As detecções selecionadas do Security Command Center, a investigação de ameaças e os recursos de gerenciamento de direitos de acesso à infraestrutura de nuvem (CIEM, na sigla em inglês) para o Microsoft Azure exigem a ingestão de registros do Microsoft Azure usando o pipeline de ingestão do console de operações de segurança. Os tipos de registro do Microsoft Azure necessários para a transferência diferem com base no que você está configurando:
- O CIEM exige dados do tipo de registro Azure Cloud Services (AZURE_ACTIVITY).
- As detecções selecionadas exigem dados de vários tipos de registro. Para saber mais sobre os diferentes tipos de registro do Microsoft Azure, consulte Dispositivos compatíveis e tipos de registro necessários.
Detecções selecionadas
As detecções selecionadas no nível Enterprise do Security Command Center ajudam a identificar ameaças em ambientes do Microsoft Azure usando dados de eventos e contexto.
Esses conjuntos de regras exigem os dados a seguir para funcionarem conforme o esperado. É necessário transferir os dados do Azure de cada uma dessas fontes para ter a cobertura máxima de regras.
- Serviços de nuvem do Azure
- ID do Microsoft Entra, antigo Azure Active Directory
- Registros de auditoria do ID do Microsoft Entra, antes registros de auditoria do Azure AD
- Microsoft Defender para Nuvem
- Atividade da API Microsoft Graph
Para mais informações, consulte o seguinte na documentação do Google SecOps:
Dispositivos com suporte e tipos de registro obrigatórios para o Azure: informações sobre os dados exigidos por cada conjunto de regras.
Ingerir dados do Azure e do Microsoft Entra ID: etapas para coletar dados de registro do Azure e do Microsoft Entra ID.
Deteções selecionadas para dados do Azure: resumo dos conjuntos de regras do Azure nas detecções selecionadas da categoria Ameaças à nuvem.
Use detecções selecionadas para identificar ameaças: saiba como usar detecções selecionadas no Google SecOps.
Para informações sobre o tipo de dados de registro que os clientes do Security Command Center Enterprise podem ingerir diretamente no locatário do Google SecOps, consulte Coleção de dados de registro do Google SecOps.
Configurar a ingestão de registros do Microsoft Azure para CIEM
Para gerar descobertas de CIEM no seu ambiente do Microsoft Azure, os recursos de CIEM exigem dados dos registros de atividade do Azure para cada assinatura do Azure que precisa ser analisada.
Para configurar a ingestão de registros do Microsoft Azure para CIEM, faça o seguinte:
- Para exportar registros de atividades das suas assinaturas do Azure, configure uma conta de armazenamento do Microsoft Azure.
Configure o registro de atividades do Azure:
- No console do Azure, pesquise Monitor.
- No painel de navegação à esquerda, clique no link Registro de atividades.
- Clique em Exportar registros de atividade.
- Realize as seguintes ações para cada assinatura que precisa exportar registros:
- No menu subscription, selecione a assinatura do Microsoft Azure de que você quer exportar os registros de atividade.
- Clique em Adicionar configuração de diagnóstico.
- Insira um nome para a configuração de diagnóstico.
- Em Categorias de registro, selecione Administrativo.
- Em Detalhes do destino, selecione Arquivar em uma conta de armazenamento.
- Selecione a assinatura e a conta de armazenamento que você criou e clique em Salvar.
Para importar os registros de atividades exportados da conta de armazenamento, configure um feed no console das Operações de segurança.
Defina um rótulo de ingestão para o feed definindo Rótulo como
CIEMe Valor comoTRUE.
A seguir
- Para ativar o CIEM, consulte Ativar o serviço de detecção do CIEM.
- Para saber mais sobre os recursos do CIEM, consulte Visão geral do CIEM.