Recoger registros de VPN de Azure

Disponible en:

En esta guía se explica cómo exportar registros de VPN de Azure a Google Security Operations mediante una cuenta de almacenamiento de Azure. El analizador extrae campos de los registros de VPN de Azure con formato JSON y, a continuación, usa patrones Grok para extraer más detalles del campo properties.message. Por último, asigna la información extraída a los campos estandarizados del modelo de datos unificado (UDM).

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Un cliente de Azure activo
  • Acceso privilegiado a Azure

Configurar la cuenta de Azure Storage

  1. En la consola de Azure, busca Cuentas de almacenamiento.
  2. Haz clic en + Crear.
  3. Especifique los valores de los siguientes parámetros de entrada:
    • Suscripción: selecciona la suscripción.
    • Grupo de recursos: selecciona el grupo de recursos.
    • Región: selecciona la región.
    • Rendimiento: selecciona el rendimiento (se recomienda Estándar).
    • Redundancia: selecciona la redundancia (se recomienda GRS o LRS).
    • Nombre de la cuenta de almacenamiento: escribe un nombre para la nueva cuenta de almacenamiento.
  4. Haz clic en Revisar y crear.
  5. Revisa el resumen de la cuenta y haz clic en Crear.
  6. En la página Información general de la cuenta de almacenamiento, seleccione el submenú Claves de acceso en Seguridad y redes.
  7. Haz clic en Mostrar junto a clave1 o clave2.
  8. Haz clic en Copiar en el portapapeles para copiar la clave.
  9. Guarda la clave en un lugar seguro para usarla más adelante.
  10. En la página Resumen de la cuenta de almacenamiento, seleccione el submenú Endpoints (Endpoints) en Settings (Configuración).
  11. Haz clic en Copiar en el portapapeles para copiar la URL del endpoint del servicio Blob. Por ejemplo, https://<storageaccountname>.blob.core.windows.net.
  12. Guarda la URL del endpoint en una ubicación segura para usarla más adelante.

Cómo configurar la exportación de registros de Azure VPN Gateway

  1. Inicia sesión en el portal de Azure con tu cuenta con privilegios.
  2. Selecciona la suscripción que se está monitorizando.
  3. En la lista de recursos de esa suscripción, busca la pasarela VPN (normalmente, será del tipo de recurso Virtual Network Gateway).
  4. Haz clic en la pasarela.
  5. Selecciona Monitorización > Servicios de diagnóstico.
  6. Haga clic en + Añadir ajuste de diagnóstico.
    • Escribe un nombre descriptivo para el ajuste de diagnóstico.
  7. Selecciona allLogs.
  8. Seleccione la casilla Archivar en una cuenta de almacenamiento como destino.
    • Especifica la Suscripción y la Cuenta de almacenamiento.
  9. Haz clic en Guardar.

Configurar feeds

Hay dos puntos de entrada diferentes para configurar feeds en la plataforma Google SecOps:

  • Configuración de SIEM > Feeds > Añadir nuevo feed
  • Centro de contenido > Paquetes de contenido > Empezar

Cómo configurar la feed de VPN de Azure

  1. Haz clic en el paquete Plataforma de Azure.
  2. Busca el tipo de registro VPN de Azure y haz clic en Añadir nuevo feed.

  3. Especifique los valores de los siguientes campos:

    • Tipo de fuente: Microsoft Azure Blob Storage V2.
    • URI de Azure: la URL del endpoint del blob.
      • ENDPOINT_URL/BLOB_NAME
        • Sustituye lo siguiente:
          • ENDPOINT_URL: URL del endpoint de blob (https://<storageaccountname>.blob.core.windows.net)
          • BLOB_NAME: el nombre del blob (por ejemplo, <logname>-logs)

    • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras según tus preferencias de ingesta.

    • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es 180 días.

    • Clave compartida: la clave de acceso a Azure Blob Storage.

    Opciones avanzadas

    • Nombre del feed: un valor rellenado automáticamente que identifica el feed.
    • Espacio de nombres de recursos: espacio de nombres asociado al feed.
    • Etiquetas de ingestión: etiquetas aplicadas a todos los eventos de este feed.

  4. Haga clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros en esta familia de productos, consulta el artículo Configurar feeds por producto.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
category security_result.category_details Se asigna directamente desde el campo category del registro sin procesar.
IV_PLAT security_result.detection_fields.value Se asigna directamente desde el campo IV_PLAT del registro sin procesar. Parte de un par clave-valor de la matriz detection_fields, donde la clave es IV_PLAT.
IV_PLAT_VER security_result.detection_fields.value Se asigna directamente desde el campo IV_PLAT_VER del registro sin procesar. Parte de un par clave-valor de la matriz detection_fields, donde la clave es IV_PLAT_VER.
IV_PROTO security_result.detection_fields.value Se asigna directamente desde el campo IV_PROTO del registro sin procesar. Parte de un par clave-valor de la matriz detection_fields, donde la clave es IV_PROTO.
IV_VER security_result.detection_fields.value Se asigna directamente desde el campo IV_VER del registro sin procesar. Parte de un par clave-valor de la matriz detection_fields, donde la clave es IV_VER.
nivel security_result.severity Se asigna desde el campo level del registro sin procesar. Si level es Informational, severity se define como INFORMATIONAL.
local_ip target.ip Se extrae del campo properties.message mediante patrones grok y se asigna a la dirección IP de destino.
local_port target.port Se extrae del campo properties.message mediante patrones grok y se asigna al número de puerto de destino. Se ha convertido al tipo entero.
operationName metadata.product_event_type Se asigna directamente desde el campo operationName del registro sin procesar.
properties.message metadata.description Se extrae del campo properties.message mediante patrones grok. En función del formato del mensaje, la descripción puede incluir detalles adicionales extraídos del campo desc2.
remote_ip principal.ip Se extrae del campo properties.message mediante patrones grok y se asigna a la dirección IP principal.
remote_port principal.port Se extrae del campo properties.message mediante patrones grok y se asigna al número de puerto principal. Se ha convertido al tipo entero.
resourceid target.resource.product_object_id Se asigna directamente desde el campo resourceid del registro sin procesar.
Tiempo timestamp, metadata.event_timestamp Se analiza a partir del campo time del registro sin procesar con el formato RFC 3339 y se asigna tanto a la marca de tiempo del evento como a la marca de tiempo de los datos de marketing unificados.
metadata.log_type Valor fijo establecido en el código fuente AZURE_VPN.
metadata.vendor_name Valor fijo establecido en el código fuente AZURE.
metadata.product_name Valor fijo establecido en el código fuente VPN.
metadata.event_type Se define de forma dinámica en función de la presencia de direcciones IP. Si se incluyen remote_ip y local_ip, se asigna el valor NETWORK_CONNECTION. De lo contrario, se asigna el valor USER_RESOURCE_ACCESS.
extensions.auth.type Valor fijo establecido en el código fuente VPN.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.