Azure Blob 存储 SIEM 转发连接器

该连接器可以在云中运行。

Azure Blob 存储连接器支持将 Ivanti Neurons 审计跟踪日志导出至安全信息和事件管理 (SIEM) 系统,以增强数据分析和监控。

Ivanti Neurons 生成的审计日志会定期写入您指定的 Azure Blob 存储容器。 在该处,您的 SIEM 系统可以使用其现有管道提取数据。

为了将 Microsoft Azure 连接到 Neurons 平台,您必须首先在 Azure 门户中创建一个存储帐户或选择一个现有的存储帐户和相应的 Blob 容器。 使用账户密钥作为签名方法。 此容器存储从 Ivanti Neurons 导出的审计跟踪日志。 使用必须以适当权限生成的共享访问签名 (SAS) URL (Blob SAS URL) 授予对容器的访问权限。

首先,在 Azure 门户中创建或选择一个存储帐户和相应的 Blob 容器。 SAS URL 必须包含写入权限,并配置一个遥远的未来过期日期,以确保持续访问。 您还必须将访问限制为仅限 HTTPS 协议。

一旦生成,Blob SAS URL 将在 Neurons 平台中用于完成连接器配置。 有关生成 SAS 令牌的详细指导,请参阅 Microsoft Azure 文档中的 在 Azure 存储中使用共享访问签名 (SAS)

选项

Azure Blob 存储连接器具有以下选项:

  • 连接器名称:连接器的名称。
  • Blob 存储容器的 SAS URL:输入 Assure Blob 存储容器的 Blob SAS URL。 确保 SAS URL 为 Neurons 上传文件提供必要的写入权限。
  • 重复:Neurons 应多久将审计跟踪数据导出到 Azure Blob 存储一次。
  • 活动:启用或禁用连接器。 当处于活动状态时,它会根据定义的计划导出数据。
  • 测试连接:点击此按钮可确保 Ivanti Neurons 可以使用提供的 SAS URL 成功连接到您的 Azure Blob 存储容器。
  • 单击保存

仅当成功测试连接后,您才可以保存连接器。

在 Ivanti Neurons 开始将审计日志写入您的 Azure Blob 存储容器后,配置您的 SIEM 解决方案以从该位置提取数据。 使用特定 SIEM 平台支持的提取方法。

有关配置或使用连接器的详细信息,请参阅连接器