Jak przesyłać strumieniowo dzienniki aktywności do centrum zdarzeń
Twoja dzierżawa Microsoft Entra generuje duże ilości danych co sekundę. Aktywność logowania i dzienniki zmian wprowadzonych w Twojej dzierżawie tworzą tak dużą ilość danych, że mogą być trudne do przeanalizowania. Integracja z narzędziami do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) może pomóc w uzyskaniu wglądu w środowisko.
W tym artykule pokazano, jak można przesyłać strumieniowo dzienniki do centrum zdarzeń, aby zintegrować je z jednym z kilku narzędzi SIEM.
Wymagania wstępne
- Subskrypcja platformy Azure. Jeśli nie masz subskrypcji platformy Azure, możesz skorzystać z bezpłatnej wersji próbnej.
- Centrum zdarzeń platformy Azure, które zostało już skonfigurowane. Dowiedz się, jak utworzyć centrum zdarzeń.
- Administrator zabezpieczeń ma dostęp do tworzenia ogólnych ustawień diagnostycznych dla dzierżawy Microsoft Entra.
- Dostęp administratora dziennika atrybutów do tworzenia ustawień diagnostycznych dla niestandardowych dzienników atrybutów zabezpieczeń.
Przesyłanie strumieniowe dzienników do centrum zdarzeń
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
Przejdź do Tożsamość>Monitorowanie i kondycja>Ustawienia diagnostyczne. Możesz również wybrać pozycję Eksportuj ustawienia na stronie Dzienniki inspekcji lub Logowania .
Wybierz pozycję + Dodaj ustawienie diagnostyczne, aby utworzyć nową integrację, lub wybierz pozycję Edytuj ustawienie dla istniejącej integracji.
Wprowadź nazwę ustawienia diagnostycznego. Jeśli edytujesz istniejącą integrację, nie możesz zmienić nazwy.
Wybierz kategorie dzienników, które chcesz przesyłać.
Zaznacz pole wyboru Przesyłaj strumieniowo do centrum zdarzeń.
Wybierz subskrypcję platformy Azure, przestrzeń nazw usługi Event Hubs i (opcjonalnie) centrum zdarzeń, do którego chcesz kierować dzienniki.
Subskrypcja i przestrzeń nazw usługi Event Hubs muszą być skojarzone z dzierżawą firmy Microsoft Entra, z której są przesyłane strumieniowo dzienniki.
Gdy masz gotowe centrum zdarzeń platformy Azure, przejdź do narzędzia SIEM, które chcesz zintegrować z dziennikami aktywności. Proces został ukończony w narzędziu SIEM.
Obecnie obsługujemy rozwiązania Splunk, SumoLogic i ArcSight. Wybierz kartę, aby rozpocząć. Zapoznaj się z dokumentacją narzędzia.
Aby korzystać z tej funkcji, potrzebujesz dodatku Splunk dla usług Microsoft Cloud Services.
Integrowanie dzienników firmy Microsoft Entra z rozwiązaniem Splunk
Otwórz wystąpienie Splunk i wybierz pozycję Podsumowanie danych.
Wybierz kartę Sourcetypes ( Typy źródła), a następnie wybierz pozycję mscs:azure:eventhub
Dołącz ciąg body.records.category=AuditLogs do wyszukiwania. Dzienniki aktywności firmy Microsoft Entra są wyświetlane na poniższym rysunku:
Jeśli nie możesz zainstalować dodatku w wystąpieniu Splunk (na przykład, jeśli używasz serwera proxy lub działasz w chmurze Splunk), możesz przekazać te zdarzenia do Modułu Zbierającego Zdarzeń HTTP Splunk. W tym celu użyj tej funkcji platformy Azure, która jest wyzwalana przez nowe komunikaty w centrum zdarzeń.
Opcje i zagadnienia dotyczące integracji dziennika aktywności
Jeśli bieżące rozwiązanie SIEM nie jest jeszcze obsługiwane w diagnostyce usługi Azure Monitor, możesz skonfigurować niestandardowe narzędzia przy użyciu interfejsu API usługi Event Hubs. Aby dowiedzieć się więcej, zobacz Wprowadzenie do odbierania komunikatów z centrum zdarzeń.
IBM QRadar to kolejna opcja integracji z dziennikami aktywności firmy Microsoft Entra. Protokół DSM i Azure Event Hubs są dostępne do pobrania na stronie pomocy technicznej firmy IBM. Aby uzyskać więcej informacji na temat integracji z platformą Azure, przejdź do witryny IBM QRadar Security Intelligence Platform 7.3.0.
Niektóre kategorie logowania zawierają duże ilości danych dziennika, w zależności od konfiguracji dzierżawy. Ogólnie rzecz biorąc, logowania użytkownika nieinterakcyjnego i logowania jednostki usługi mogą być od 5 do 10 razy większe niż logowania użytkowników interakcyjnych.