Azure Storage への警告のエクスポート
はじめに
出力の種類 blobstorage は、Azure Storage バケット内の個々のファイルに警告を送信します。センサーは、十分な権限がある限り、任意で対象のバケットを 1つまたは複数作成できます。
この出力の種類は、耐久性のあるストアで警告を簡単にアーカイブするために一般的に使用されます。また、Blob ストレージへの書き込みイベントが、受信警告を処理するクラウド機能をトリガーするクラウド環境で、ETL プロセスのトリガーとして使用することもできます。この時点で、警告を強化、変換して、必要に応じて他のシステムに送信することができます。
Azure ストレージの設定
Azure ストレージで特定の設定は必要ありません。ストレージアカウントは、バケットを作成または変更して警告を書き込む場所に設定する必要があります。書き込み権限のあるアカウントキーも使用できる必要があります。このキーは、Azure Storage ヘルプデスクからリクエストできます。
| Key | Env Variable | Required | Description |
azure_account_name | AZURE_ACCOUNT_NAME | yes | The name of the Azure storage account. |
azure_account_key | AZURE_ACCOUNT_KEY | yes / no | An account key that has permissions to write to the blob container. |
azure_sas_token | AZURE_SAS_TOKEN | no | An optional SAS token which can be used. |
Sophos Linux Sensor の設定
Sophos Linux Sensor の設定は、runtimefisments-rules.yaml で指定します。
alert_output:
outputs:
- type: blobstorage
enabled: true
bucket_name: sophos-alerts
provider: azure
azure_account_name: <account-name>
azure_account_key: <account-key>
azure_sas_token: <sas-token>
| キー | 必須 | 説明 |
|---|---|---|
type | はい | 出力の種類。 |
enabled | はい | 出力を有効または無効にします。 |
provider | はい | クラウドプロバイダ名。 |
bucket_name | はい | 書き込み先バケットの名前。 |
create_bucket | いいえ | バケットの作成を有効または無効にします。デフォルトは False です。 |
注
create_bucket が有効化されており、バケットが既に存在する場合、基になる Azure ライブラリによって、起動時に HTTP 409 エラーメッセージが表示されることがあるという既知の問題があります。これは予期されるエラーであり、無視できます。