アクティビティ ログをイベント ハブにストリーミングする方法

Microsoft Entra テナントでは、毎秒大量のデータが生成されます。 サインイン アクティビティとテナント内で行われた変更のログは、蓄積して分析が困難な程多くのデータとなります。 セキュリティ情報イベント管理 (SIEM) ツールとの統合は、環境に関する分析情報を得るのに役立ちます。

この記事では、ログをイベント ハブにストリーミングして、いくつかの SIEM ツールのいずれかと統合する方法について説明します。

前提条件

• SIEM ツールにログをストリーミングするには、まず Azure イベント ハブを作成する必要があります。 イベント ハブの作成方法について説明します。

• Microsoft Entra アクティビティ ログを含むイベント ハブを作成したら、Microsoft Entra 診断設定を使用して SIEM ツール統合を設定できます。

イベント ハブにログをストリームする

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

1. セキュリティ管理者以上で Microsoft Entra 管理センターにサインインします。

2. [ID]>[監視と正常性]>[診断設定] の順に移動します。 [監査ログ] または [サインイン] ページから [設定のエクスポート] を選ぶこともできます。

3. [+ 診断設定の追加] を選んで新しい統合を作成するか、既存の統合の [設定の編集] を選びます。

4. 診断設定の名前を入力します。 既存の統合を編集する場合、名前を変更することはできません。

5. ストリーミングするログ カテゴリを選択します。

6. [イベント ハブへのストリーム] チェック ボックスをオンにします。

7. ログをルーティングしたい Azure サブスクリプション、Event Hubs 名前空間、およびオプションのイベント ハブを選択します。

サブスクリプションと Event Hubs 名前空間は両方とも、ログのストリーミング元である Microsoft Entra テナントと関連付けられている必要があります。

Azure イベント ハブの準備ができたら、アクティビティ ログと統合したい SIEM ツールに移動します。 SIEM ツールでのプロセスを完了します。

現在、Splunk、SumoLogic、ArcSight がサポートされています。 タブを選択して作業を開始します。 ツールのドキュメントを参照してください。

Splunk

この機能を使用するには、Microsoft クラウド サービス用 Splunk Add-on が必要です。

Microsoft Entra ログを Splunk と統合する

1. Splunk インスタンスを開き、[データの概要] を選択します。

   

2. [ソースタイプ] タブを選択し、mscs:azure:eventhub を選択します

   

検索に body.records.category=AuditLogs を追加します。 次の図のような Microsoft Entra アクティビティ ログが表示されます。

アドオンを Splunk インスタンスにインストールできない場合 (たとえば、プロキシを使用している場合、Splunk Cloud で実行している場合など)、Splunk HTTP Event Collector にこれらのイベントを転送できます。 そのためには、イベント ハブの新しいメッセージによってトリガーされるこの Azure 関数を使います。

SumoLogic

この機能を使用するには、SumoLogic のシングル サインオンが有効なサブスクリプションが必要です。

Microsoft Entra ログを SumoLogic と統合する

1. Microsoft Entra ID のログを収集するため SumoLogic インスタンスを構成します。

2. 対象環境のリアルタイム分析を行うことができる事前構成済みのダッシュボードを使用するために、Microsoft Entra SumoLogic アプリをインストールします。

   

ArcSight

この機能を使用するには、ArcSight Syslog NG Daemon SmartConnector (SmartConnector) または ArcSight Load Balancer の構成済みインスタンスが必要です。 イベントが ArcSight Load Balancer に送信されると、その結果、Load Balancer によって SmartConnector に送信されます。

ArcSight SmartConnector for Azure Monitor Event Hub の構成ガイドをダウンロードして開いてください。 このガイドには、ArcSight SmartConnector for Azure Monitor のインストールと構成に必要な手順が記載されています。

Microsoft Entra ログを ArcSight と統合する

1. ArcSight 構成ガイドの「前提条件」セクションの手順を完了します。 このセクションには、次の手順が記載されています。

   • コネクタのデプロイと構成を行うための所有者ロールを持つユーザーがいるように Azure でユーザー アクセス許可を設定します。
   • Syslog NG Daemon SmartConnector があるサーバーのポートを開き、Azure からアクセスできるようにします。
   • デプロイによって PowerShell スクリプトが実行されるため、コネクタをデプロイするマシン上で PowerShell がスクリプトを実行できるようにする必要があります。

2. ArcSight 構成ガイドの「コネクタのデプロイ」セクションの手順に従ってコネクタをデプロイします。 このセクションでは、コネクタのダウンロードと抽出、アプリケーションのプロパティの構成、および抽出されたフォルダーからのデプロイ スクリプトの実行方法について手順を追って説明します。

3. 「Azure でのデプロイの検証」の手順に従って、コネクタが設定され、正しく機能していることを確認します。 次の前提条件を確認します。

   • Azure サブスクリプションで必要な Azure functions が作成されている。
   • Microsoft Entra ログが正しい送信先にストリーミングされている。
   • デプロイのアプリケーション設定が、Azure Function アプリの [アプリケーション設定] に保持されている。
   • ArcSight コネクタ用の Microsoft Entra アプリケーションと、CEF 形式のマップ ファイルを含むストレージ アカウントを使用して、ArcSight 用の新しいリソース グループが Azure 内に作成されます。

4. ArcSight 構成ガイドの「デプロイ後の構成」に記載されているデプロイ後の手順を完了します。 このセクションには、タイムアウト期間後に関数アプリがアイドルにならないように App Service プランを使用している場合に追加の構成を実行する方法、イベント ハブのリソース ログのストリーミングを構成する方法、および新しく作成したストレージ アカウントと関連付けられるように SysLog NG Daemon SmartConnector キーストア証明書を更新する方法が説明されています。

5. この構成ガイドには、Azure 上でコネクタのプロパティをカスタマイズする方法、およびコネクタをアップグレードおよびアンインストールする方法についても説明されています。 Azure 従量課金プランへのアップグレードや ArcSight Load Balancer の構成 (イベントの負荷が単一の Syslog NG Daemon SmartConnector で処理できる量を超えている場合) など、パフォーマンスの改善に関するセクションもあります。

アクティビティ ログの統合オプションと考慮事項

現在お使いの SIEM が Azure Monitor 診断でまだサポートされていない場合は、Event Hubs API を使用することでカスタム ツールを設定できます。 詳しくは、「イベント ハブからメッセージ受信を開始する」を参照してください。

IBM QRadar は、Microsoft Entra アクティビティ ログと統合するためのもう 1 つの選択肢です。 DSM および Azure Event Hubs Protocol は、IBM サポートからダウンロードすることができます。 Azure との統合について詳しくは「IBM QRadar Security Intelligence Platform 7.3.0」のサイトをご覧ください。

一部のサインイン カテゴリには、テナントの構成に応じて大量のログ データが含まれています。 一般的に、非対話型のユーザー サインインとサービス プリンシパルのサインインは、対話型のユーザー サインインの 5 倍から 10 倍の大きさになることがあります。

次のステップ

• Azure Monitor ログを使用して Microsoft Entra アクティビティ ログを分析する
• Microsoft Graph を使用して Microsoft Entra アクティビティ ログにアクセスする