Se connecter à Microsoft Azure pour collecter des données de journal

Les détections sélectionnées, l'investigation des menaces et les fonctionnalités de gestion des droits d'accès à l'infrastructure cloud (CIEM, Cloud Infrastructure Entitlement Management) de Security Command Center pour Microsoft Azure nécessitent l'ingestion des journaux Microsoft Azure à l'aide du pipeline d'ingestion de la console Security Operations. Les types de journaux Microsoft Azure requis pour l'ingestion varient en fonction de ce que vous configurez:

  • Le CIEM nécessite des données du type de journal Azure Cloud Services (AZURE_ACTIVITY).
  • Les détections sélectionnées nécessitent des données provenant de plusieurs types de journaux. Pour en savoir plus sur les différents types de journaux Microsoft Azure, consultez la section Appareils compatibles et types de journaux requis.

Détections sélectionnées

Les détections sélectionnées du niveau Enterprise de Security Command Center aident à identifier les menaces dans les environnements Microsoft Azure à l'aide de données d'événement et de contexte.

Pour fonctionner comme prévu, ces ensembles de règles nécessitent les données suivantes. Vous devez ingérer des données Azure à partir de chacune de ces sources de données pour bénéficier d'une couverture maximale des règles.

Pour en savoir plus, consultez les éléments suivants dans la documentation Google SecOps:

Pour en savoir plus sur le type de données de journal que les clients disposant de Security Command Center Enterprise peuvent ingérer directement dans le locataire Google SecOps, consultez la section Collecte des données de journal Google SecOps.

Configurer l'ingestion de journaux Microsoft Azure pour CIEM

Pour générer des résultats CIEM pour votre environnement Microsoft Azure, les fonctionnalités CIEM nécessitent des données issues des journaux d'activité Azure pour chaque abonnement Azure à analyser.

Pour configurer l'ingestion de journaux Microsoft Azure pour CIEM, procédez comme suit:

  1. Pour exporter les journaux d'activité de vos abonnements Azure, configurez un compte de stockage Microsoft Azure.

  2. Configurez la journalisation des activités Azure:

    1. Dans la console Azure, recherchez Monitor (Surveillance).
    2. Dans le volet de navigation de gauche, cliquez sur le lien Journal d'activité.
    3. Cliquez sur Exporter les journaux d'activité.
    4. Effectuez les actions suivantes pour chaque abonnement pour lequel des journaux doivent être exportés :
      1. Dans le menu Abonnement, sélectionnez l'abonnement Microsoft Azure à partir duquel vous souhaitez exporter les journaux d'activité.
      2. Cliquez sur Ajouter un paramètre de diagnostic.
      3. Attribuez un nom au paramètre de diagnostic.
      4. Dans Catégories de journaux, sélectionnez Administratif.
      5. Dans Détails de la destination, sélectionnez Archiver dans un compte de stockage.
      6. Sélectionnez l'abonnement et le compte de stockage que vous avez créés, puis cliquez sur Enregistrer.

  3. Pour ingérer les journaux d'activité exportés à partir du compte de stockage, configurez un flux dans la console Security Operations.

  4. Définissez un libellé d'ingestion pour le flux en définissant Libellé sur CIEM et Valeur sur TRUE.

Étape suivante