收集 Azure VPN 記錄

支援的國家/地區:

本指南說明如何使用 Azure 儲存空間帳戶,將 Azure VPN 記錄匯出至 Google Security Operations。剖析器會從 JSON 格式的 Azure VPN 記錄檔中擷取欄位,然後使用 Grok 模式從 properties.message 欄位擷取更多詳細資料。最後,它會將擷取的資訊對應至 Unified Data Model (UDM) 的標準化欄位。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • 有效的 Azure 租用戶
  • Azure 特殊存取權

設定 Azure 儲存體帳戶

  1. 在 Azure 控制台中,搜尋「Storage accounts」(儲存體帳戶)
  2. 點選「+ 建立」
  3. 指定下列輸入參數的值:
    • 訂閱:選取訂閱方案。
    • 資源群組:選取資源群組。
    • 區域:選取區域。
    • 成效:選取成效 (建議使用「標準」)。
    • 備援:選取備援 (建議使用 GRS 或 LRS)。
    • 「儲存體帳戶名稱」:輸入新儲存體帳戶的名稱。
  4. 按一下「Review + create」
  5. 查看帳戶總覽,然後按一下「建立」
  6. 在「儲存空間帳戶總覽」頁面中,選取「安全性 + 網路」中的「存取金鑰」子選單。
  7. 按一下「key1」或「key2」旁邊的「顯示」
  8. 按一下「複製到剪貼簿」即可複製金鑰。
  9. 將金鑰儲存於安全的位置,以供日後使用。
  10. 在「儲存空間帳戶總覽」頁面中,選取「設定」中的「端點」子選單。
  11. 按一下「複製到剪貼簿」,複製「Blob 服務」端點網址,例如 https://<storageaccountname>.blob.core.windows.net
  12. 請將端點網址儲存於安全位置,以供日後使用。

如何設定 Azure VPN 閘道記錄的記錄匯出功能

  1. 使用具備權限的帳戶登入 Azure 入口網站
  2. 選取要監控的「訂閱項目」
  3. 在該訂閱項目的資源清單中,找出 VPN 閘道 (這通常應屬於「虛擬網路閘道」資源類型)。
  4. 按一下閘道。
  5. 選取「監控」>「診斷服務」
  6. 按一下「+ 新增診斷設定」
    • 輸入診斷設定的描述性名稱。
  7. 選取「allLogs」allLogs
  8. 選取「封存至儲存空間帳戶」核取方塊做為目的地。
    • 指定「訂閱項目」和「儲存空間帳戶」
  9. 按一下 [儲存]

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 「SIEM 設定」>「動態消息」
  • 內容中心 > 內容包

依序前往「SIEM 設定」>「動態消息」,設定動態消息

如要為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。

如要設定單一動態饋給,請按照下列步驟操作:

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「動態饋給名稱」欄位中,輸入動態饋給的名稱,例如「Azure VPN Logs」
  5. 選取「Microsoft Azure Blob Storage」做為「來源類型」
  6. 選取「Azure VPN」做為「記錄類型」
  7. 點選「下一步」

  8. 指定下列輸入參數的值:

    • Azure URI:Blob 端點 URL。
      • ENDPOINT_URL/BLOB_NAME
        • 取代下列項目:
          • ENDPOINT_URL:Blob 端點網址 (https://<storageaccountname>.blob.core.windows.net)
          • BLOB_NAME:Blob 的名稱 (例如 <logname>-logs)
    • URI 為:根據記錄串流設定選取 URI 類型 (「單一檔案」|「目錄」|「包含子目錄的目錄」)。

    • 來源刪除選項:根據擷取偏好設定選取刪除選項。

    • 共用金鑰:Azure Blob 儲存體的存取金鑰。

    • 資產命名空間資產命名空間

    • 擷取標籤:要套用至這個動態饋給事件的標籤。

  9. 點選「下一步」

  10. 在「Finalize」畫面上檢查新的動態饋給設定,然後按一下「Submit」

從內容中心設定動態饋給

為下列欄位指定值:

  • Azure URI:Blob 端點 URL。
    • ENDPOINT_URL/BLOB_NAME
      • 取代下列項目:
        • ENDPOINT_URL:Blob 端點網址 (https://<storageaccountname>.blob.core.windows.net)
        • BLOB_NAME:Blob 的名稱 (例如 <logname>-logs)
  • URI 為:根據記錄串流設定選取 URI 類型 (「單一檔案」|「目錄」|「包含子目錄的目錄」)。
  • 來源刪除選項:根據擷取偏好設定選取刪除選項。
  • 共用金鑰:Azure Blob 儲存體的存取金鑰。

進階選項

  • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
  • 來源類型:將記錄收集到 Google SecOps 的方法。
  • 資產命名空間與動態饋給相關聯的命名空間
  • 擷取標籤:套用至這個動態饋給所有事件的標籤。

UDM 對應表

記錄欄位 UDM 對應 邏輯
category security_result.category_details 直接從原始記錄中的 category 欄位對應。
IV_PLAT security_result.detection_fields.value 直接從原始記錄中的 IV_PLAT 欄位對應。detection_fields 陣列中的鍵/值組合,其中鍵為 IV_PLAT
IV_PLAT_VER security_result.detection_fields.value 直接從原始記錄中的 IV_PLAT_VER 欄位對應。detection_fields 陣列中的鍵/值組合,其中鍵為 IV_PLAT_VER
IV_PROTO security_result.detection_fields.value 直接從原始記錄中的 IV_PROTO 欄位對應。detection_fields 陣列中的鍵/值組合,其中鍵為 IV_PROTO
IV_VER security_result.detection_fields.value 直接從原始記錄中的 IV_VER 欄位對應。detection_fields 陣列中的鍵/值組合,其中鍵為 IV_VER
level security_result.severity 對應原始記錄中的 level 欄位。如果 levelInformationalseverity 會設為 INFORMATIONAL
local_ip target.ip 使用 grok 模式從 properties.message 欄位擷取,並對應至目標 IP 位址。
local_port target.port 使用 grok 模式從 properties.message 欄位擷取,並對應至目標通訊埠號碼。已轉換為整數類型。
operationName metadata.product_event_type 直接從原始記錄中的 operationName 欄位對應。
properties.message metadata.description 使用 grok 模式從 properties.message 欄位擷取。視訊息格式而定,說明可能包含從 desc2 欄位擷取的其他詳細資料。
remote_ip principal.ip 使用 grok 模式從 properties.message 欄位擷取,並對應至主要 IP 位址。
remote_port principal.port 使用 grok 模式從 properties.message 欄位擷取,並對應至主要通訊埠號碼。已轉換為整數類型。
resourceid target.resource.product_object_id 直接從原始記錄中的 resourceid 欄位對應。
時間 時間戳記、metadata.event_timestamp 使用 RFC 3339 格式從原始記錄的 time 欄位剖析,並對應至事件時間戳記和 UDM 時間戳記。
metadata.log_type 硬式編碼為 AZURE_VPN
metadata.vendor_name 硬式編碼為 AZURE
metadata.product_name 硬式編碼為 VPN
metadata.event_type 系統會根據 IP 位址是否存在動態設定。如果同時存在 remote_iplocal_ip,則設為 NETWORK_CONNECTION,否則設為 USER_RESOURCE_ACCESS
extensions.auth.type 硬式編碼為 VPN

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。