Coletar registros de VPN do Azure

Compatível com:

Este guia explica como exportar registros de VPN do Azure para o Google Security Operations usando uma conta de armazenamento do Azure. O analisador extrai campos de registros da VPN do Azure formatados em JSON e usa padrões Grok para extrair mais detalhes do campo properties.message. Por fim, ele mapeia as informações extraídas para os campos padronizados do modelo de dados unificado (UDM).

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

  • Instância do Google SecOps
  • Um locatário ativo do Azure
  • Acesso privilegiado ao Azure

Configurar a conta de armazenamento do Azure

  1. No console do Azure, pesquise Contas de armazenamento.
  2. Clique em + Criar.
  3. Especifique valores para os seguintes parâmetros de entrada:
    • Assinatura: selecione a assinatura.
    • Grupo de recursos: selecione o grupo de recursos.
    • Região: selecione a região.
    • Performance: selecione a performance (padrão recomendado).
    • Redundância: selecione a redundância (GRS ou LRS recomendado).
    • Nome da conta de armazenamento: insira um nome para a nova conta de armazenamento.
  4. Clique em Revisar + criar.
  5. Revise a visão geral da conta e clique em Criar.
  6. Na página Visão geral da conta de armazenamento, selecione o submenu Chaves de acesso em Segurança e rede.
  7. Clique em Mostrar ao lado de key1 ou key2.
  8. Clique em Copiar para a área de transferência para copiar a chave.
  9. Salve a chave em um local seguro para uso posterior.
  10. Na página Visão geral da conta de armazenamento, selecione o submenu Endpoints em Configurações.
  11. Clique em Copiar para a área de transferência para copiar o URL do endpoint do serviço de blob. Por exemplo, https://<storageaccountname>.blob.core.windows.net.
  12. Salve o URL do endpoint em um local seguro para uso posterior.

Como configurar a exportação de registros para registros do gateway de VPN do Azure

  1. Faça login no portal do Azure usando sua conta privilegiada.
  2. Selecione a assinatura que está sendo monitorada.
  3. Na lista de recursos dessa assinatura, localize o gateway de VPN (normalmente do tipo de recurso "Gateway de rede virtual").
  4. Clique no gateway.
  5. Selecione Monitoring > Serviços de diagnóstico.
  6. Clique em + Adicionar configuração de diagnóstico.
    • Insira um nome descritivo para a configuração de diagnóstico.
  7. Selecione allLogs.
  8. Marque a caixa de seleção Arquivar em uma conta de armazenamento como destino.
    • Especifique a Assinatura e a Conta de armazenamento.
  9. Clique em Salvar.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds
  • Central de conteúdo > Pacotes de conteúdo

Configure feeds em Configurações do SIEM > Feeds

Para configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.

Para configurar um único feed, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed, por exemplo, Registros de VPN do Azure.
  5. Selecione Microsoft Azure Blob Storage como o Tipo de origem.
  6. Selecione VPN do Azure como o Tipo de registro.
  7. Clique em Próxima.

  8. Especifique valores para os seguintes parâmetros de entrada:

    • URI do Azure: o URL do endpoint do blob.
      • ENDPOINT_URL/BLOB_NAME
        • Substitua:
          • ENDPOINT_URL: o URL do endpoint do blob (https://<storageaccountname>.blob.core.windows.net)
          • BLOB_NAME: o nome do blob (por exemplo, <logname>-logs)
    • URI é um: selecione o TIPO DE URI de acordo com a configuração do fluxo de registros (Arquivo único | Diretório | Diretório que inclui subdiretórios).

    • Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.

    • Chave compartilhada: a chave de acesso ao Azure Blob Storage.

    • Namespace do recurso: o namespace do recurso.

    • Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.

  9. Clique em Próxima.

  10. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

  • URI do Azure: o URL do endpoint do blob.
    • ENDPOINT_URL/BLOB_NAME
      • Substitua:
        • ENDPOINT_URL: o URL do endpoint do blob (https://<storageaccountname>.blob.core.windows.net)
        • BLOB_NAME: o nome do blob (por exemplo, <logname>-logs)
  • URI é um: selecione o TIPO DE URI de acordo com a configuração do fluxo de registros (Arquivo único | Diretório | Diretório que inclui subdiretórios).
  • Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.
  • Chave compartilhada: a chave de acesso ao Azure Blob Storage.

Opções avançadas

  • Nome do feed: um valor pré-preenchido que identifica o feed.
  • Tipo de origem: método usado para coletar registros no Google SecOps.
  • Namespace do recurso: namespace associado ao feed.
  • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
categoria security_result.category_details Mapeado diretamente do campo category no registro bruto.
IV_PLAT security_result.detection_fields.value Mapeado diretamente do campo IV_PLAT no registro bruto. Parte de um par de chave-valor na matriz "detection_fields", em que a chave é IV_PLAT.
IV_PLAT_VER security_result.detection_fields.value Mapeado diretamente do campo IV_PLAT_VER no registro bruto. Parte de um par de chave-valor na matriz "detection_fields", em que a chave é IV_PLAT_VER.
IV_PROTO security_result.detection_fields.value Mapeado diretamente do campo IV_PROTO no registro bruto. Parte de um par de chave-valor na matriz "detection_fields", em que a chave é IV_PROTO.
IV_VER security_result.detection_fields.value Mapeado diretamente do campo IV_VER no registro bruto. Parte de um par de chave-valor na matriz "detection_fields", em que a chave é IV_VER.
level security_result.severity Mapeado do campo level no registro bruto. Se level for Informational, severity será definido como INFORMATIONAL.
local_ip target.ip Extraído do campo properties.message usando padrões grok e mapeado para o endereço IP de destino.
local_port target.port Extraído do campo properties.message usando padrões grok e mapeado para o número da porta de destino. Convertido para o tipo inteiro.
operationName metadata.product_event_type Mapeado diretamente do campo operationName no registro bruto.
properties.message metadata.description Extraído do campo properties.message usando padrões grok. Dependendo do formato da mensagem, a descrição pode incluir mais detalhes extraídos do campo desc2.
remote_ip principal.ip Extraído do campo properties.message usando padrões grok e mapeado para o endereço IP principal.
remote_port principal.port Extraído do campo properties.message usando padrões grok e mapeado para o número da porta principal. Convertido para o tipo inteiro.
resourceid target.resource.product_object_id Mapeado diretamente do campo resourceid no registro bruto.
tempo timestamp, metadata.event_timestamp Analisado do campo time no registro bruto usando o formato RFC 3339 e mapeado para o carimbo de data/hora do evento e da UDM.
metadata.log_type Fixado no código como AZURE_VPN.
metadata.vendor_name Fixado no código como AZURE.
metadata.product_name Fixado no código como VPN.
metadata.event_type Definido dinamicamente com base na presença de endereços IP. Se remote_ip e local_ip estiverem presentes, ele será definido como NETWORK_CONNECTION. Caso contrário, será USER_RESOURCE_ACCESS.
extensions.auth.type Fixado no código como VPN.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.