Come trasmettere i log delle attività a un hub eventi

Il tenant di Microsoft Entra produce grandi quantità di dati ogni secondo. Le attività di accesso e i log delle modifiche apportate nel tenant si accumulano a tal punto da rendere difficile l'analisi. L'integrazione con gli strumenti SIEM (Security Information and Event Management) consente di ottenere informazioni dettagliate sull'ambiente.

Questo articolo illustra come trasmettere i log a un hub eventi per l'integrazione con uno dei diversi strumenti SIEM.

Prerequisiti

• Una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, è possibile iscriversi per ottenere una versione di valutazione gratuita.
• Hub eventi Azure già configurato. Leggere le informazioni su come creare un hub eventi.
• Accesso Amministratore della sicurezza per creare impostazioni di diagnostica generali per il tenant di Microsoft Entra.
• Concedi l'accesso come Amministratore del registro degli attributi per creare impostazioni di diagnostica per i log dei attributi di sicurezza personalizzati.

Trasmettere i log a un hub degli eventi

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore della sicurezza.

2. Passare a Identità>Monitoraggio e integrità>Impostazioni diagnostiche. Puoi anche selezionare Esporta impostazioni dalle pagine Log di audit o Accessi.

3. Selezionare + Aggiungi impostazione di diagnostica per creare una nuova integrazione o selezionare Modifica impostazione per un'integrazione esistente.

4. Immettere un nome di impostazione di diagnostica. Se si modifica un'integrazione esistente, non è possibile modificare il nome.

5. Selezionare le categorie di log da trasmettere.

6. Selezionare la casella di controllo Inoltra a un hub eventi.

7. Selezionare la sottoscrizione di Azure, lo spazio dei nomi di Hub Eventi e, facoltativamente, l'hub di eventi in cui desideri instradare i log.

Sia la sottoscrizione che lo spazio dei nomi di Hub Eventi devono essere associati al tenant di Microsoft Entra da cui vengono trasmessi i log.

Dopo aver pronto l'hub eventi di Azure, passare allo strumento SIEM che si vuole integrare con i log attività. Il processo viene completato nello strumento SIEM.

Attualmente sono supportati Splunk, SumoLogic e ArcSight. Selezionare una scheda per iniziare. Fare riferimento alla documentazione dello strumento.

Splunk

Per usare questa funzionalità, è necessario il componente aggiuntivo Splunk per Microsoft Servizi cloud.

Integrare i log di Microsoft Entra con Splunk

1. Apri l'istanza di Splunk e seleziona Riepilogo Dati.

   

2. Selezionare la scheda Tipi di origine e quindi selezionare mscs:azure:eventhub

   

Aggiungere body.records.category=AuditLogs alla ricerca. I log di attività di Microsoft Entra vengono visualizzati nella figura seguente:

Se non è possibile installare un componente aggiuntivo nell'istanza di Splunk (ad esempio, se si usa un proxy o Splunk Cloud), è possibile inoltrare questi eventi all'agente di raccolta di eventi Splunk HTTP. A tale scopo, usare questa funzione di Azure, che viene attivata dai nuovi messaggi nell'hub eventi.

SumoLogic

Per usare questa funzionalità, è necessaria una sottoscrizione di SumoLogic abilitata per l'accesso Single Sign-On.

Integrare i log di Microsoft Entra con SumoLogic

1. Configurare l'istanza di SumoLogic per raccogliere i log per Microsoft Entra ID.

2. Installare l'app SumoLogic di Azure AD per usare i dashboard preconfigurati che forniscono un'analisi in tempo reale dell'ambiente.

   

ArcSight

Per utilizzare questa funzionalità, è necessaria un'istanza configurata di ArcSight Syslog NG Daemon SmartConnector (SmartConnector) o ArcSight Load Balancer. Se gli eventi vengono inviati ad ArcSight Load Balancer, questi vengono inviati di conseguenza allo SmartConnector da parte del Load Balancer.

Scaricare e aprire la Guida alla configurazione di ArcSight SmartConnector per Hub eventi di Monitoraggio di Azure. Questa guida contiene i passaggi necessari per installare e configurare ArcSight SmartConnector per Monitoraggio di Azure.

Integrare i log di Microsoft Entra con ArcSight

1. In primo luogo, completare i passaggi nella sezione Prerequisiti della Guida alla configurazione. Questa sezione è costituita dai passaggi seguenti:

   • Impostare le autorizzazioni utente in Azure per assicurarsi che ci sia un utente con il ruolo proprietario per distribuire e configurare il connettore.
   • Aprire le porte nel server con Syslog NG Daemon SmartConnector, in modo che sia accessibile da Azure.
   • La distribuzione esegue uno script Windows PowerShell, quindi è necessario abilitare PowerShell per eseguire gli script sul computer in cui si desidera distribuire il connettore.

2. Seguire i passaggi nella sezione Distribuzione del connettore della Guida di configurazione per distribuire il connettore. Questa sezione illustra come scaricare ed estrarre il connettore, configurare le proprietà dell'applicazione ed eseguire lo script di distribuzione dalla cartella estratta.

3. Usare la procedura descritta in Verifica della distribuzione in Azure per assicurarsi che il connettore venga configurato e funzioni correttamente. Tieni conto dei prerequisiti seguenti:

   • Le funzioni di Azure necessarie vengono create nella sottoscrizione di Azure.
   • I log di Microsoft Entra vengono trasmessi alla destinazione corretta.
   • Le impostazioni della tua applicazione nella distribuzione vengono rese persistenti nelle Azure Function Apps.
   • In Azure viene creato un nuovo gruppo di risorse per ArcSight, con un'applicazione Azure AD per il connettore ArcSight e gli account di archiviazione contenenti i file con mapping in formato CEF.

4. Infine, completare le fasi successive alla distribuzione nella sezione Configurazioni post-distribuzione della Guida alla configurazione. In questa sezione viene spiegato come eseguire una configurazione aggiuntiva se ci si trova su un piano di servizio app per evitare che le app per le funzioni si disattivino dopo un periodo di timeout, configurare lo streaming dei log diagnostici dall'Hub eventi e aggiornare il certificato di archivio chiavi SysLog NG Daemon SmartConnector per associarlo all'account di archiviazione appena creato.

5. Nella Guida alla configurazione viene inoltre illustrato come personalizzare le proprietà del connettore in Azure e come aggiornare e disinstallare il connettore. È inoltre disponibile una sezione sul miglioramento delle prestazioni, tra cui l'aggiornamento a un piano a consumo Azure e la configurazione di ArcSight Load Balancer se il carico dell'evento è maggiore di quello che può gestire un singolo Syslog NG Daemon SmartConnector.

Opzioni e considerazioni sull'integrazione del log attività

Se lo strumento SIEM in uso non è ancora supportato nella diagnostica di Monitoraggio di Azure, è possibile configurare strumenti personalizzati usando le API di Hub eventi. Per altre informazioni, vedere la Guida introduttiva alla ricezione di messaggi da un hub eventi.

IBM QRadar è un'altra opzione per l'integrazione con i log attività di Microsoft Entra. Il modulo DSM e Azure Event Hub Protocol sono disponibili per il download nel supporto IBM. Per altre informazioni sull'integrazione con Azure, visitare il sito IBM QRadar Security Intelligence Platform 7.3.0.

Alcune categorie di accesso contengono grandi quantità di dati di log, a seconda della configurazione del tenant. In generale, gli accessi utente non interattivi e gli accessi dei principali del servizio possono essere da 5 a 10 volte superiori agli accessi utente interattivi.

Passaggi successivi

• Analizzare i log attività di Microsoft Entra con i log di Monitoraggio di Azure
• Usare Microsoft Graph per accedere ai log attività di Microsoft Entra