Azure (china)实践的case

已于 2023-09-19 18:35:48 修改
阅读量142 收藏
点赞数
文章标签: azure microsoft
于 2023-08-24 17:12:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25954259/article/details/131793372
版权

1 cn2的guardduty和cloudtrail导入到lLA中

1.1 日志导入
global azure有成熟的连接器可以用,但是china azure没有,只能通过下面未经过Azure官方认证的方式
guardduty: https://github.com/Azure/Azure-Sentinel/tree/master/DataConnectors/AWS-S3-AzureFunction
cloudtrail: https://github.com/Azure/Azure-Sentinel/tree/master/DataConnectors/AWS-CloudTrail-AzureFunction
在这里插入图片描述
1.2 规则告警
1.2.1 guardduty规则
(1)guardduty中发现中等级别的事件进行incident告警

High severity findings range between 8.9 - 7.0,
Medium 6.9 - 4.0,
Low 3.9 - 1.0.
这里将中等以上的guardduty进行incident告警:KQL如下
(2)检测暴力破解尝试
筛选出严重级别大于等于6的未授权访问事件,用于检测SSH暴力破解尝试

(3) 检测恶意IP地址
筛选出严重级别大于等于7的事件,并显示探测未保护端口的恶意IP地址和端口号。

(4)TI map IP entity to AWSCloudTrail
攻击者经常试图通过删除或停止可能显示其活动的日志集合来隐藏他们的步骤。
12.2CloudTrail规则
检测未授权的API操作(例如创建、更新和删除等操作)并返回访问被拒绝的错误
检测IAM权限变更
检测多次尝试登录失败的日志事件

2 azure的过滤器使用(transformation)

默认的MMA agent不支持
只有新的AMA Agent 创建DCR规则才支持

数据收集转换 - Azure Monitor | Azure Doc
使用 Azure Monitor 代理收集文本日志 - Azure Monitor | Azure Docs

3 Azure waf的数据导入自定义ES

https://www.elastic.co/guide/en/logstash/current/plugins-inputs-azure_event_hubs.html

Azure 事件中心功能概述 - Azure Event Hubs | Microsoft Learn

Azure Event Hubs 调研 - 知乎 (zhihu.com)

azure event hubs捕获数据:

Azure EventHubs快速入门和使用心得 - 博客猿马甲哥 - 博客园 (cnblogs.com)

https://www.liaosearch.com/archives/267.html

如何查看event hubs的数据有没有完全被logstash消费,event hubs没有提供直接的指标,但是可以在 event hub namespaces 中的metrics中查看 Sum Incoming Bytes. and Sum Outgoing Bytes,基本保持一致,则没有大量丢包情况。

设置ES索引的生命周期:
https://www.cnblogs.com/gezp/p/13427534.html

在这里插入图片描述
(1)Azure waf配置
进入到azure waf的配置页面Application gateway(不是WAF 策略页面)–》 Diagnostic settings 选择将ApplicationGatewayAccessLog转入到event hub在这里插入图片描述
(2)logstash获取
进入到Event hubs的命名空间中-》Shared access policies

复制密钥,注意最后的EntityPath为event hub的名称
Endpoint=sb://logstash.servicebus.windows.net/;SharedAccessKeyName=activity-log-read-only;SharedAccessKey=mmxxxxeg=;EntityPath=insights-operational-logs

还需要对应的Storage account–> Access keys获取密钥:
logstash配置文件如下:

input {
   azure_event_hubs {
   
      event_hub_connections => ["Exxxxxt"]
      threads => 8
      decorate_events => true
      consumer_group => "$Default"
      storage_connection => "Defauxxxxn"
   }
}

filter {
  json {
    source => "message"
    target => "data"
  }
  if [data][records] {
            split {
                field => "[data][records]"
              
            }
      }
    
}


output {
    elasticsearch {
        hosts => ["es01:9200"]
        ssl => true
        ssl_certificate_verification => true
        user => "elxxxic"
        password => "xxxx"
        cacert => '/usr/share/logstash/config/certs/ca/ca.crt'
        index => "accesslog-%{+YYYY.MM.dd}"
    }
    stdout { codec => json_lines }
    #stdout { codec => rubydebug }
}
m01ly
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
微软Azure最佳实践
09-01
本文将介绍微软Azure的最佳实践,特别针对云服务应用开发,内容涵盖编程模型、代码可移植性、开发效率、运维管理、成本扩展方式、软件发布、云服务特点和服务架构设计等方面。 编程模型方面,云时代的应用开发与...
Azure China的产品和功能
qq_45429357的博客
03-18 358
微软云产品
Azure China是真的不好用
2301_76176195的博客
01-05 202
配置改起来慢的要死,逻辑也不清楚,每天用起来简直做大牢
Azure China (1) Azure公有云落地中国
weixin_33913332的博客
03-26 234
 《Windows Azure Platform 系列文章目录》      微软公有云Microsoft Azure已经落地中国,官方网址:http://www.windowsazure.cn/。   在国内的Microsoft Azure域名不同于国外的windowsazure.com,是由世纪互联运维的。   Microsoft Azure in...
Azure China (2) Azure China管理界面初探
weixin_33985679的博客
10-03 137
 《Windows Azure Platform 系列文章目录》      首先是Q&A时间   1.我在Azure Global拥有测试账号或者免费的MSDN订阅账号,这个账号可以在国内Azure China使用吗?   回答:不可以。Microsoft Azure在国内和国外有2套系统。   (1)Azure Global。域名是www.wi...
Azure China (10) 使用Azure China SAS Token
weixin_34056162的博客
10-04 221
 《Windows Azure Platform 系列文章目录》   本文介绍的是国内由世纪互联运维的Azure China   注意:本文介绍的是Azure China Storage Private Blob,即不可以通过匿名访问   在笔者之前的文章中,我们介绍了Azure Share Access Signature,可以对设置为Priv...
China azure oauth2.0 demo
03-18
【标题】:“China Azure OAuth2.0 Demo” 【描述】:“China Azure OAuth2.0 China Azure OAuth2.0 China Azure OAuth2.0 demo 未完成版” 【标签】:“azure” “oauth2.0” “openID” 在这个项目中,我们关注...
Azure动手实践Azure动手实践
03-03
Azure动手实践Azure动手操作목표 Azure门户로능에장장단점점점점점점점점점점점 Azure CLI的PowerShell로스크립트(최대한) Terraform을용해완전완전언어사용Azure의外部LB용해및NAT NAT구성Azure의VM缩放集와外部...
Azure和Transformers的详细解释
全栈工程师
09-03 386
Transformers 通过引入注意力机制,以并行化和捕捉长距离依赖的优势克服了传统序列模型的局限,迅速成为自然语言处理领域的主流选择。通过不断的迭代和创新,Transformers 在文本、图像、音频等多模态处理任务中展现出巨大的潜力和应用前景。
Openai api via azure error: NotFoundError: 404 Resource not found
suiusoar
08-30 610
"OpenAI API通过Azure出错:NotFoundError: 404 找不到资源"
Error when attempting to add data source to Azure OpenAI api
suiusoar
09-03 623
尝试向 Azure OpenAI API 添加数据源时出现错误
Azure OpenAI Ingesion Job API returns 404 Resource not found
suiusoar
09-03 573
Azure OpenAI Ingestion Job API 返回 404 资源未找到。
C# 使用微软OFFICE库操作excel
最新发布
码猩的博客
09-03 85
【代码】C# 使用微软OFFICE库操作excel。
day2.zip
09-03
request和pytest
1、柜员基本信息维护模块,基本信息一般包括姓名、性别、联系方式、地_址、证件号码、级别等。_需要提_-.zip
09-03
1、柜员基本信息维护模块,基本信息一般包括姓名、性别、联系方式、地_址、证件号码、级别等。_需要提_-
Idea 控制台出现乱码问题的4种解决方案.docx
09-03
IntelliJ IDEA 如果不进行相关设置,可能会导致控制台中文乱码、配置文件中文乱码等问题,非常影响编码过程中进行问题追踪。本文总结了 IDEA 中常见的中文乱码解决方法。 ***********使用idea进行maven项目的编译时,控制台输出中文的时候出现乱码的情况。 ***********通常出现这样的问题,都是因为编码格式不一样导致的。既然是maven出的问题,我们在idea中查找下看可以如何设置文件编码。 搜索栏搜索“ Maven ”,在其子选项中选择“ Runner ”,在界面右侧中“ VM options ”文本框中输入以下代码: -Dfile.encoding=UTF-8 或者 -Dfile.encoding=GB2312
html+css+js网页设计 故宫10个页面 ui还原度100%
09-03
预览地址:https://blog.csdn.net/qq_42431718/article/details/141867171 html+css+js网页设计 故宫10个页面 ui还原度100%
【中科院1区】Matlab实现哈里斯鹰优化算法HHO-SAE实现故障诊断算法研究.rar
09-03
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值