Les fonctionnalités de détection, d'analyse des menaces et de gestion des droits d'accès à l'infrastructure cloud (CIEM) de Security Command Center pour Microsoft Azure nécessitent l'ingestion des journaux Microsoft Azure à l'aide du pipeline d'ingestion de la console Security Operations. Les types de journaux Microsoft Azure requis pour l'ingestion diffèrent selon ce que vous configurez :
- CIEM nécessite des données du type de journal Azure Cloud Services (AZURE_ACTIVITY).
- Les détections organisées nécessitent des données provenant de plusieurs types de journaux. Pour en savoir plus sur les différents types de journaux Microsoft Azure, consultez Appareils compatibles et types de journaux requis.
Détections sélectionnées
Les détections organisées du niveau Enterprise de Security Command Center permettent d'identifier les menaces dans les environnements Microsoft Azure à l'aide de données d'événements et de contexte.
Pour fonctionner comme prévu, ces ensembles de règles nécessitent les données suivantes. Vous devez ingérer les données Azure de chacune de ces sources de données pour bénéficier d'une couverture maximale des règles.
- Services cloud Azure
- Microsoft Entra ID, anciennement Azure Active Directory
- Journaux d'audit Microsoft Entra ID (anciennement journaux d'audit Azure AD)
- Microsoft Defender pour le cloud
- Activité de l'API Microsoft Graph
Pour en savoir plus, consultez les sections suivantes de la documentation Google SecOps :
Appareils compatibles et types de journaux requis pour Azure : informations sur les données requises par chaque ensemble de règles.
Ingérer des données Azure et Microsoft Entra ID : étapes à suivre pour collecter les données de journaux Azure et Microsoft Entra ID.
Détections organisées pour les données Azure : résumé des ensembles de règles Azure dans les détections organisées de la catégorie "Menaces cloud".
Utiliser des détections organisées pour identifier les menaces : découvrez comment utiliser les détections organisées dans Google SecOps.
Pour en savoir plus sur le type de données de journaux que les clients Security Command Center Enterprise peuvent ingérer directement dans le locataire Google SecOps, consultez Collecte des données de journaux Google SecOps.
Configurer l'ingestion des journaux Microsoft Azure pour CIEM
Pour générer des résultats CIEM pour votre environnement Microsoft Azure, les fonctionnalités CIEM nécessitent des données provenant des journaux d'activité Azure pour chaque abonnement Azure à analyser.
Pour configurer l'ingestion de journaux Microsoft Azure pour CIEM, procédez comme suit :
- Pour exporter les journaux d'activité de vos abonnements Azure, configurez un compte de stockage Microsoft Azure.
Configurez la journalisation des activités Azure :
- Dans la console Azure, recherchez Monitor.
- Dans le volet de navigation de gauche, cliquez sur le lien Journal d'activité.
- Cliquez sur Exporter les journaux d'activité.
- Effectuez les actions suivantes pour chaque abonnement dont les journaux doivent être exportés :
- Dans le menu Abonnement, sélectionnez l'abonnement Microsoft Azure à partir duquel vous souhaitez exporter les journaux d'activité.
- Cliquez sur Ajouter un paramètre de diagnostic.
- Attribuez un nom au paramètre de diagnostic.
- Dans Catégories de journaux, sélectionnez Administratif.
- Dans Détails de la destination, sélectionnez Archiver dans un compte de stockage.
- Sélectionnez l'abonnement et le compte de stockage que vous avez créés, puis cliquez sur Enregistrer.
Pour ingérer les journaux d'activité exportés à partir du compte de stockage, configurez un flux dans la console Security Operations.
Définissez un libellé d'ingestion pour le flux en définissant Libellé sur
CIEMet Valeur surTRUE.
Étapes suivantes
- Pour activer CIEM, consultez Activer le service de détection CIEM.
- Pour en savoir plus sur les fonctionnalités de CIEM, consultez Présentation de CIEM.