Verbindung mit Microsoft Azure für die Erfassung von Protokolldaten herstellen

Für die von Security Command Center kuratierten Erkennungen, die Untersuchung von Bedrohungen und die CIEM-Funktionen (Cloud Infrastructure Entitlement Management) für Microsoft Azure müssen Microsoft Azure-Logs über die Erfassungspipeline der Security Operations-Konsole aufgenommen werden. Die für die Aufnahme erforderlichen Microsoft Azure-Logtypen unterscheiden sich je nach Konfiguration:

• Für CIEM sind Daten vom Logtyp „Azure Cloud Services“ (AZURE_ACTIVITY) erforderlich.
• Für kuratierte Erkennungen sind Daten aus mehreren Logtypen erforderlich. Weitere Informationen zu den verschiedenen Microsoft Azure-Logtypen finden Sie unter Unterstützte Geräte und erforderliche Logtypen.

Ausgewählte Erkennungen

Mit den kuratierten Erkennungen in der Enterprise-Stufe von Security Command Center lassen sich Bedrohungen in Microsoft Azure-Umgebungen anhand von Ereignis- und Kontextdaten erkennen.

Für diese Regelsätze sind die folgenden Daten erforderlich, damit sie wie vorgesehen funktionieren. Sie müssen Azure-Daten aus jeder dieser Datenquellen aufnehmen, um eine maximale Regelabdeckung zu erreichen.

• Azure-Clouddienste
• Microsoft Entra ID (früher Azure Active Directory)
• Microsoft Entra ID-Audit-Logs (früher Azure AD-Audit-Logs)
• Microsoft Defender for Cloud
• Microsoft Graph API Activity

Weitere Informationen finden Sie in der Google SecOps-Dokumentation:

• Unterstützte Geräte und erforderliche Protokolltypen für Azure: Informationen zu den Daten, die für die einzelnen Regelsätze erforderlich sind.

• Azure- und Microsoft Entra ID-Daten aufnehmen: Schritte zum Erfassen von Azure- und Microsoft Entra ID-Protokolldaten.

• Abgestimmte Erkennungen für Azure-Daten: Zusammenfassung der Azure-Regelsätze in den abgestimmten Erkennungen der Kategorie „Cloud-Bedrohungen“.

• Kuratierte Erkennungen zum Identifizieren von Bedrohungen verwenden: Hier erfahren Sie, wie Sie kuratierte Erkennungen in Google SecOps verwenden.

Informationen dazu, welche Art von Logdaten Kunden mit Security Command Center Enterprise direkt in den Google SecOps-Mandanten aufnehmen können, finden Sie unter Erhebung von Google SecOps-Logdaten.

Microsoft Azure-Logaufnahme für CIEM konfigurieren

Damit CIEM-Ergebnisse für Ihre Microsoft Azure-Umgebung generiert werden können, sind für die CIEM-Funktionen Daten aus Azure-Aktivitätsprotokollen für jedes zu analysierende Azure-Abonnement oder jede zu analysierende Verwaltungsgruppe erforderlich.

Hinweise

Wenn Sie Aktivitätslogs für Ihre Azure-Abos oder Verwaltungsgruppen exportieren möchten, konfigurieren Sie ein Microsoft Azure-Speicherkonto.

Microsoft Azure-Logaufnahme für Verwaltungsgruppen konfigurieren

1. Wenn Sie die Azure-Aktivitätsprotokollierung für Verwaltungsgruppen konfigurieren möchten, verwenden Sie die Management Group API.

2. Wenn Sie exportierte Aktivitätslogs aus dem Speicherkonto aufnehmen möchten, konfigurieren Sie einen Feed in der Security Operations Console.

3. Legen Sie ein Aufnahmelabel für den Feed fest, indem Sie Label auf CIEM und Wert auf TRUE setzen.

Microsoft Azure-Logaufnahme für Abos konfigurieren

1. So konfigurieren Sie die Azure-Aktivitätsprotokollierung für Abos:

   1. Suchen Sie in der Azure-Konsole nach Monitor.
   2. Klicken Sie im linken Navigationsbereich auf den Link Aktivitätenprotokoll.
   3. Klicken Sie auf Aktivitätsprotokolle exportieren.
   4. Führen Sie die folgenden Aktionen für jedes Abo oder jede Verwaltungsgruppe aus, für die Protokolle exportiert werden müssen:
      1. Wählen Sie im Menü Abo das Microsoft Azure-Abo aus, aus dem Sie Aktivitätsprotokolle exportieren möchten.
      2. Klicken Sie auf Diagnoseeinstellung hinzufügen.
      3. Geben Sie einen Namen für die Diagnoseeinstellung ein.
      4. Wählen Sie unter Logkategorien die Option Administrativ aus.
      5. Wählen Sie unter Zieldetails die Option In einem Speicherkonto archivieren aus.
      6. Wählen Sie das von Ihnen erstellte Abo und Speicherkonto aus und klicken Sie auf Speichern.

2. Wenn Sie exportierte Aktivitätslogs aus dem Speicherkonto aufnehmen möchten, konfigurieren Sie einen Feed in der Security Operations Console.

3. Legen Sie ein Aufnahmelabel für den Feed fest, indem Sie Label auf CIEM und Wert auf TRUE setzen.

Nächste Schritte

• Informationen zum Aktivieren von CIEM finden Sie unter CIEM-Erkennungsdienst aktivieren.
• Weitere Informationen zu CIEM-Funktionen finden Sie unter Übersicht über CIEM.