Azure VPN ログを収集する

以下でサポートされています。

このガイドでは、Azure Storage アカウントを使用して Azure VPN ログを Google Security Operations にエクスポートする方法について説明します。パーサーは、JSON 形式の Azure VPN ログからフィールドを抽出し、Grok パターンを使用して properties.message フィールドから詳細情報を抽出します。最後に、抽出された情報を統合データモデル(UDM)の標準化されたフィールドにマッピングします。

始める前に

次の前提条件を満たしていることを確認します。

  • Google SecOps インスタンス
  • アクティブな Azure テナント
  • Azure への特権アクセス

Azure Storage アカウントを構成する

  1. Azure コンソールで、[ストレージ アカウント] を検索します。
  2. [+ 作成] をクリックします。
  3. 次の入力パラメータの値を指定します。
    • Subscription: サブスクリプションを選択します。
    • リソース グループ: リソース グループを選択します。
    • Region: リージョンを選択します。
    • パフォーマンス: パフォーマンスを選択します(標準が推奨)。
    • 冗長性: 冗長性(GRS または LRS を推奨)を選択します。
    • ストレージ アカウント名: 新しいストレージ アカウントの名前を入力します。
  4. [Review + create] をクリックします。
  5. アカウントの概要を確認して、[作成] をクリックします。
  6. [ストレージ アカウントの概要] ページで、[セキュリティとネットワーキング] の [アクセスキー] サブメニューを選択します。
  7. [key1] または [key2] の横にある [Show] をクリックします。
  8. [クリップボードにコピー] をクリックして、キーをコピーします。
  9. キーは後で使用できるように安全な場所に保存します。
  10. [ストレージ アカウントの概要] ページで、[設定] の [エンドポイント] サブメニューを選択します。
  11. [クリップボードにコピー] をクリックして、Blob サービス エンドポイント URL(例: https://<storageaccountname>.blob.core.windows.net)をコピーします。
  12. エンドポイント URL は、後で使用できるように安全な場所に保存します。

Azure VPN Gateway ログのログ エクスポートを構成する方法

  1. 特権アカウントを使用して Azure Portal にログインします。
  2. モニタリング対象のサブスクリプションを選択します。
  3. そのサブスクリプションのリソース リストで、VPN ゲートウェイを見つけます(通常はリソースタイプが Virtual Network Gateway になります)。
  4. ゲートウェイをクリックします。
  5. [モニタリング> 診断サービス] を選択します。
  6. [+ 診断設定を追加] をクリックします。
    • 診断設定のわかりやすい名前を入力します。
  7. [allLogs] を選択します。
  8. 移行先として [ストレージ アカウントにアーカイブする] チェックボックスをオンにします。
    • サブスクリプションストレージ アカウントを指定します。
  9. [保存] をクリックします。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。

  • [SIEM 設定] > [フィード]
  • [Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

このプロダクト ファミリー内で異なるログタイプに対して複数のフィードを構成するには、プロダクトごとにフィードを構成するをご覧ください。

1 つのフィードを設定する手順は次のとおりです。

  1. [SIEM 設定] > [フィード] に移動します。
  2. [Add New Feed] をクリックします。
  3. 次のページで、[単一フィードを設定] をクリックします。
  4. [フィード名] フィールドに、フィードの名前を入力します(例: Azure VPN Logs)。
  5. [ソースタイプ] で [Microsoft Azure Blob Storage] を選択します。
  6. [ログタイプ] として [Azure VPN] を選択します。
  7. [次へ] をクリックします。

  8. 次の入力パラメータの値を指定します。

    • Azure URI: BLOB エンドポイント URL。
      • ENDPOINT_URL/BLOB_NAME
        • 次のように置き換えます。
          • ENDPOINT_URL: BLOB エンドポイント URL(https://<storageaccountname>.blob.core.windows.net
          • BLOB_NAME: blob の名前(<logname>-logs など)
    • URI is a: ログストリームの構成([単一ファイル] | [ディレクトリ] | [サブディレクトリを含むディレクトリ])に応じて URI タイプを選択します。

    • Source deletion options: 取り込みの設定に応じて削除オプションを選択します。

    • 共有キー: Azure Blob Storage のアクセスキー。

    • アセットの名前空間: アセットの名前空間

    • Ingestion labels: このフィードのイベントに適用されるラベル。

  9. [次へ] をクリックします。

  10. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

コンテンツ ハブからフィードを設定する

次のフィールドに値を指定します。

  • Azure URI: BLOB エンドポイント URL。
    • ENDPOINT_URL/BLOB_NAME
      • 次のように置き換えます。
        • ENDPOINT_URL: BLOB エンドポイント URL(https://<storageaccountname>.blob.core.windows.net
        • BLOB_NAME: blob の名前(<logname>-logs など)
  • URI is a: ログストリームの構成([単一ファイル] | [ディレクトリ] | [サブディレクトリを含むディレクトリ])に応じて URI タイプを選択します。
  • Source deletion options: 取り込みの設定に応じて削除オプションを選択します。
  • 共有キー: Azure Blob Storage のアクセスキー。

詳細オプション

  • フィード名: フィードを識別する事前入力された値。
  • ソースタイプ: Google SecOps にログを収集するために使用される方法。
  • Asset Namespace: フィードに関連付けられた名前空間
  • Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

UDM マッピング テーブル

ログフィールド UDM マッピング 論理
category security_result.category_details 未加工ログの category フィールドから直接マッピングされます。
IV_PLAT security_result.detection_fields.value 未加工ログの IV_PLAT フィールドから直接マッピングされます。detection_fields 配列内の Key-Value ペアの一部。キーは IV_PLAT です。
IV_PLAT_VER security_result.detection_fields.value 未加工ログの IV_PLAT_VER フィールドから直接マッピングされます。detection_fields 配列内の Key-Value ペアの一部。キーは IV_PLAT_VER です。
IV_PROTO security_result.detection_fields.value 未加工ログの IV_PROTO フィールドから直接マッピングされます。detection_fields 配列内の Key-Value ペアの一部。キーは IV_PROTO です。
IV_VER security_result.detection_fields.value 未加工ログの IV_VER フィールドから直接マッピングされます。detection_fields 配列内の Key-Value ペアの一部。キーは IV_VER です。
level security_result.severity 未加工ログの level フィールドからマッピングされます。levelInformational の場合、severityINFORMATIONAL に設定されます。
local_ip target.ip Grok パターンを使用して properties.message フィールドから抽出され、ターゲット IP アドレスにマッピングされます。
local_port target.port Grok パターンを使用して properties.message フィールドから抽出され、ターゲット ポート番号にマッピングされます。整数型に変換されます。
operationName metadata.product_event_type 未加工ログの operationName フィールドから直接マッピングされます。
properties.message metadata.description Grok パターンを使用して properties.message フィールドから抽出されます。メッセージ形式によっては、desc2 フィールドから抽出された追加の詳細が説明に含まれることがあります。
remote_ip principal.ip Grok パターンを使用して properties.message フィールドから抽出され、プリンシパルの IP アドレスにマッピングされます。
remote_port principal.port Grok パターンを使用して properties.message フィールドから抽出され、プリンシパル ポート番号にマッピングされます。整数型に変換されます。
resourceid target.resource.product_object_id 未加工ログの resourceid フィールドから直接マッピングされます。
時間 timestamp, metadata.event_timestamp RFC 3339 形式を使用して未加工ログの time フィールドから解析され、イベント タイムスタンプと UDM タイムスタンプの両方にマッピングされます。
metadata.log_type AZURE_VPN にハードコードされています。
metadata.vendor_name AZURE にハードコードされています。
metadata.product_name VPN にハードコードされています。
metadata.event_type IP アドレスの有無に基づいて動的に設定されます。remote_iplocal_ip の両方が存在する場合は NETWORK_CONNECTION に設定され、それ以外の場合は USER_RESOURCE_ACCESS に設定されます。
extensions.auth.type VPN にハードコードされています。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。