Verbindung mit Microsoft Azure für die Erfassung von Protokolldaten herstellen

Für die von Security Command Center kuratierten Erkennungen, die Untersuchung von Bedrohungen und die CIEM-Funktionen (Cloud Infrastructure Entitlement Management) für Microsoft Azure müssen Microsoft Azure-Logs über die Erfassungs-Pipeline der Security Operations-Konsole aufgenommen werden. Die für die Aufnahme erforderlichen Microsoft Azure-Logtypen hängen davon ab, was Sie konfigurieren:

• Für CIEM sind Daten vom Logtyp „Azure Cloud Services“ (AZURE_ACTIVITY) erforderlich.
• Für kuratierte Erkennungen sind Daten aus mehreren Logtypen erforderlich. Weitere Informationen zu den verschiedenen Microsoft Azure-Logtypen finden Sie unter Unterstützte Geräte und erforderliche Logtypen.

Ausgewählte Erkennungen

Mit den kuratierten Erkennungen in der Enterprise-Stufe von Security Command Center lassen sich Bedrohungen in Microsoft Azure-Umgebungen anhand von Ereignis- und Kontextdaten erkennen.

Für diese Regelsätze sind die folgenden Daten erforderlich, damit sie wie vorgesehen funktionieren. Sie müssen Azure-Daten aus jeder dieser Datenquellen aufnehmen, um eine maximale Regelabdeckung zu erreichen.

• Azure-Clouddienste
• Microsoft Entra ID (früher Azure Active Directory)
• Microsoft Entra ID-Audit-Logs (früher Azure AD-Audit-Logs)
• Microsoft Defender for Cloud
• Microsoft Graph API Activity

Weitere Informationen finden Sie in der Google SecOps-Dokumentation:

• Unterstützte Geräte und erforderliche Protokolltypen für Azure: Informationen zu den Daten, die für die einzelnen Regelsätze erforderlich sind.

• Azure- und Microsoft Entra ID-Daten aufnehmen: Schritte zum Erfassen von Azure- und Microsoft Entra ID-Protokolldaten.

• Abgestimmte Erkennungen für Azure-Daten: Zusammenfassung der Azure-Regelsätze in den abgestimmten Erkennungen der Kategorie „Cloud-Bedrohungen“.

• Kuratierte Erkennungen zum Identifizieren von Bedrohungen verwenden: Hier erfahren Sie, wie Sie kuratierte Erkennungen in Google SecOps verwenden.

Informationen dazu, welche Art von Logdaten Kunden mit Security Command Center Enterprise direkt in den Google SecOps-Mandanten aufnehmen können, finden Sie unter Erhebung von Google SecOps-Logdaten.

Microsoft Azure-Logaufnahme für CIEM konfigurieren

Um CIEM-Ergebnisse für Ihre Microsoft Azure-Umgebung zu generieren, sind für die CIEM-Funktionen Daten aus Azure-Aktivitätsprotokollen für jedes zu analysierende Azure-Abo erforderlich.

So konfigurieren Sie die Microsoft Azure-Logaufnahme für CIEM:

1. Wenn Sie Aktivitätsprotokolle für Ihre Azure-Abos exportieren möchten, konfigurieren Sie ein Microsoft Azure-Speicherkonto.

2. Azure-Aktivitätsprotokollierung konfigurieren:

   1. Suchen Sie in der Azure-Konsole nach Monitor.
   2. Klicken Sie im linken Navigationsbereich auf den Link Aktivitätsprotokoll.
   3. Klicken Sie auf Aktivitätsprotokolle exportieren.
   4. Führen Sie die folgenden Schritte für jedes Abo aus, für das Logs exportiert werden müssen:
      1. Wählen Sie im Menü Abo das Microsoft Azure-Abo aus, aus dem Sie Aktivitätsprotokolle exportieren möchten.
      2. Klicken Sie auf Diagnoseeinstellung hinzufügen.
      3. Geben Sie einen Namen für die Diagnoseeinstellung ein.
      4. Wählen Sie unter Logkategorien die Option Administrativ aus.
      5. Wählen Sie unter Zieldetails die Option In einem Speicherkonto archivieren aus.
      6. Wählen Sie das von Ihnen erstellte Abo und Speicherkonto aus und klicken Sie auf Speichern.

3. Wenn Sie exportierte Aktivitätslogs aus dem Speicherkonto aufnehmen möchten, konfigurieren Sie einen Feed in der Security Operations Console.

4. Legen Sie ein Aufnahmelabel für den Feed fest, indem Sie Label auf CIEM und Wert auf TRUE setzen.

Nächste Schritte

• Informationen zum Aktivieren von CIEM finden Sie unter CIEM-Erkennungsdienst aktivieren.
• Weitere Informationen zu CIEM-Funktionen finden Sie unter Übersicht über CIEM.