Recopila registros de la VPN de Azure

Compatible con:

En esta guía, se explica cómo exportar registros de VPN de Azure a Google Security Operations con una cuenta de almacenamiento de Azure. El analizador extrae campos de los registros de VPN de Azure con formato JSON y, luego, usa patrones de Grok para extraer más detalles del campo properties.message. Por último, asigna la información extraída a los campos estandarizados del modelo de datos unificado (UDM).

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Un inquilino de Azure activo
  • Acceso con privilegios a Azure

Configura la cuenta de Azure Storage

  1. En la consola de Azure, busca Cuentas de almacenamiento.
  2. Haz clic en + Crear.
  3. Especifica valores para los siguientes parámetros de entrada:
    • Suscripción: Selecciona la suscripción.
    • Grupo de recursos: Selecciona el grupo de recursos.
    • Región: Selecciona la región.
    • Rendimiento: Selecciona el rendimiento (se recomienda Estándar).
    • Redundancia: Selecciona la redundancia (se recomienda GRS o LRS).
    • Nombre de la cuenta de almacenamiento: Ingresa un nombre para la nueva cuenta de almacenamiento.
  4. Haz clic en Revisar + crear.
  5. Revisa el resumen de la cuenta y haz clic en Crear.
  6. En la página Información general de la cuenta de almacenamiento, selecciona el submenú Claves de acceso en Seguridad y redes.
  7. Haz clic en Mostrar junto a key1 o key2.
  8. Haz clic en Copiar en el portapapeles para copiar la clave.
  9. Guarda la llave en un lugar seguro para usarla más adelante.
  10. En la página Información general de la cuenta de almacenamiento, selecciona el submenú Endpoints en Configuración.
  11. Haz clic en Copiar al portapapeles para copiar la URL del extremo del servicio Blob, por ejemplo, https://<storageaccountname>.blob.core.windows.net.
  12. Guarda la URL del extremo en una ubicación segura para usarla más adelante.

Cómo configurar la exportación de registros para los registros de la puerta de enlace de VPN de Azure

  1. Accede al portal de Azure con tu cuenta con privilegios.
  2. Selecciona la suscripción que se supervisa.
  3. En la lista de recursos de esa suscripción, busca la puerta de enlace de VPN (por lo general, debería ser del tipo de recurso Virtual Network Gateway).
  4. Haz clic en la puerta de enlace.
  5. Selecciona Supervisión > Servicios de diagnóstico.
  6. Haz clic en + Agregar parámetro de configuración de diagnóstico.
    • Ingresa un nombre descriptivo para el parámetro de configuración de diagnóstico.
  7. Selecciona allLogs.
  8. Selecciona la casilla de verificación Archivar en una cuenta de almacenamiento como destino.
    • Especifica la Suscripción y la Cuenta de almacenamiento.
  9. Haz clic en Guardar.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración de SIEM > Feeds
  • Centro de contenido > Paquetes de contenido

Configura feeds desde Configuración del SIEM > Feeds

Para configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Cómo configurar feeds por producto.

Para configurar un solo feed, sigue estos pasos:

  1. Ve a SIEM Settings > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la siguiente página, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de VPN de Azure.
  5. Selecciona Microsoft Azure Blob Storage como el Tipo de fuente.
  6. Selecciona VPN de Azure como el Tipo de registro.
  7. Haz clic en Siguiente.

  8. Especifica valores para los siguientes parámetros de entrada:

    • URI de Azure: Es la URL del extremo del blob.
      • ENDPOINT_URL/BLOB_NAME
        • Reemplaza lo siguiente:
          • ENDPOINT_URL: URL del extremo del blob (https://<storageaccountname>.blob.core.windows.net)
          • BLOB_NAME: Es el nombre del blob (por ejemplo, <logname>-logs).
    • El URI es un: Selecciona el TIPO de URI según la configuración del flujo de registros (Archivo único | Directorio | Directorio que incluye subdirectorios).

    • Opciones de eliminación de la fuente: Selecciona la opción de eliminación según tus preferencias de transferencia.

    • Clave compartida: Es la clave de acceso a Azure Blob Storage.

    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.

    • Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.

  9. Haz clic en Siguiente.

  10. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Configura feeds desde el Centro de contenido

Especifica valores para los siguientes campos:

  • URI de Azure: Es la URL del extremo del blob.
    • ENDPOINT_URL/BLOB_NAME
      • Reemplaza lo siguiente:
        • ENDPOINT_URL: URL del extremo del blob (https://<storageaccountname>.blob.core.windows.net)
        • BLOB_NAME: Es el nombre del blob (por ejemplo, <logname>-logs).
  • El URI es un: Selecciona el TIPO de URI según la configuración del flujo de registros (Archivo único | Directorio | Directorio que incluye subdirectorios).
  • Opciones de eliminación de la fuente: Selecciona la opción de eliminación según tus preferencias de transferencia.
  • Clave compartida: Es la clave de acceso a Azure Blob Storage.

Opciones avanzadas

  • Nombre del feed: Es un valor completado previamente que identifica el feed.
  • Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
  • Espacio de nombres del recurso: Espacio de nombres asociado al feed.
  • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
category security_result.category_details Se asigna directamente desde el campo category en el registro sin procesar.
IV_PLAT security_result.detection_fields.value Se asigna directamente desde el campo IV_PLAT en el registro sin procesar. Es parte de un par clave-valor dentro del array detection_fields, en el que la clave es IV_PLAT.
IV_PLAT_VER security_result.detection_fields.value Se asigna directamente desde el campo IV_PLAT_VER en el registro sin procesar. Es parte de un par clave-valor dentro del array detection_fields, en el que la clave es IV_PLAT_VER.
IV_PROTO security_result.detection_fields.value Se asigna directamente desde el campo IV_PROTO en el registro sin procesar. Es parte de un par clave-valor dentro del array detection_fields, en el que la clave es IV_PROTO.
IV_VER security_result.detection_fields.value Se asigna directamente desde el campo IV_VER en el registro sin procesar. Es parte de un par clave-valor dentro del array detection_fields, en el que la clave es IV_VER.
level security_result.severity Se asigna desde el campo level en el registro sin procesar. Si level es Informational, severity se establece en INFORMATIONAL.
local_ip target.ip Se extrae del campo properties.message con patrones de Grok y se asigna a la dirección IP de destino.
local_port target.port Se extrae del campo properties.message con patrones de Grok y se asigna al número de puerto de destino. Se convierte al tipo de número entero.
operationName metadata.product_event_type Se asigna directamente desde el campo operationName en el registro sin procesar.
properties.message metadata.description Se extrae del campo properties.message con patrones de Grok. Según el formato del mensaje, la descripción puede incluir detalles adicionales extraídos del campo desc2.
remote_ip principal.ip Se extrae del campo properties.message con patrones de Grok y se asigna a la dirección IP principal.
remote_port principal.port Se extrae del campo properties.message con patrones de Grok y se asigna al número de puerto principal. Se convierte al tipo de número entero.
resourceid target.resource.product_object_id Se asigna directamente desde el campo resourceid en el registro sin procesar.
hora timestamp, metadata.event_timestamp Se analizó a partir del campo time en el registro sin procesar con el formato RFC 3339 y se asignó a la marca de tiempo del evento y a la marca de tiempo del UDM.
metadata.log_type Se codificó como AZURE_VPN.
metadata.vendor_name Se codificó como AZURE.
metadata.product_name Se codificó como VPN.
metadata.event_type Se establece de forma dinámica según la presencia de direcciones IP. Si están presentes remote_ip y local_ip, se establece en NETWORK_CONNECTION; de lo contrario, se establece en USER_RESOURCE_ACCESS.
extensions.auth.type Se codificó como VPN.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.