Catégorie : Securite

Azure – Azure Cli Principales Commandes

Bonjour,

Aujourd’hui dans cette article nous allons voir ensemble principales commandes pour débuter avec Azure CLI :

azure config mode arm
azure location list
azure group create -n "testRG" -l "West US"
azure group deployment create testRG testRGDeploy --template-uri https://raw.githubusercontent.com/Azure/azure-quickstart-templates/master/101-vm-simple-linux/azuredeploy.json
azure resource show testRG MyUbuntuVM Microsoft.Compute/virtualMachines -o "2015-06-15"

Merci pour votre lecture.

Maxime.

Azure – SIEM IBM QRadar

Salut !,

Au sein de cette article, je vais vous exposer comment vous pouvez configurer votre solution SIEM IBM QRadar afin de récupérer les journaux de vos différentes machines virtuelles Azure.

IBM QRadar est un Security Information and Event Management, pour faire court et simple une solution de corrélation de vos journaux d’événements (Produits par vos serveurs, équipements réseaux, applications, etc …) et de vos flux réseaux. Ceci afin de détecter des comportements pouvant être suspicieux au sein de votre système d’information.

highlevelarchazlog

Depuis la version QRadar 7.2.8, un connecteur (DSM : Device Support Module) est directement inclus dans votre version : DSM-MicrosoftAzure-QRadar_version-build_number.noarch.rpm .

Avec ce connecteur vous pouvez nativement récupérer les logs des services Azure suivants:

  • Authorization
  • Classic Compute
  • Classic Storage
  • Compute
  • Insights
  • KeyVault
  • SQL
  • Storage

Pour mettre en place ce « setup » de configurations, je vous invite à suivre les 2 étapes suivantes :

  1. Vérifier que votre plateforme QRadar est bien à jour et que votre installation comporte bien les deux fichiers RPMs suivants : « DSMCommon » et « Microsoft Azure DSM »
  2. On configurer le service : « Microsoft Azure Log Integration » afin de d’envoyer les logs via syslog vers QRadar (Dans un scénario de production, je vous recommande d’utiliser que du TLS-Syslog).

Ci-dessous un exemple de log, que vous pouvez recevoir au sein de votre plateforme IBM QRadar .

LEEF:1.0|Microsoft|Azure Resource Manager|1.0|MICROSOFT.CLASSICCOMPUTE/VIRTUALMACHINES/RESTART/ACTION|devTime=Jun 07 2016 17:04:26 devTimeFormat=MMM dd yyyy HH:mm:ss cat=Compute src= 10.0.0.2 usrName =erica@example.com sev=4 resource= testvm resourceGroup=Test Resource Group description =Restart a Virtual Machine