpunkt-URL.
    • ENDPOINT_URL/BLOB_NAME
      • Dabei gilt:
        • ENDPOINT_URL: Die Blob-Endpunkt-URL (https://<storageaccountname>.blob.core.windows.net)
        • BLOB_NAME: Der Name des Blobs (z. B. <logname>-logs)
  • URI is a (URI ist ein): Wählen Sie den URI-TYP entsprechend der Logstream-Konfiguration aus (Single file (Einzelne Datei) | Directory (Verzeichnis) | Directory which includes subdirectories (Verzeichnis mit Unterverzeichnissen)).
  • Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.
  • Freigegebener Schlüssel: Der Zugriffsschlüssel für Azure Blob Storage.

Erweiterte Optionen

  • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
  • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Kategorie security_result.category_details Direkt aus dem Feld category im Rohlog zugeordnet.
IV_PLAT security_result.detection_fields.value Direkt aus dem Feld IV_PLAT im Rohlog zugeordnet. Teil eines Schlüssel/Wert-Paars im Array „detection_fields“, wobei der Schlüssel IV_PLAT ist.
IV_PLAT_VER security_result.detection_fields.value Direkt aus dem Feld IV_PLAT_VER im Rohlog zugeordnet. Teil eines Schlüssel/Wert-Paars im Array „detection_fields“, wobei der Schlüssel IV_PLAT_VER ist.
IV_PROTO security_result.detection_fields.value Direkt aus dem Feld IV_PROTO im Rohlog zugeordnet. Teil eines Schlüssel/Wert-Paars im Array „detection_fields“, wobei der Schlüssel IV_PROTO ist.
IV_VER security_result.detection_fields.value Direkt aus dem Feld IV_VER im Rohlog zugeordnet. Teil eines Schlüssel/Wert-Paars im Array „detection_fields“, wobei der Schlüssel IV_VER ist.
level security_result.severity Wird aus dem Feld level im Rohlog zugeordnet. Wenn level den Wert Informational hat, wird severity auf INFORMATIONAL gesetzt.
local_ip target.ip Aus dem Feld properties.message extrahiert und mit Grok-Mustern der Ziel-IP-Adresse zugeordnet.
local_port target.port Aus dem Feld properties.message extrahiert, indem Grok-Muster verwendet und der Zielportnummer zugeordnet wird. In einen Ganzzahltyp konvertiert.
operationName metadata.product_event_type Direkt aus dem Feld operationName im Rohlog zugeordnet.
properties.message metadata.description Aus dem Feld properties.message mit Grok-Mustern extrahiert. Je nach Nachrichtenformat kann die Beschreibung zusätzliche Details enthalten, die aus dem Feld desc2 extrahiert wurden.
remote_ip principal.ip Aus dem Feld properties.message extrahiert und der primären IP-Adresse zugeordnet.
remote_port principal.port Aus dem Feld properties.message extrahiert, indem Grok-Muster verwendet und der Hauptportnummer zugeordnet wurde. In einen Ganzzahltyp konvertiert.
resourceid target.resource.product_object_id Direkt aus dem Feld resourceid im Rohlog zugeordnet.
Zeit timestamp, metadata.event_timestamp Wird aus dem Feld time im Rohlog im RFC 3339-Format geparst und sowohl dem Ereignis- als auch dem UDM-Zeitstempel zugeordnet.
metadata.log_type Hartcodiert auf AZURE_VPN.
metadata.vendor_name Hartcodiert auf AZURE.
metadata.product_name Hartcodiert auf VPN.
metadata.event_type Wird dynamisch festgelegt, je nachdem, ob IP-Adressen vorhanden sind. Wenn sowohl remote_ip als auch local_ip vorhanden sind, wird es auf NETWORK_CONNECTION gesetzt, andernfalls auf USER_RESOURCE_ACCESS.
extensions.auth.type Hartcodiert auf VPN.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten