As detecções selecionadas, a investigação de ameaças e os recursos de gerenciamento de direitos de infraestrutura de nuvem (CIEM, na sigla em inglês) do Security Command Center para o Microsoft Azure exigem a ingestão de registros do Microsoft Azure usando o pipeline de ingestão do console de operações de segurança. Os tipos de registros do Microsoft Azure necessários para a ingestão variam de acordo com o que você está configurando:
- A CIEM exige dados do tipo de registro "Serviços de nuvem do Azure" (AZURE_ACTIVITY).
- As detecções selecionadas exigem dados de vários tipos de registros. Para saber mais sobre os diferentes tipos de registros do Microsoft Azure, consulte Dispositivos compatíveis e tipos de registros necessários.
Detecções selecionadas
As detecções selecionadas no nível Enterprise do Security Command Center ajudam a identificar ameaças em ambientes do Microsoft Azure usando dados de eventos e de contexto.
Esses conjuntos de regras exigem os seguintes dados para funcionar conforme o esperado. É necessário ingerir dados do Azure de cada uma dessas fontes para ter a cobertura máxima de regras.
- Serviços de nuvem do Azure
- ID do Microsoft Entra, antes Azure Active Directory
- Registros de auditoria do ID do Microsoft Entra, antes registros de auditoria do Azure AD
- Microsoft Defender para Nuvem
- Atividade da API Microsoft Graph
Para mais informações, consulte o seguinte na documentação do Google SecOps:
Dispositivos compatíveis e tipos de registros necessários para o Azure: informações sobre os dados exigidos por cada conjunto de regras.
Ingerir dados do Azure e do Microsoft Entra ID: etapas para coletar dados de registro do Azure e do Microsoft Entra ID.
Detecções selecionadas para dados do Azure: resumo dos conjuntos de regras do Azure nas detecções selecionadas da categoria "Ameaças na nuvem".
Use detecções selecionadas para identificar ameaças: como usar detecções selecionadas no Google SecOps.
Para informações sobre o tipo de dados de registro que os clientes do Security Command Center Enterprise podem ingerir diretamente no locatário do Google SecOps, consulte Coleta de dados de registro do Google SecOps.
Configurar a ingestão de registros do Microsoft Azure para CIEM
Para gerar descobertas de CIEM no seu ambiente do Microsoft Azure, os recursos de CIEM precisam de dados dos registros de atividades do Azure para cada assinatura do Azure que precisa ser analisada.
Para configurar a ingestão de registros do Microsoft Azure para CIEM, faça o seguinte:
- Para exportar os registros de atividades das suas assinaturas do Azure, configure uma conta de armazenamento do Microsoft Azure.
Configure o registro de atividades do Azure:
- No console do Azure, pesquise Monitor.
- No painel de navegação à esquerda, clique no link Registro de atividades.
- Clique em Exportar registros de atividade.
- Faça o seguinte para cada assinatura em que os registros precisam ser exportados:
- No menu assinatura, selecione a assinatura do Microsoft Azure de que você quer exportar os registros de atividades.
- Clique em Adicionar configuração de diagnóstico.
- Insira um nome para a configuração de diagnóstico.
- Em Categorias de registros, selecione Administrativo.
- Em Detalhes do destino, selecione Arquivar em uma conta de armazenamento.
- Selecione a assinatura e a conta de armazenamento que você criou e clique em Salvar.
Para ingerir os registros de atividades exportados da conta de armazenamento, configure um feed no console das Operações de segurança.
Defina um rótulo de ingestão para o feed definindo Rótulo como
CIEMe Valor comoTRUE.
A seguir
- Para ativar a CIEM, consulte Ativar o serviço de detecção de CIEM.
- Para saber mais sobre os recursos da CIEM, consulte Visão geral da CIEM.