Streamování protokolů aktivit do centra událostí

Váš tenant Microsoft Entra vytváří velké objemy dat každou sekundu. Přihlašovací aktivita a protokoly změn provedených ve vašem tenantovi se přidávají k tolika datům, která je obtížné analyzovat. Integrace s nástroji SIEM (Security Information and Event Management) vám může pomoct získat přehled o vašem prostředí.

Tento článek ukazuje, jak můžete streamovat protokoly do centra událostí a integrovat je s jedním z několika nástrojů SIEM.

Požadavky

• Předplatné Azure. Pokud předplatné Azure nemáte, můžete si zaregistrovat bezplatnou zkušební verzi.
• Centrum událostí Azure, které je už nastavené. Informace o tom, jak vytvořit centrum událostí.
• Přístup správce zabezpečení k vytvoření obecného nastavení diagnostiky pro tenanta Microsoft Entra
• Přístup správce protokolu atributů k vytvoření nastavení diagnostiky pro vlastní protokoly atributů zabezpečení.

Streamování protokolů do centra událostí

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.

2. Přejděte do nastavení diagnostiky stavu a>monitorování identit>. Nastavení exportu můžete také vybrat na stránce Protokoly auditu nebo Přihlášení.

3. Vyberte + Přidat nastavení diagnostiky a vytvořte novou integraci nebo vyberte Upravit nastavení pro existující integraci.

4. Zadejte název nastavení diagnostiky. Pokud upravujete existující integraci, nemůžete název změnit.

5. Vyberte kategorie protokolů, které chcete streamovat.

6. Zaškrtněte políčko Stream do centra událostí.

7. Vyberte předplatné Azure, obor názvů služby Event Hubs a volitelné centrum událostí, do kterého chcete protokoly směrovat.

Předplatné i obor názvů služby Event Hubs musí být přidružené k tenantovi Microsoft Entra, ze kterého protokoly streamujete.

Jakmile budete mít centrum událostí Azure připravené, přejděte k nástroji SIEM, který chcete integrovat s protokoly aktivit. Proces je dokončen v nástroji SIEM.

V současné době podporujeme Splunk, SumoLogic a ArcSight. Začněte výběrem karty. Projděte si dokumentaci k nástroji.

Splunk

Pokud chcete tuto funkci použít, potřebujete doplněk Splunk pro cloudové služby Microsoftu.

Integrace protokolů Microsoft Entra s Splunk

1. Otevřete instanci Splunk a vyberte Souhrn dat.

   

2. Vyberte kartu Zdrojové typy a pak vyberte mscs:azure:eventhub.

   

Připojte body.records.category=AuditLogs k hledání. Protokoly aktivit Microsoft Entra se zobrazují na následujícím obrázku:

Pokud v instanci Splunk nemůžete nainstalovat doplněk (například pokud používáte proxy server nebo používáte Splunk Cloud), můžete tyto události předat kolektoru událostí SPlunk HTTP. K tomu použijte tuto funkci Azure, která se aktivuje novými zprávami v centru událostí.

SumoLogic

K použití této funkce potřebujete předplatné s povoleným jednotným přihlašováním SumoLogic.

Integrace protokolů Microsoft Entra s nástrojem SumoLogic

1. Nakonfigurujte instanci SumoLogic tak, aby shromažďuje protokoly pro ID Microsoft Entra.

2. Nainstalujte aplikaci Microsoft Entra SumoLogic tak, aby používala předkonfigurované řídicí panely, které poskytují analýzu prostředí v reálném čase.

   

ArcSight

Pokud chcete tuto funkci použít, potřebujete nakonfigurovanou instanci systému ArcSight Syslog NG Daemon SmartConnector (SmartConnector) nebo Nástroje pro vyrovnávání zatížení ArcSight. Pokud se události odesílají do Nástroje pro vyrovnávání zatížení ArcSight, odešlou se službě SmartConnector službou Load Balancer.

Stáhněte a otevřete průvodce konfigurací pro ArcSight SmartConnector pro službu Azure Monitor Event Hubs. Tato příručka obsahuje kroky potřebné k instalaci a konfiguraci nástroje ArcSight SmartConnector pro Azure Monitor.

Integrace protokolů Microsoft Entra s ArcSightem

1. Proveďte kroky v části Požadavky průvodce konfigurací ArcSightu. Tato část obsahuje následující kroky:

   • Nastavte uživatelská oprávnění v Azure, abyste zajistili, že je uživatel s rolí vlastníka pro nasazení a konfiguraci konektoru.
   • Otevřete porty na serveru pomocí nástroje Syslog NG Daemon SmartConnector, aby byl přístupný z Azure.
   • Nasazení spustí skript PowerShellu, takže musíte povolit, aby PowerShell spouštěl skripty na počítači, na kterém chcete konektor nasadit.

2. Pokud chcete konektor nasadit, postupujte podle kroků v části Nasazení konektoru v průvodci konfigurací ArcSight. Tato část vás provede stažením a extrahováním konektoru, konfigurací vlastností aplikace a spuštěním skriptu nasazení z extrahované složky.

3. Pomocí kroků v části Ověření nasazení v Azure se ujistěte, že je konektor správně nastavený a funguje. Ověřte následující požadavky:

   • Požadované funkce Azure se vytvoří ve vašem předplatném Azure.
   • Protokoly Microsoft Entra se streamují do správného cíle.
   • Nastavení aplikace z vašeho nasazení se uchovávají v nastavení aplikace v aplikacích Azure Function Apps.
   • V Azure se vytvoří nová skupina prostředků s aplikací Microsoft Entra pro konektor ArcSight a účty úložiště obsahující mapované soubory ve formátu CEF.

4. Dokončete kroky po nasazení v konfiguraci po nasazení průvodce konfigurací ArcSight. Tato část vysvětluje, jak provést jinou konfiguraci, pokud používáte plán služby App Service, abyste zabránili tomu, aby aplikace funkcí po uplynutí časového limitu nečinně neproběhly, nakonfigurujte streamování protokolů prostředků z centra událostí a aktualizujte certifikát úložiště klíčů SysLog NG Daemon SmartConnector tak, aby se přidružil k nově vytvořenému účtu úložiště.

5. Průvodce konfigurací také vysvětluje, jak přizpůsobit vlastnosti konektoru v Azure a jak upgradovat a odinstalovat konektor. K dispozici je také část o vylepšení výkonu, včetně upgradu na plán Azure Consumption a konfigurace Load Balanceru ArcSight, pokud je zatížení událostí větší než to, co dokáže zpracovat jeden démon Syslog NG SmartConnector.

Možnosti integrace protokolu aktivit a důležité informace

Pokud váš aktuální siEM ještě není v diagnostice služby Azure Monitor podporovaný, můžete pomocí rozhraní API služby Event Hubs nastavit vlastní nástroje . Další informace najdete v tématu Začínáme s přijímáním zpráv z centra událostí.

IBM QRadar je další možností integrace s protokoly aktivit Microsoft Entra. DsM a protokol Azure Event Hubs jsou k dispozici ke stažení na podporu IBM. Další informace o integraci s Azure najdete na webu IBM QRadar Security Intelligence Platform 7.3.0.

Některé kategorie přihlašování obsahují velké objemy dat protokolu v závislosti na konfiguraci vašeho tenanta. Obecně platí, že neinteraktivní přihlášení uživatelů a instanční objekty můžou být 5 až 10krát větší než interaktivní přihlášení uživatelů.

Další kroky

• Analýza protokolů aktivit Microsoft Entra pomocí protokolů služby Azure Monitor
• Použití Microsoft Graphu pro přístup k protokolům aktivit Microsoft Entra