アクティビティ ログをイベント ハブにストリーミングする方法
Microsoft Entra テナントでは、毎秒大量のデータが生成されます。 サインイン アクティビティとテナント内で行われた変更のログは、蓄積して分析が困難な程多くのデータとなります。 セキュリティ情報イベント管理 (SIEM) ツールとの統合は、環境に関する分析情報を得るのに役立ちます。
この記事では、ログをイベント ハブにストリーミングして、いくつかの SIEM ツールのいずれかと統合する方法について説明します。
前提条件
SIEM ツールにログをストリーミングするには、まず Azure イベント ハブを作成する必要があります。 イベント ハブの作成方法について説明します。
Microsoft Entra アクティビティ ログを含むイベント ハブを作成したら、Microsoft Entra 診断設定を使用して SIEM ツール統合を設定できます。
イベント ハブにログをストリームする
ヒント
この記事の手順は、開始するポータルによって若干異なる場合があります。
セキュリティ管理者以上で Microsoft Entra 管理センターにサインインします。
[ID]>[監視と正常性]>[診断設定] の順に移動します。 [監査ログ] または [サインイン] ページから [設定のエクスポート] を選ぶこともできます。
[+ 診断設定の追加] を選んで新しい統合を作成するか、既存の統合の [設定の編集] を選びます。
診断設定の名前を入力します。 既存の統合を編集する場合、名前を変更することはできません。
ストリーミングするログ カテゴリを選択します。
[イベント ハブへのストリーム] チェック ボックスをオンにします。
ログをルーティングしたい Azure サブスクリプション、Event Hubs 名前空間、およびオプションのイベント ハブを選択します。
サブスクリプションと Event Hubs 名前空間は両方とも、ログのストリーミング元である Microsoft Entra テナントと関連付けられている必要があります。
Azure イベント ハブの準備ができたら、アクティビティ ログと統合したい SIEM ツールに移動します。 SIEM ツールでのプロセスを完了します。
現在、Splunk、SumoLogic、ArcSight がサポートされています。 タブを選択して作業を開始します。 ツールのドキュメントを参照してください。
この機能を使用するには、Microsoft クラウド サービス用 Splunk Add-on が必要です。
Microsoft Entra ログを Splunk と統合する
Splunk インスタンスを開き、[データの概要] を選択します。
[ソースタイプ] タブを選択し、mscs:azure:eventhub を選択します
検索に body.records.category=AuditLogs を追加します。 次の図のような Microsoft Entra アクティビティ ログが表示されます。
アドオンを Splunk インスタンスにインストールできない場合 (たとえば、プロキシを使用している場合、Splunk Cloud で実行している場合など)、Splunk HTTP Event Collector にこれらのイベントを転送できます。 そのためには、イベント ハブの新しいメッセージによってトリガーされるこの Azure 関数を使います。
アクティビティ ログの統合オプションと考慮事項
現在お使いの SIEM が Azure Monitor 診断でまだサポートされていない場合は、Event Hubs API を使用することでカスタム ツールを設定できます。 詳しくは、「イベント ハブからメッセージ受信を開始する」を参照してください。
IBM QRadar は、Microsoft Entra アクティビティ ログと統合するためのもう 1 つの選択肢です。 DSM および Azure Event Hubs Protocol は、IBM サポートからダウンロードすることができます。 Azure との統合について詳しくは「IBM QRadar Security Intelligence Platform 7.3.0」のサイトをご覧ください。
一部のサインイン カテゴリには、テナントの構成に応じて大量のログ データが含まれています。 一般的に、非対話型のユーザー サインインとサービス プリンシパルのサインインは、対話型のユーザー サインインの 5 倍から 10 倍の大きさになることがあります。