Las detecciones seleccionadas, la investigación de amenazas y las capacidades de Cloud Infrastructure Entitlement Management (CIEM) de Security Command Center para Microsoft Azure requieren la transferencia de registros de Microsoft Azure a través de la canalización de transferencia de la consola de Operaciones de seguridad. Los tipos de registros de Microsoft Azure necesarios para la transferencia varían según lo que configures:
- La CIEM requiere datos del tipo de registro de Azure Cloud Services (AZURE_ACTIVITY).
- Las detecciones seleccionadas requieren datos de varios tipos de registros. Para obtener más información sobre los diferentes tipos de registros de Microsoft Azure, consulta Dispositivos compatibles y tipos de registros obligatorios.
Detecciones seleccionadas
Las detecciones seleccionadas en el nivel Enterprise de Security Command Center ayudan a identificar amenazas en entornos de Microsoft Azure con datos de eventos y de contexto.
Estos conjuntos de reglas requieren los siguientes datos para funcionar según lo previsto. Debes ingerir datos de Azure desde cada una de estas fuentes de datos para tener la máxima cobertura de reglas.
- Servicios en la nube de Azure
- Microsoft Entra ID, anteriormente Azure Active Directory
- Registros de auditoría de Microsoft Entra ID (antes, registros de auditoría de Azure AD)
- Microsoft Defender for Cloud
- Actividad de la API de Microsoft Graph
Para obtener más información, consulta lo siguiente en la documentación de Google SecOps:
Dispositivos admitidos y tipos de registros necesarios para Azure: Información sobre los datos que requiere cada conjunto de reglas.
Ingiere datos de Azure y Microsoft Entra ID: Pasos para recopilar datos de registro de Azure y Microsoft Entra ID
Detecciones seleccionadas para datos de Azure: Resumen de los conjuntos de reglas de Azure en las detecciones seleccionadas de la categoría Amenazas en la nube.
Usa detecciones seleccionadas para identificar amenazas: Cómo usar las detecciones seleccionadas en Google SecOps
Para obtener información sobre el tipo de datos de registro que los clientes de Security Command Center Enterprise pueden transferir directamente al arrendatario de Google SecOps, consulta Recopilación de datos de registro de Google SecOps.
Configura la transferencia de registros de Microsoft Azure para CIEM
Para generar resultados de CIEM en tu entorno de Microsoft Azure, las capacidades de CIEM requieren datos de los registros de actividad de Azure para cada suscripción de Azure que se deba analizar.
Para configurar la transferencia de registros de Microsoft Azure para CIEM, haz lo siguiente:
- Para exportar los registros de actividad de tus suscripciones de Azure, configura una cuenta de almacenamiento de Microsoft Azure.
Configura el registro de actividad de Azure:
- En la consola de Azure, busca Monitor.
- En el panel de navegación izquierdo, haz clic en el vínculo Registro de actividad.
- Haz clic en Export Activity Logs.
- Realiza las siguientes acciones para cada suscripción de la que se deban exportar registros:
- En el menú suscripción, selecciona la suscripción de Microsoft Azure desde la que deseas exportar los registros de actividad.
- Haz clic en Agregar parámetro de configuración de diagnóstico.
- Ingresa un nombre para el parámetro de configuración de diagnóstico.
- En Categorías de registros, selecciona Administrativo.
- En Detalles del destino, selecciona Archivar en una cuenta de almacenamiento.
- Selecciona la suscripción y la cuenta de almacenamiento que creaste, y haz clic en Guardar.
Para transferir los registros de actividad exportados desde la cuenta de almacenamiento, configura un feed en la consola de Security Operations.
Establece una etiqueta de transferencia para el feed configurando Etiqueta como
CIEMy Valor comoTRUE.
¿Qué sigue?
- Para habilitar CIEM, consulta Habilita el servicio de detección de CIEM.
- Para obtener más información sobre las funciones de CIEM, consulta la Descripción general de CIEM.