如要使用 Security Command Center 策劃的偵測、威脅調查和 Microsoft Azure 適用的 Cloud Infrastructure Entitlement Management (CIEM) 功能,必須使用 Security Operations 控制台的擷取管道,擷取 Microsoft Azure 記錄。根據您設定的項目,擷取作業所需的 Microsoft Azure 記錄類型會有所不同:
- CIEM 需要 Azure Cloud Services (AZURE_ACTIVITY) 記錄類型的資料。
- 如要取得精選偵測結果,必須提供多種記錄類型資料。 如要進一步瞭解不同的 Microsoft Azure 記錄類型,請參閱「支援的裝置和必要記錄類型」。
精選偵測項目
Security Command Center Enterprise 級的精選偵測功能,可使用事件和內容資料,協助找出 Microsoft Azure 環境中的威脅。
這些規則集需要下列資料才能正常運作。您必須從每個資料來源擷取 Azure 資料,才能獲得最大的規則涵蓋範圍。
- Azure 雲端服務
- Microsoft Entra ID (原稱 Azure Active Directory)
- Microsoft Entra ID 稽核記錄 (原稱 Azure AD 稽核記錄)
- Microsoft Defender for Cloud
- Microsoft Graph API 活動
詳情請參閱 Google SecOps 說明文件中的下列內容:
Azure 支援的裝置和必要記錄類型:各規則集所需的資料相關資訊。
擷取 Azure 和 Microsoft Entra ID 資料:收集 Azure 和 Microsoft Entra ID 記錄資料的步驟。
Azure 資料的精選偵測項目:Cloud Threats Category 精選偵測項目中 Azure 規則集的摘要。
使用精選偵測功能找出威脅:瞭解如何在 Google SecOps 中使用精選偵測功能。
如要瞭解 Security Command Center Enterprise 客戶可直接擷取至 Google SecOps 租戶的記錄資料類型,請參閱「Google SecOps 記錄資料收集」。
設定 Microsoft Azure 記錄檔擷取功能,以便使用 CIEM
如要為 Microsoft Azure 環境產生 CIEM 發現項目,CIEM 功能需要分析每個 Azure 訂閱項目的 Azure 活動記錄資料。
如要設定 Microsoft Azure 記錄檔擷取功能,以便使用 CIEM,請按照下列步驟操作:
- 如要匯出 Azure 訂用帳戶的活動記錄,請設定 Microsoft Azure 儲存體帳戶。
設定 Azure 活動記錄:
- 在 Azure 控制台中,搜尋「Monitor」。
- 按一下左側導覽窗格中的「活動記錄」連結。
- 按一下「匯出活動記錄」。
- 針對需要匯出記錄的每個訂閱項目,執行下列動作:
- 在「訂閱」選單中,選取要匯出活動記錄的 Microsoft Azure 訂閱項目。
- 按一下「新增診斷設定」。
- 輸入診斷設定的名稱。
- 在「記錄類別」中,選取「管理」。
- 在「目的地詳細資料」中,選取「封存至儲存空間帳戶」。
- 選取您建立的訂閱項目和儲存空間帳戶,然後按一下「儲存」。
如要從儲存體帳戶擷取匯出的活動記錄,請在 Security Operations 控制台中設定動態饋給。
將「Label」(標籤) 設為
CIEM,並將「Value」(值) 設為TRUE,即可為動態饋給設定「Ingestion label」(擷取標籤)。
後續步驟
- 如要啟用 CIEM,請參閱「啟用 CIEM 偵測服務」。
- 如要進一步瞭解 CIEM 功能,請參閱 CIEM 總覽。