Menghubungkan ke Microsoft Azure untuk pengumpulan data log

Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Kemampuan deteksi, investigasi ancaman, dan Cloud Infrastructure Entitlement Management (CIEM) yang diseleksi Security Command Center untuk Microsoft Azure memerlukan penyerapan log Microsoft Azure menggunakan pipeline penyerapan konsol Security Operations. Jenis log Microsoft Azure yang diperlukan untuk penyerapan berbeda-beda berdasarkan hal yang Anda konfigurasi:

• CIEM memerlukan data dari jenis log Layanan Cloud Azure (AZURE_ACTIVITY).
• Deteksi yang diseleksi memerlukan data dari beberapa jenis log. Untuk mempelajari lebih lanjut berbagai jenis log Microsoft Azure, lihat Perangkat yang didukung dan jenis log yang diperlukan.

Deteksi pilihan

Deteksi pilihan di tingkat Enterprise Security Command Center membantu mengidentifikasi ancaman di lingkungan Microsoft Azure menggunakan data peristiwa dan konteks.

Kumpulan aturan ini memerlukan data berikut agar berfungsi seperti yang dirancang. Anda harus menyerap data Azure dari setiap sumber data ini untuk memiliki cakupan aturan maksimum.

• Layanan cloud Azure
• Microsoft Entra ID, sebelumnya Azure Active Directory
• Log audit Microsoft Entra ID, sebelumnya log audit Azure AD
• Microsoft Defender for Cloud
• Aktivitas Microsoft Graph API

Untuk informasi selengkapnya, lihat hal berikut dalam dokumentasi Google SecOps:

• Perangkat yang didukung dan jenis log yang diperlukan untuk Azure: informasi tentang data yang diperlukan oleh setiap kumpulan aturan.

• Menyerap data Azure dan Microsoft Entra ID: langkah-langkah untuk mengumpulkan data log Azure dan Microsoft Entra ID.

• Deteksi pilihan untuk data Azure: ringkasan kumpulan aturan Azure dalam deteksi pilihan Kategori Ancaman Cloud.

• Menggunakan deteksi pilihan untuk mengidentifikasi ancaman: cara menggunakan deteksi pilihan di Google SecOps.

Untuk informasi tentang jenis data log yang dapat diserap pelanggan dengan Security Command Center Enterprise langsung ke tenant Google SecOps, lihat Pengumpulan data log Google SecOps.

Mengonfigurasi penyerapan log Microsoft Azure untuk CIEM

Untuk menghasilkan temuan CIEM bagi lingkungan Microsoft Azure Anda, kemampuan CIEM memerlukan data dari log aktivitas Azure untuk setiap langganan Azure yang perlu dianalisis.

Untuk mengonfigurasi penyerapan log Microsoft Azure untuk CIEM, lakukan hal berikut:

1. Untuk mengekspor log aktivitas untuk langganan Azure Anda, konfigurasi akun penyimpanan Microsoft Azure.

2. Konfigurasikan logging aktivitas Azure:

   1. Di konsol Azure, telusuri Monitor.
   2. Di panel navigasi kiri, klik link Log aktivitas.
   3. Klik Ekspor Log Aktivitas.
   4. Lakukan tindakan berikut untuk setiap langganan yang log-nya perlu diekspor:
      1. Di menu subscription, pilih langganan Microsoft Azure tempat Anda ingin mengekspor log aktivitas.
      2. Klik Tambahkan setelan diagnostik.
      3. Masukkan nama untuk setelan diagnostik.
      4. Di Kategori log, pilih Administrasi.
      5. Di Detail tujuan, pilih Arsipkan ke akun penyimpanan.
      6. Pilih langganan dan akun penyimpanan yang Anda buat, lalu klik Simpan.

3. Untuk menyerap log aktivitas yang diekspor dari akun penyimpanan, konfigurasi feed di konsol Security Operations.

4. Tetapkan Label penyerapan untuk feed dengan menetapkan Label ke CIEM dan Nilai ke TRUE.

Langkah berikutnya

• Untuk mengaktifkan CIEM, lihat Mengaktifkan layanan deteksi CIEM.
• Untuk mempelajari fitur CIEM lebih lanjut, lihat Ringkasan CIEM.