Die von Security Command Center ausgewählten Erkennungen, Bedrohungsuntersuchungen und CIEM-Funktionen (Cloud Infrastructure Entitlement Management) für Microsoft Azure erfordern die Aufnahme von Microsoft Azure-Protokollen über die Aufnahmepipeline der Security Operations Console. Die für die Datenaufnahme erforderlichen Microsoft Azure-Protokolltypen unterscheiden sich je nach Konfiguration:
- Für CIEM sind Daten vom Logtyp „Azure-Cloud-Dienste“ (AZURE_ACTIVITY) erforderlich.
- Für ausgewählte Erkennungen sind Daten aus mehreren Logtypen erforderlich. Weitere Informationen zu den verschiedenen Microsoft Azure-Logtypen finden Sie unter Unterstützte Geräte und erforderliche Logtypen.
Ausgewählte Erkennungen
Mit ausgewählten Erkennungen in der Enterprise-Stufe von Security Command Center lassen sich Bedrohungen in Microsoft Azure-Umgebungen anhand von Ereignis- und Kontextdaten erkennen.
Für diese Regelsätze sind die folgenden Daten erforderlich, damit sie wie vorgesehen funktionieren. Sie müssen Azure-Daten aus jeder dieser Datenquellen aufnehmen, um eine maximale Abdeckung der Regeln zu erreichen.
- Azure-Cloud-Dienste
- Microsoft Entra ID, früher Azure Active Directory
- Microsoft Entra ID-Audit-Logs, früher Azure AD-Audit-Logs
- Microsoft Defender for Cloud
- Aktivitäten der Microsoft Graph API
Weitere Informationen finden Sie in der Google SecOps-Dokumentation:
Unterstützte Geräte und erforderliche Protokolltypen für Azure: Informationen zu den für jeden Regelsatz erforderlichen Daten.
Azure- und Microsoft Entra ID-Daten aufnehmen: Schritte zum Erfassen von Azure- und Microsoft Entra ID-Protokolldaten.
Ausgewählte Erkennungen für Azure-Daten: Zusammenfassung der Azure-Regelsätze in den ausgewählten Erkennungen der Kategorie „Cloud-Bedrohungen“.
Mit kuratierten Erkennungen Bedrohungen identifizieren: Informationen zur Verwendung kuratierter Erkennungen in Google SecOps.
Informationen zu den Arten von Protokolldaten, die Kunden mit Security Command Center Enterprise direkt in den Google SecOps-Tenant aufnehmen können, finden Sie unter Google SecOps-Protokolldatenerhebung.
Microsoft Azure-Logaufnahme für CIEM konfigurieren
Um CIEM-Ergebnisse für Ihre Microsoft Azure-Umgebung zu generieren, benötigen die CIEM-Funktionen Daten aus Azure-Aktivitätsprotokollen für jedes Azure-Abo, das analysiert werden muss.
So konfigurieren Sie die Microsoft Azure-Logaufnahme für CIEM:
- Wenn Sie Aktivitätsprotokolle für Ihre Azure-Abos exportieren möchten, konfigurieren Sie ein Microsoft Azure-Speicherkonto.
So konfigurieren Sie die Azure-Aktivitätsprotokollierung:
- Suchen Sie in der Azure-Konsole nach Monitor.
- Klicken Sie im linken Navigationsbereich auf den Link Aktivitätsprotokoll.
- Klicken Sie auf Aktivitätsprotokolle exportieren.
- Führen Sie die folgenden Aktionen für jedes Abo aus, für das Protokolle exportiert werden müssen:
- Wählen Sie im Menü Abo das Microsoft Azure-Abo aus, aus dem Sie Aktivitätsprotokolle exportieren möchten.
- Klicken Sie auf Diagnoseeinstellung hinzufügen.
- Geben Sie einen Namen für die Diagnoseeinstellung ein.
- Wählen Sie unter Protokollkategorien die Option Verwaltung aus.
- Wählen Sie unter Zieldetails die Option In einem Speicherkonto archivieren aus.
- Wählen Sie das von Ihnen erstellte Abo und Speicherkonto aus und klicken Sie auf Speichern.
Wenn Sie exportierte Aktivitätsprotokolle aus dem Speicherkonto aufnehmen möchten, konfigurieren Sie einen Feed in der Security Operations Console.
Legen Sie ein Aufnahmelabel für den Feed fest. Dazu geben Sie für Label den Wert
CIEMund für Wert den WertTRUEein.
Nächste Schritte
- Informationen zum Aktivieren von CIEM finden Sie unter CIEM-Erkennungsdienst aktivieren.
- Weitere Informationen zu CIEM-Funktionen finden Sie unter CIEM – Übersicht.