Collecter les journaux VPN Azure

Compatible avec :

Ce guide explique comment exporter les journaux de VPN Azure vers Google Security Operations à l'aide d'un compte de stockage Azure. L'analyseur extrait les champs des journaux Azure VPN au format JSON, puis utilise des modèles Grok pour extraire d'autres détails du champ properties.message. Enfin, il mappe les informations extraites aux champs standardisés de l'Unified Data Model (UDM).

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Instance Google SecOps
  • Un locataire Azure actif
  • Accès privilégié à Azure

Configurer un compte de stockage Azure

  1. Dans la console Azure, recherchez Comptes de stockage.
  2. Cliquez sur + Créer.
  3. Spécifiez les valeurs des paramètres d'entrée suivants :
    • Abonnement : sélectionnez l'abonnement.
    • Groupe de ressources : sélectionnez le groupe de ressources.
    • Région : sélectionnez la région.
    • Performances : sélectionnez les performances (standard recommandé).
    • Redondance : sélectionnez la redondance (GRS ou LRS recommandé).
    • Nom du compte de stockage : saisissez un nom pour le nouveau compte de stockage.
  4. Cliquez sur Examiner et créer.
  5. Examinez l'aperçu du compte, puis cliquez sur Créer.
  6. Sur la page Présentation du compte de stockage, sélectionnez le sous-menu Clés d'accès dans Sécurité et mise en réseau.
  7. Cliquez sur Afficher à côté de key1 ou key2.
  8. Cliquez sur Copier dans le presse-papiers pour copier la clé.
  9. Enregistrez la clé dans un endroit sûr pour pouvoir l'utiliser ultérieurement.
  10. Sur la page Présentation du compte de stockage, sélectionnez le sous-menu Points de terminaison dans Paramètres.
  11. Cliquez sur Copier dans le presse-papiers pour copier l'URL du point de terminaison Blob service (Service Blob). Par exemple, https://<storageaccountname>.blob.core.windows.net.
  12. Enregistrez l'URL du point de terminaison dans un endroit sûr pour une utilisation ultérieure.

Configurer l'exportation de journaux pour les journaux de passerelle VPN Azure

  1. Connectez-vous au portail Azure à l'aide de votre compte privilégié.
  2. Sélectionnez l'abonnement surveillé.
  3. Dans la liste des ressources de cet abonnement, recherchez la passerelle VPN (qui doit généralement être de type "Passerelle de réseau virtuel").
  4. Cliquez sur la passerelle.
  5. Sélectionnez Surveillance > Services de diagnostic.
  6. Cliquez sur + Ajouter un paramètre de diagnostic.
    • Attribuez un nom descriptif au paramètre de diagnostic.
  7. Sélectionnez allLogs.
  8. Cochez la case Archiver dans un compte de stockage comme destination.
    • Spécifiez l'abonnement et le compte de stockage.
  9. Cliquez sur Enregistrer.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

  • Paramètres SIEM> Flux
  • Plate-forme de contenu > Packs de contenu

Configurer des flux à partir de Paramètres SIEM > Flux

Pour configurer plusieurs flux pour différents types de journaux dans cette famille de produits, consultez Configurer des flux par produit.

Pour configurer un seul flux :

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Sur la page suivante, cliquez sur Configurer un seul flux.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux VPN Azure).
  5. Sélectionnez Microsoft Azure Blob Storage comme Type de source.
  6. Sélectionnez Azure VPN comme type de journal.
  7. Cliquez sur Suivant.

  8. Spécifiez les valeurs des paramètres d'entrée suivants :

    • URI Azure : URL du point de terminaison du blob.
      • ENDPOINT_URL/BLOB_NAME
        • Remplacez l'élément suivant :
          • ENDPOINT_URL : URL du point de terminaison du blob (https://<storageaccountname>.blob.core.windows.net)
          • BLOB_NAME : nom du blob (par exemple, <logname>-logs)
    • L'URI est : sélectionnez le TYPE d'URI en fonction de la configuration du flux de journaux (Fichier unique | Répertoire | Répertoire incluant des sous-répertoires).

    • Options de suppression de la source : sélectionnez l'option de suppression en fonction de vos préférences d'ingestion.

    • Clé partagée : clé d'accès à Azure Blob Storage.

    • Espace de noms de l'élément : espace de noms de l'élément.

    • Libellés d'ingestion : libellé à appliquer aux événements de ce flux.

  9. Cliquez sur Suivant.

  10. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Configurer des flux depuis le Hub de contenu

Indiquez les valeurs des champs suivants :

  • URI Azure : URL du point de terminaison du blob.
    • ENDPOINT_URL/BLOB_NAME
      • Remplacez l'élément suivant :
        • ENDPOINT_URL : URL du point de terminaison du blob (https://<storageaccountname>.blob.core.windows.net)
        • BLOB_NAME : nom du blob (par exemple, <logname>-logs)
  • L'URI est : sélectionnez le TYPE d'URI en fonction de la configuration du flux de journaux (Fichier unique | Répertoire | Répertoire incluant des sous-répertoires).
  • Options de suppression de la source : sélectionnez l'option de suppression en fonction de vos préférences d'ingestion.
  • Clé partagée : clé d'accès à Azure Blob Storage.

Options avancées

  • Nom du flux : valeur préremplie qui identifie le flux.
  • Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
  • Espace de noms de l'élément : espace de noms associé au flux.
  • Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

Table de mappage UDM

Champ de journal Mappage UDM Logique
category security_result.category_details Mappé directement à partir du champ category dans le journal brut.
IV_PLAT security_result.detection_fields.value Mappé directement à partir du champ IV_PLAT dans le journal brut. Partie d'une paire clé-valeur dans le tableau detection_fields, où la clé est IV_PLAT.
IV_PLAT_VER security_result.detection_fields.value Mappé directement à partir du champ IV_PLAT_VER dans le journal brut. Partie d'une paire clé-valeur dans le tableau detection_fields, où la clé est IV_PLAT_VER.
IV_PROTO security_result.detection_fields.value Mappé directement à partir du champ IV_PROTO dans le journal brut. Partie d'une paire clé-valeur dans le tableau detection_fields, où la clé est IV_PROTO.
IV_VER security_result.detection_fields.value Mappé directement à partir du champ IV_VER dans le journal brut. Partie d'une paire clé-valeur dans le tableau detection_fields, où la clé est IV_VER.
level security_result.severity Mappé à partir du champ level dans le journal brut. Si level est défini sur Informational, severity est défini sur INFORMATIONAL.
local_ip target.ip Extrait du champ properties.message à l'aide de modèles Grok et mappé à l'adresse IP cible.
local_port target.port Extrait du champ properties.message à l'aide de modèles Grok et mappé au numéro de port cible. Converti en type entier.
operationName metadata.product_event_type Mappé directement à partir du champ operationName dans le journal brut.
properties.message metadata.description Extrait du champ properties.message à l'aide de modèles Grok. Selon le format du message, la description peut inclure des informations supplémentaires extraites du champ desc2.
remote_ip principal.ip Extraite du champ properties.message à l'aide de modèles Grok et mappée à l'adresse IP principale.
remote_port principal.port Extrait du champ properties.message à l'aide de modèles Grok et mappé au numéro de port principal. Converti en type entier.
resourceid target.resource.product_object_id Mappé directement à partir du champ resourceid dans le journal brut.
temps timestamp, metadata.event_timestamp Analysé à partir du champ time du journal brut au format RFC 3339 et mappé à l'horodatage de l'événement et à l'horodatage UDM.
metadata.log_type Codé en dur sur AZURE_VPN.
metadata.vendor_name Codé en dur sur AZURE.
metadata.product_name Codé en dur sur VPN.
metadata.event_type Définie de manière dynamique en fonction de la présence d'adresses IP. Si remote_ip et local_ip sont tous deux présents, la valeur est définie sur NETWORK_CONNECTION, sinon sur USER_RESOURCE_ACCESS.
extensions.auth.type Codé en dur sur VPN.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.