Mengumpulkan log VPN Azure

Didukung di:

Panduan ini menjelaskan cara mengekspor log Azure VPN ke Google Security Operations menggunakan Akun Penyimpanan Azure. Parser mengekstrak kolom dari log Azure VPN berformat JSON, lalu menggunakan pola Grok untuk mengekstrak detail lebih lanjut dari kolom properties.message. Terakhir, informasi yang diekstrak dipetakan ke kolom standar Model Data Terpadu (UDM).

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Tenant Azure yang aktif
  • Akses istimewa ke Azure

Mengonfigurasi Akun Azure Storage

  1. Di konsol Azure, cari Storage accounts.
  2. Klik + Create.
  3. Tentukan nilai untuk parameter input berikut:
    • Langganan: Pilih langganan.
    • Grup Resource: Pilih grup resource.
    • Region: Pilih region.
    • Performa: Pilih performa (Standar direkomendasikan).
    • Redundansi: Pilih redundansi (GRS atau LRS direkomendasikan).
    • Nama akun penyimpanan: Masukkan nama untuk akun penyimpanan baru.
  4. Klik Review + create.
  5. Tinjau ringkasan akun, lalu klik Buat.
  6. Dari halaman Storage Account Overview, pilih submenu Access keys di Security + networking.
  7. Klik Tampilkan di samping key1 atau key2.
  8. Klik Salin ke papan klip untuk menyalin kunci.
  9. Simpan kunci di lokasi yang aman untuk digunakan nanti.
  10. Dari halaman Storage Account Overview, pilih submenu Endpoints di Settings.
  11. Klik Salin ke papan klip untuk menyalin URL endpoint Blob service; misalnya, https://<storageaccountname>.blob.core.windows.net.
  12. Simpan URL endpoint di lokasi yang aman untuk digunakan nanti.

Cara mengonfigurasi Ekspor Log untuk Log Gateway VPN Azure

  1. Login ke Portal Azure menggunakan akun istimewa Anda.
  2. Pilih Langganan yang dipantau.
  3. Dalam daftar resource langganan tersebut, temukan gateway VPN (biasanya berupa Jenis Resource, Virtual Network Gateway).
  4. Klik Gateway.
  5. Pilih Monitoring > Diagnostic Services.
  6. Klik + Tambahkan setelan diagnostik.
    • Masukkan nama deskriptif untuk setelan diagnostik.
  7. Pilih allLogs.
  8. Centang kotak Arsipkan ke akun penyimpanan sebagai tujuan.
    • Tentukan Subscription dan Storage Account.
  9. Klik Simpan.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

  • Setelan SIEM > Feed > Tambahkan Baru
  • Hub Konten > Paket Konten > Mulai

Cara menyiapkan feed VPN Azure

  1. Klik paket Azure Platform.
  2. Cari jenis log Azure VPN, lalu klik Tambahkan feed baru.

  3. Tentukan nilai untuk kolom berikut:

    • Jenis Sumber: Microsoft Azure Blob Storage V2.
    • URI Azure: URL endpoint blob.
      • ENDPOINT_URL/BLOB_NAME
        • Ganti kode berikut:
          • ENDPOINT_URL: URL endpoint blob (https://<storageaccountname>.blob.core.windows.net)
          • BLOB_NAME: Nama blob (seperti, <logname>-logs)

    • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.

    • Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.

    • Shared key: Kunci akses ke Azure Blob Storage.

    Opsi lanjutan

    • Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
    • Namespace Aset: Namespace yang terkait dengan feed.
    • Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

  4. Klik Buat feed.

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
category security_result.category_details Dipetakan langsung dari kolom category dalam log mentah.
IV_PLAT security_result.detection_fields.value Dipetakan langsung dari kolom IV_PLAT dalam log mentah. Bagian dari key-value pair dalam array detection_fields, dengan kuncinya adalah IV_PLAT.
IV_PLAT_VER security_result.detection_fields.value Dipetakan langsung dari kolom IV_PLAT_VER dalam log mentah. Bagian dari key-value pair dalam array detection_fields, dengan kuncinya adalah IV_PLAT_VER.
IV_PROTO security_result.detection_fields.value Dipetakan langsung dari kolom IV_PROTO dalam log mentah. Bagian dari key-value pair dalam array detection_fields, dengan kuncinya adalah IV_PROTO.
IV_VER security_result.detection_fields.value Dipetakan langsung dari kolom IV_VER dalam log mentah. Bagian dari key-value pair dalam array detection_fields, dengan kuncinya adalah IV_VER.
level security_result.severity Dipetakan dari kolom level dalam log mentah. Jika level adalah Informational, severity disetel ke INFORMATIONAL.
local_ip target.ip Diekstrak dari kolom properties.message menggunakan pola grok dan dipetakan ke alamat IP target.
local_port target.port Diekstrak dari kolom properties.message menggunakan pola grok dan dipetakan ke nomor port target. Dikonversi ke jenis bilangan bulat.
operationName metadata.product_event_type Dipetakan langsung dari kolom operationName dalam log mentah.
properties.message metadata.description Diekstrak dari kolom properties.message menggunakan pola grok. Bergantung pada format pesan, deskripsi dapat mencakup detail tambahan yang diekstrak dari kolom desc2.
remote_ip principal.ip Diekstrak dari kolom properties.message menggunakan pola grok dan dipetakan ke alamat IP utama.
remote_port principal.port Diekstrak dari kolom properties.message menggunakan pola grok dan dipetakan ke nomor port utama. Dikonversi ke jenis bilangan bulat.
resourceid target.resource.product_object_id Dipetakan langsung dari kolom resourceid dalam log mentah.
waktu timestamp, metadata.event_timestamp Diuraikan dari kolom time dalam log mentah menggunakan format RFC 3339 dan dipetakan ke stempel waktu peristiwa dan stempel waktu UDM.
metadata.log_type Hardcode ke AZURE_VPN.
metadata.vendor_name Hardcode ke AZURE.
metadata.product_name Hardcode ke VPN.
metadata.event_type Ditetapkan secara dinamis berdasarkan keberadaan alamat IP. Jika remote_ip dan local_ip ada, nilai ini ditetapkan ke NETWORK_CONNECTION, jika tidak, nilai ini ditetapkan ke USER_RESOURCE_ACCESS.
extensions.auth.type Hardcode ke VPN.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.