Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

חיבור ל-Microsoft Azure לאיסוף נתוני יומן

כדי להשתמש ביכולות של Security Command Center לזיהוי איומים, לחקירת איומים ולניהול הרשאות בתשתית ענן (CIEM) ב-Microsoft Azure, צריך להטמיע יומנים של Microsoft Azure באמצעות צינור ההטמעה של מסוף Security Operations. סוגי היומנים של Microsoft Azure שנדרשים להעברה משתנים בהתאם למה שמגדירים:

CIEM דורש נתונים מסוג היומן Azure Cloud Services‏ (AZURE_ACTIVITY).
גלאים מוכנים מראש דורשים נתונים מכמה סוגים של יומנים. מידע נוסף על סוגי היומנים השונים של Microsoft Azure זמין במאמר מכשירים נתמכים וסוגי יומנים נדרשים.

גלאים מוכנים מראש

גלאים מוכנים מראש ברמת Enterprise של Security Command Center עוזרים לזהות איומים בסביבות של Microsoft Azure באמצעות נתונים של אירועים ונתוני הקשר.

כדי שקבוצות הכללים האלה יפעלו כמו שצריך, צריך את הנתונים הבאים. כדי לקבל כיסוי מקסימלי של הכללים, צריך להטמיע נתונים של Azure מכל אחד ממקורות הנתונים האלה.

שירותי ענן של Azure
‫Microsoft Entra ID, שנקרא בעבר Azure Active Directory
יומני ביקורת של Microsoft Entra ID, שנקראו בעבר יומני ביקורת של Azure AD
‫Microsoft Defender ל-Cloud
פעילות ב-Microsoft Graph API

מידע נוסף זמין במאמרים הבאים במסמכי התיעוד של Google SecOps:

מכשירים נתמכים וסוגי יומנים שנדרשים ל-Azure: מידע על הנתונים שנדרשים לכל קבוצת כללים.
הוספת נתונים מ-Azure ומ-Microsoft Entra ID ויצירת פיד של Azure Event Hub: שלבים לאיסוף נתוני יומן מ-Azure ומ-Microsoft Entra ID.
זיהויים שנאספו לנתוני Azure: סיכום של קבוצות הכללים של Azure בזיהויים שנאספו בקטגוריה Cloud Threats.
שימוש בגלאים מוכנים מראש כדי לזהות איומים: איך משתמשים בגלאים מוכנים מראש ב-Google SecOps.

מידע על סוג נתוני היומן שלקוחות עם Security Command Center Enterprise יכולים להעביר ישירות לדייר Google SecOps זמין במאמר איסוף נתוני יומן של Google SecOps.

הגדרת הטמעה של יומנים מ-Microsoft Azure עבור CIEM

כדי ליצור ממצאי CIEM בסביבת Microsoft Azure, יכולות ה-CIEM צריכות נתונים מיומני הפעילות של Azure לכל מינוי Azure או קבוצת ניהול שצריך לנתח.

לפני שמתחילים

כדי לייצא את יומני הפעילות של המינויים או קבוצות הניהול ב-Azure, צריך להגדיר חשבון אחסון ב-Microsoft Azure.

הגדרת הטמעה של יומנים ב-Microsoft Azure לקבוצות ניהול

כדי להגדיר רישום פעילות ב-Azure לקבוצות ניהול, משתמשים ב-Management group API.

הערה: אי אפשר להגדיר את הגדרות האבחון לקבוצות ניהול בפורטל Microsoft Azure.
כדי להטמיע יומני פעילות שיוצאו מחשבון האחסון, מגדירים פיד במסוף Security Operations.
מגדירים תווית להעברת נתונים לפיד על ידי הגדרת תווית כ-CIEM וערך כ-TRUE.

הגדרת הטמעה של יומנים מ-Microsoft Azure למינויים

כדי להגדיר רישום של פעילות ב-Azure עבור מינויים:
1. במסוף Azure, מחפשים את Monitor.
2. בחלונית הניווט הימנית, לוחצים על הקישור יומן פעילות.
3. לוחצים על ייצוא יומני פעילות.
4. מבצעים את הפעולות הבאות לכל מינוי או קבוצת ניהול שרוצים לייצא את היומנים שלהם:
  1. בתפריט subscription (מינוי), בוחרים את המינוי ל-Microsoft Azure שממנו רוצים לייצא את יומני הפעילות.
  2. לוחצים על הוספת הגדרת אבחון.
  3. מזינים שם להגדרת האבחון.
  4. בקטע Log categories (קטגוריות של יומנים), בוחרים באפשרות Administrative (ניהול).
  5. בקטע פרטי יעד, בוחרים באפשרות העברה לארכיון בחשבון אחסון.
  6. בוחרים את המינוי ואת חשבון האחסון שיצרתם ולוחצים על שמירה.
כדי להטמיע יומני פעילות שיוצאו מחשבון האחסון, מגדירים פיד במסוף Security Operations.
מגדירים תווית להעברת נתונים לפיד על ידי הגדרת תווית כ-CIEM וערך כ-TRUE.

המאמרים הבאים

כדי להפעיל את CIEM, צריך לעיין במאמר בנושא הפעלת שירות הזיהוי של CIEM.
סקירה כללית על CIEM