Raccogliere i log VPN Azure

Supportato in:

Questa guida spiega come esportare i log VPN di Azure in Google Security Operations utilizzando un account di archiviazione Azure. Il parser estrae i campi dai log VPN di Azure in formato JSON e poi utilizza i pattern Grok per estrarre ulteriori dettagli dal campo properties.message. Infine, mappa le informazioni estratte ai campi standardizzati del modello UDM (Unified Data Model).

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps
  • Un tenant Azure attivo
  • Accesso con privilegi ad Azure

Configura l'account di archiviazione di Azure

  1. Nella console Azure, cerca Storage accounts.
  2. Fai clic su + Crea.
  3. Specifica i valori per i seguenti parametri di input:
    • Abbonamento: seleziona l'abbonamento.
    • Gruppo di risorse: seleziona il gruppo di risorse.
    • Regione: seleziona la regione.
    • Rendimento: seleziona il rendimento (consigliato Standard).
    • Ridondanza: seleziona la ridondanza (consigliata GRS o LRS).
    • Nome account di archiviazione: inserisci un nome per il nuovo account di archiviazione.
  4. Fai clic su Review + create (Rivedi e crea).
  5. Controlla la panoramica dell'account e fai clic su Crea.
  6. Nella pagina Panoramica account di archiviazione, seleziona il sottomenu Chiavi di accesso in Sicurezza e networking.
  7. Fai clic su Mostra accanto a key1 o key2.
  8. Fai clic su Copia negli appunti per copiare la chiave.
  9. Salva la chiave in una posizione sicura per utilizzarla in un secondo momento.
  10. Nella pagina Panoramica dell'account di archiviazione, seleziona il sottomenu Endpoint in Impostazioni.
  11. Fai clic su Copia negli appunti per copiare l'URL dell'endpoint Blob service, ad esempio https://<storageaccountname>.blob.core.windows.net.
  12. Salva l'URL dell'endpoint in una posizione sicura per utilizzarlo in un secondo momento.

Come configurare l'esportazione dei log per i log del gateway VPN di Azure

  1. Accedi al portale di Azure utilizzando il tuo account con privilegi.
  2. Seleziona l'abbonamento monitorato.
  3. Nell'elenco delle risorse di questo abbonamento, individua il gateway VPN (in genere deve essere di tipo risorsa, gateway di rete virtuale).
  4. Fai clic sul gateway.
  5. Seleziona Monitoraggio > Servizi di diagnostica.
  6. Fai clic su + Aggiungi impostazione di diagnostica.
    • Inserisci un nome descrittivo per l'impostazione di diagnostica.
  7. Seleziona allLogs.
  8. Seleziona la casella di controllo Archivia in un account di archiviazione come destinazione.
    • Specifica l'abbonamento e l'account di archiviazione.
  9. Fai clic su Salva.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed
  • Hub dei contenuti > Pacchetti di contenuti

Configurare i feed da Impostazioni SIEM > Feed

Per configurare più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Per configurare un singolo feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log VPN di Azure.
  5. Seleziona Microsoft Azure Blob Storage come Tipo di origine.
  6. Seleziona VPN Azure come tipo di log.
  7. Fai clic su Avanti.

  8. Specifica i valori per i seguenti parametri di input:

    • URI di Azure: l'URL dell'endpoint blob.
      • ENDPOINT_URL/BLOB_NAME
        • Sostituisci quanto segue:
          • ENDPOINT_URL: l'URL dell'endpoint blob (https://<storageaccountname>.blob.core.windows.net)
          • BLOB_NAME: il nome del blob (ad esempio, <logname>-logs)
    • URI è un: seleziona il TIPO DI URI in base alla configurazione del flusso di log (Singolo file | Directory | Directory che include sottodirectory).

    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.

    • Chiave condivisa: la chiave di accesso ad Azure Blob Storage.

    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.

    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.

  9. Fai clic su Avanti.

  10. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

  • URI di Azure: l'URL dell'endpoint blob.
    • ENDPOINT_URL/BLOB_NAME
      • Sostituisci quanto segue:
        • ENDPOINT_URL: l'URL dell'endpoint blob (https://<storageaccountname>.blob.core.windows.net)
        • BLOB_NAME: il nome del blob (ad esempio, <logname>-logs)
  • URI è un: seleziona il TIPO DI URI in base alla configurazione del flusso di log (Singolo file | Directory | Directory che include sottodirectory).
  • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.
  • Chiave condivisa: la chiave di accesso ad Azure Blob Storage.

Opzioni avanzate

  • Nome feed: un valore precompilato che identifica il feed.
  • Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
  • Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
  • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
categoria security_result.category_details Mappato direttamente dal campo category nel log non elaborato.
IV_PLAT security_result.detection_fields.value Mappato direttamente dal campo IV_PLAT nel log non elaborato. Parte di una coppia chiave-valore all'interno dell'array detection_fields, in cui la chiave è IV_PLAT.
IV_PLAT_VER security_result.detection_fields.value Mappato direttamente dal campo IV_PLAT_VER nel log non elaborato. Parte di una coppia chiave-valore all'interno dell'array detection_fields, in cui la chiave è IV_PLAT_VER.
IV_PROTO security_result.detection_fields.value Mappato direttamente dal campo IV_PROTO nel log non elaborato. Parte di una coppia chiave-valore all'interno dell'array detection_fields, in cui la chiave è IV_PROTO.
IV_VER security_result.detection_fields.value Mappato direttamente dal campo IV_VER nel log non elaborato. Parte di una coppia chiave-valore all'interno dell'array detection_fields, in cui la chiave è IV_VER.
livello security_result.severity Mappato dal campo level nel log non elaborato. Se level è Informational, severity è impostato su INFORMATIONAL.
local_ip target.ip Estratto dal campo properties.message utilizzando i pattern grok e mappato all'indirizzo IP di destinazione.
local_port target.port Estratto dal campo properties.message utilizzando i pattern grok e mappato al numero di porta di destinazione. Convertito in tipo intero.
operationName metadata.product_event_type Mappato direttamente dal campo operationName nel log non elaborato.
properties.message metadata.description Estratto dal campo properties.message utilizzando i pattern grok. A seconda del formato del messaggio, la descrizione potrebbe includere dettagli aggiuntivi estratti dal campo desc2.
remote_ip principal.ip Estratto dal campo properties.message utilizzando i pattern grok e mappato all'indirizzo IP principale.
remote_port principal.port Estratto dal campo properties.message utilizzando i pattern grok e mappato al numero di porta principale. Convertito in tipo intero.
resourceid target.resource.product_object_id Mappato direttamente dal campo resourceid nel log non elaborato.
tempo timestamp, metadata.event_timestamp Analizzato dal campo time nel log non elaborato utilizzando il formato RFC 3339 e mappato sia al timestamp dell'evento sia al timestamp UDM.
metadata.log_type Codificato in modo permanente su AZURE_VPN.
metadata.vendor_name Codificato in modo permanente su AZURE.
metadata.product_name Codificato in modo permanente su VPN.
metadata.event_type Impostato dinamicamente in base alla presenza di indirizzi IP. Se sono presenti sia remote_ip sia local_ip, il valore è impostato su NETWORK_CONNECTION, altrimenti su USER_RESOURCE_ACCESS.
extensions.auth.type Codificato in modo permanente su VPN.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.