Connettiti a Microsoft Azure per la raccolta dei dati dei log

Le funzionalità di rilevamento selezionate, analisi delle minacce e gestione dei diritti dell'infrastruttura cloud (CIEM) di Security Command Center per Microsoft Azure richiedono l'importazione dei log di Microsoft Azure utilizzando la pipeline di importazione della console Security Operations. I tipi di log di Microsoft Azure richiesti per l'importazione variano a seconda di ciò che stai configurando:

• CIEM richiede i dati del tipo di log Azure Cloud Services (AZURE_ACTIVITY).
• Le rilevazioni curate richiedono dati di più tipi di log. Per saperne di più sui diversi tipi di log di Microsoft Azure, consulta Dispositivi supportati e tipi di log richiesti.

Rilevamenti selezionati

I rilevamenti curati nel livello Enterprise di Security Command Center aiutano a identificare le minacce negli ambienti Microsoft Azure utilizzando sia i dati sugli eventi che quelli contestuali.

Questi insiemi di regole richiedono i seguenti dati per funzionare come previsto. Per ottenere la massima copertura delle regole, devi importare i dati di Azure da ciascuna di queste origini dati.

• Servizi cloud di Azure
• Microsoft Entra ID, in precedenza Azure Active Directory
• Audit log di Microsoft Entra ID, in precedenza audit log di Azure AD
• Microsoft Defender for Cloud
• Attività API Microsoft Graph

Per ulteriori informazioni, consulta le seguenti sezioni della documentazione di Google SecOps:

• Dispositivi supportati e tipi di log richiesti per Azure: informazioni sui dati richiesti da ogni insieme di regole.

• Importa dati di Azure e Microsoft Entra ID: passaggi per raccogliere i dati di log di Azure e Microsoft Entra ID.

• Rilevamenti curati per i dati di Azure: riepilogo dei set di regole di Azure nei rilevamenti curati della categoria Minacce cloud.

• Utilizza i rilevamenti curati per identificare le minacce: come utilizzare i rilevamenti curati in Google SecOps.

Per informazioni sul tipo di dati di log che i clienti con Security Command Center Enterprise possono importare direttamente nel tenant Google SecOps, consulta Raccolta dei dati di log di Google SecOps.

Configurare l'importazione dei log di Microsoft Azure per CIEM

Per generare risultati CIEM per il tuo ambiente Microsoft Azure, le funzionalità CIEM richiedono i dati dei log attività di Azure per ogni abbonamento Azure da analizzare.

Per configurare l'importazione dei log di Microsoft Azure per CIEM:

1. Per esportare i log attività per i tuoi abbonamenti Azure, configura un account di archiviazione Microsoft Azure.

2. Configura la registrazione delle attività di Azure:

   1. Nella console Azure, cerca Monitor.
   2. Nel riquadro di navigazione a sinistra, fai clic sul link Log attività.
   3. Fai clic su Esporta log attività.
   4. Esegui le seguenti azioni per ogni abbonamento per cui è necessario esportare i log:
      1. Nel menu Abbonamento, seleziona l'abbonamento Microsoft Azure da cui vuoi esportare i log attività.
      2. Fai clic su Aggiungi impostazione di diagnostica.
      3. Inserisci un nome per l'impostazione di diagnostica.
      4. In Categorie log, seleziona Amministrativo.
      5. In Dettagli destinazione, seleziona Archivia in un account di archiviazione.
      6. Seleziona l'account di abbonamento e di archiviazione che hai creato e fai clic su Salva.

3. Per importare i log delle attività esportati dall'account di archiviazione, configura un feed nella console di Security Operations.

4. Imposta un'etichetta di importazione per il feed impostando Etichetta su CIEM e Valore su TRUE.

Passaggi successivi

• Per attivare CIEM, vedi Attivare il servizio di rilevamento CIEM.
• Per saperne di più sulle funzionalità di CIEM, vedi Panoramica di CIEM.