Security Command Center 针对 Microsoft Azure 的精选检测、威胁调查和云基础设施授权管理 (CIEM) 功能需要使用安全运维控制台注入流水线注入 Microsoft Azure 日志。注入所需的 Microsoft Azure 日志类型因您配置的内容而异:
- CIEM 需要来自 Azure 云服务 (AZURE_ACTIVITY) 日志类型的数据。
- 精选检测需要来自多种日志类型的数据。如需详细了解不同的 Microsoft Azure 日志类型,请参阅支持的设备和所需的日志类型。
精选检测
Security Command Center Enterprise 层级中的精选检测有助于使用事件和情境数据识别 Microsoft Azure 环境中的威胁。
这些规则集需要以下数据才能按设计运行。您必须从其中每个数据源注入 Azure 数据,以覆盖尽可能多的规则。
- Azure 云服务
- Microsoft Entra ID(以前称为 Azure Active Directory)
- Microsoft Entra ID 审核日志(以前称为 Azure AD 审核日志)
- Microsoft Defender for Cloud
- Microsoft Graph API 活动
如需了解详情,请参阅 Google SecOps 文档中的以下内容:
支持的设备和 Azure 所需的日志类型:有关每个规则集所需数据的信息。
注入 Azure 和 Microsoft Entra ID 数据:收集 Azure 和 Microsoft Entra ID 日志数据的步骤。
针对 Azure 数据的精选检测:云威胁类别精选检测中的 Azure 规则集摘要。
使用精选检测来识别威胁:在 Google SecOps 中使用精选检测的方式。
如需了解 Security Command Center Enterprise 客户可以直接注入到 Google SecOps 租户的日志数据类型,请参阅 Google SecOps 日志数据收集。
为 CIEM 配置 Microsoft Azure 日志注入
如需为 Microsoft Azure 环境生成 CIEM 发现结果,CIEM 功能需要从需要分析的每个 Azure 订阅的 Azure 活动日志中获取数据。
如需为 CIEM 配置 Microsoft Azure 日志注入,请执行以下操作:
- 如需导出 Azure 订阅的活动日志,请配置 Microsoft Azure 存储账号。
配置 Azure 活动日志记录:
- 在 Azure 控制台中,搜索监控。
- 在左侧导航窗格中,点击活动日志链接。
- 点击导出活动日志。
- 针对需要导出日志的每个订阅,执行以下操作:
- 在订阅菜单中,选择要导出活动日志的 Microsoft Azure 订阅。
- 点击添加诊断设置。
- 为诊断设置输入名称。
- 在日志类别中,选择管理。
- 在目标详细信息下,选择归档到存储账号。
- 选择您创建的订阅和存储账号,然后点击保存。
如需从存储账号中注入已导出的活动日志,请在安全运维控制台中配置 Feed。
为 Feed 设置注入标签,方法是将标签设置为
CIEM,将值设置为TRUE。
后续步骤
- 如需启用 CIEM,请参阅启用 CIEM 检测服务。
- 如需详细了解 CIEM 功能,请参阅 CIEM 概览。