Menghubungkan ke Microsoft Azure untuk pengumpulan data log

Kemampuan deteksi yang dikurasi, investigasi ancaman, dan Cloud Infrastructure Entitlement Management (CIEM) Security Command Center untuk Microsoft Azure memerlukan penyerapan log Microsoft Azure menggunakan pipeline penyerapan konsol Operasi Keamanan. Jenis log Microsoft Azure yang diperlukan untuk penyerapan berbeda-beda berdasarkan hal yang Anda konfigurasi:

• CIEM memerlukan data dari jenis log Azure Cloud Services (AZURE_ACTIVITY).
• Deteksi yang dikurasi memerlukan data dari beberapa jenis log. Untuk mempelajari lebih lanjut berbagai jenis log Microsoft Azure, lihat Perangkat yang didukung dan jenis log yang diperlukan.

Deteksi pilihan

Deteksi yang dikurasi di paket Enterprise Security Command Center membantu mengidentifikasi ancaman di lingkungan Microsoft Azure menggunakan data peristiwa dan konteks.

Set aturan ini memerlukan data berikut agar dapat berfungsi seperti yang dirancang. Anda harus menyerap data Azure dari setiap sumber data ini untuk mendapatkan cakupan aturan maksimum.

• Layanan cloud Azure
• Microsoft Entra ID, sebelumnya Azure Active Directory
• Log audit Microsoft Entra ID, sebelumnya log audit Azure AD
• Microsoft Defender untuk Cloud
• Aktivitas Microsoft Graph API

Untuk mengetahui informasi selengkapnya, lihat bagian berikut dalam dokumentasi Google SecOps:

• Perangkat yang didukung dan jenis log yang diperlukan untuk Azure: informasi tentang data yang diperlukan oleh setiap set aturan.

• Menyerap data Azure dan Microsoft Entra ID: langkah-langkah untuk mengumpulkan data log Azure dan Microsoft Entra ID.

• Deteksi yang dikurasi untuk data Azure: ringkasan set aturan Azure dalam deteksi yang dikurasi Kategori Ancaman Cloud.

• Menggunakan deteksi pilihan untuk mengidentifikasi ancaman: cara menggunakan deteksi pilihan di Google SecOps.

Untuk mengetahui informasi tentang jenis data log yang dapat diserap langsung oleh pelanggan dengan Security Command Center Enterprise ke tenant Google SecOps, lihat Pengumpulan data log Google SecOps.

Mengonfigurasi penyerapan log Microsoft Azure untuk CIEM

Untuk membuat temuan CIEM untuk lingkungan Microsoft Azure Anda, kemampuan CIEM memerlukan data dari log aktivitas Azure untuk setiap langganan atau grup pengelolaan Azure yang perlu dianalisis.

Sebelum memulai

Untuk mengekspor log aktivitas untuk langganan atau grup pengelolaan Azure Anda, konfigurasi akun penyimpanan Microsoft Azure.

Mengonfigurasi penyerapan log Microsoft Azure untuk grup manajemen

1. Untuk mengonfigurasi logging aktivitas Azure untuk grup pengelolaan, gunakan Management group API.

2. Untuk menyerap log aktivitas yang diekspor dari akun penyimpanan, konfigurasi feed di konsol Operasi Keamanan.

3. Tetapkan Label penyerapan untuk feed dengan menyetel Label ke CIEM dan Nilai ke TRUE.

Mengonfigurasi penyerapan log Microsoft Azure untuk langganan

1. Untuk mengonfigurasi logging aktivitas Azure untuk langganan, lakukan hal berikut:

   1. Di konsol Azure, telusuri Monitor.
   2. Di panel navigasi kiri, klik link Log aktivitas.
   3. Klik Ekspor Log Aktivitas.
   4. Lakukan tindakan berikut untuk setiap langganan atau grup pengelolaan yang lognya perlu diekspor:
      1. Di menu subscription, pilih langganan Microsoft Azure yang ingin Anda gunakan untuk mengekspor log aktivitas.
      2. Klik Tambahkan setelan diagnostik.
      3. Masukkan nama untuk setelan diagnostik.
      4. Di Log categories, pilih Administrative.
      5. Di Destination details, pilih Archive to a storage account.
      6. Pilih langganan dan akun penyimpanan yang Anda buat, lalu klik Simpan.

2. Untuk menyerap log aktivitas yang diekspor dari akun penyimpanan, konfigurasi feed di konsol Operasi Keamanan.

3. Tetapkan Label penyerapan untuk feed dengan menyetel Label ke CIEM dan Nilai ke TRUE.

Langkah berikutnya

• Untuk mengaktifkan CIEM, lihat Mengaktifkan layanan deteksi CIEM.
• Untuk mempelajari lebih lanjut fitur CIEM, lihat Ringkasan CIEM.