Jak przesyłać strumieniowo dzienniki aktywności do centrum zdarzeń

Twoja dzierżawa Microsoft Entra generuje duże ilości danych co sekundę. Aktywność logowania i dzienniki zmian wprowadzonych w Twojej dzierżawie tworzą tak dużą ilość danych, że mogą być trudne do przeanalizowania. Integracja z narzędziami do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) może pomóc w uzyskaniu wglądu w środowisko.

W tym artykule pokazano, jak można przesyłać strumieniowo dzienniki do centrum zdarzeń, aby zintegrować je z jednym z kilku narzędzi SIEM.

Wymagania wstępne

• Subskrypcja platformy Azure. Jeśli nie masz subskrypcji platformy Azure, możesz skorzystać z bezpłatnej wersji próbnej.
• Centrum zdarzeń platformy Azure, które zostało już skonfigurowane. Dowiedz się, jak utworzyć centrum zdarzeń.
• Administrator zabezpieczeń ma dostęp do tworzenia ogólnych ustawień diagnostycznych dla dzierżawy Microsoft Entra.
• Dostęp administratora dziennika atrybutów do tworzenia ustawień diagnostycznych dla niestandardowych dzienników atrybutów zabezpieczeń.

Przesyłanie strumieniowe dzienników do centrum zdarzeń

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.

2. Przejdź do Tożsamość>Monitorowanie i kondycja>Ustawienia diagnostyczne. Możesz również wybrać pozycję Eksportuj ustawienia na stronie Dzienniki inspekcji lub Logowania .

3. Wybierz pozycję + Dodaj ustawienie diagnostyczne, aby utworzyć nową integrację, lub wybierz pozycję Edytuj ustawienie dla istniejącej integracji.

4. Wprowadź nazwę ustawienia diagnostycznego. Jeśli edytujesz istniejącą integrację, nie możesz zmienić nazwy.

5. Wybierz kategorie dzienników, które chcesz przesyłać.

6. Zaznacz pole wyboru Przesyłaj strumieniowo do centrum zdarzeń.

7. Wybierz subskrypcję platformy Azure, przestrzeń nazw usługi Event Hubs i (opcjonalnie) centrum zdarzeń, do którego chcesz kierować dzienniki.

Subskrypcja i przestrzeń nazw usługi Event Hubs muszą być skojarzone z dzierżawą firmy Microsoft Entra, z której są przesyłane strumieniowo dzienniki.

Gdy masz gotowe centrum zdarzeń platformy Azure, przejdź do narzędzia SIEM, które chcesz zintegrować z dziennikami aktywności. Proces został ukończony w narzędziu SIEM.

Obecnie obsługujemy rozwiązania Splunk, SumoLogic i ArcSight. Wybierz kartę, aby rozpocząć. Zapoznaj się z dokumentacją narzędzia.

Splunk

Aby korzystać z tej funkcji, potrzebujesz dodatku Splunk dla usług Microsoft Cloud Services.

Integrowanie dzienników firmy Microsoft Entra z rozwiązaniem Splunk

1. Otwórz wystąpienie Splunk i wybierz pozycję Podsumowanie danych.

   

2. Wybierz kartę Sourcetypes ( Typy źródła), a następnie wybierz pozycję mscs:azure:eventhub

   

Dołącz ciąg body.records.category=AuditLogs do wyszukiwania. Dzienniki aktywności firmy Microsoft Entra są wyświetlane na poniższym rysunku:

Jeśli nie możesz zainstalować dodatku w wystąpieniu Splunk (na przykład, jeśli używasz serwera proxy lub działasz w chmurze Splunk), możesz przekazać te zdarzenia do Modułu Zbierającego Zdarzeń HTTP Splunk. W tym celu użyj tej funkcji platformy Azure, która jest wyzwalana przez nowe komunikaty w centrum zdarzeń.

SumoLogic

Aby korzystać z tej funkcji, potrzebna jest subskrypcja aplikacji SumoLogic z obsługą logowania jednokrotnego.

Integrowanie dzienników firmy Microsoft Entra z aplikacją SumoLogic

1. Skonfiguruj wystąpienie SumoLogic do zbierania dzienników dla Microsoft Entra ID.

2. Zainstaluj aplikację Microsoft Entra SumoLogic, aby korzystać ze wstępnie skonfigurowanych pulpitów nawigacyjnych zapewniających analizę środowiska w czasie rzeczywistym.

   

ArcSight

Do korzystania z tej funkcji potrzebne jest skonfigurowane wystąpienie demona ArcSight Syslog NG SmartConnector (SmartConnector) lub ArcSight Load Balancer. Jeśli zdarzenia są wysyłane do ArcSight Load Balancer, zostają wysłane do SmartConnector przez Load Balancer.

Pobierz i otwórz przewodnik konfiguracji programu ArcSight SmartConnector dla usługi Azure Monitor Event Hubs. Ten przewodnik zawiera kroki, które należy zainstalować i skonfigurować program ArcSight SmartConnector dla usługi Azure Monitor.

Integrowanie dzienników firmy Microsoft Entra z usługą ArcSight

1. Wykonaj kroki opisane w sekcji Wymagania wstępne przewodnika konfiguracji usługi ArcSight. Ta sekcja zawiera następujące kroki:

   • Ustaw uprawnienia użytkownika na platformie Azure, aby upewnić się, że istnieje użytkownik z rolą właściciela w celu wdrożenia i skonfigurowania łącznika.
   • Otwórz porty na serwerze za pomocą programu Syslog NG Daemon SmartConnector, aby był dostępny z platformy Azure.
   • Wdrożenie uruchamia skrypt programu PowerShell, dlatego należy włączyć program PowerShell, aby uruchamiał skrypty na maszynie, na której chcesz wdrożyć łącznik.

2. Wykonaj kroki opisane w sekcji Wdrażanie łącznika w przewodniku konfiguracji usługi ArcSight, aby wdrożyć łącznik. W tej sekcji opisano sposób pobierania i wyodrębniania łącznika, konfigurowania właściwości aplikacji i uruchamiania skryptu wdrażania z wyodrębnionego folderu.

3. Wykonaj kroki opisane w artykule Weryfikowanie wdrożenia na platformie Azure , aby upewnić się, że łącznik jest skonfigurowany i działa poprawnie. Sprawdź następujące wymagania wstępne:

   • Wymagane funkcje platformy Azure są tworzone w ramach subskrypcji platformy Azure.
   • Dzienniki Microsoft Entra są przesyłane strumieniowo do właściwego miejsca docelowego.
   • Ustawienia aplikacji z wdrożenia są utrwalane w ustawieniach aplikacji w aplikacjach funkcji platformy Azure.
   • Nowa grupa zasobów dla usługi ArcSight jest utworzona w Azure, z aplikacją Microsoft Entra dla łącznika usługi ArcSight i kontami magazynowania zawierającymi zamapowane pliki w formacie CEF.

4. Wykonaj kroki po wdrożeniu w przewodniku po wdrożeniu konfiguracji usługi ArcSight. W tej sekcji wyjaśniono, jak wykonać dalszą konfigurację, jeśli korzystasz z planu usługi App Service, aby zapobiec bezczynności aplikacji funkcji po upływie limitu czasu, skonfigurować przesyłanie strumieniowe dzienników zasobów z event hub oraz zaktualizować certyfikat magazynu kluczy SysLog NG Daemon SmartConnector, aby skojarzyć go z nowo utworzonym kontem do przechowywania.

5. W przewodniku konfiguracji wyjaśniono również, jak dostosować właściwości łącznika na platformie Azure oraz jak uaktualnić i odinstalować łącznik. Istnieje również sekcja dotycząca ulepszeń wydajności, w tym uaktualnienia do planu wykorzystania platformy Azure i skonfigurowania modułu równoważenia obciążenia usługi ArcSight, jeśli obciążenie zdarzeń jest większe niż to, co może obsłużyć pojedynczy demon Syslog NG SmartConnector.

Opcje i zagadnienia dotyczące integracji dziennika aktywności

Jeśli bieżące rozwiązanie SIEM nie jest jeszcze obsługiwane w diagnostyce usługi Azure Monitor, możesz skonfigurować niestandardowe narzędzia przy użyciu interfejsu API usługi Event Hubs. Aby dowiedzieć się więcej, zobacz Wprowadzenie do odbierania komunikatów z centrum zdarzeń.

IBM QRadar to kolejna opcja integracji z dziennikami aktywności firmy Microsoft Entra. Protokół DSM i Azure Event Hubs są dostępne do pobrania na stronie pomocy technicznej firmy IBM. Aby uzyskać więcej informacji na temat integracji z platformą Azure, przejdź do witryny IBM QRadar Security Intelligence Platform 7.3.0.

Niektóre kategorie logowania zawierają duże ilości danych dziennika, w zależności od konfiguracji dzierżawy. Ogólnie rzecz biorąc, logowania użytkownika nieinterakcyjnego i logowania jednostki usługi mogą być od 5 do 10 razy większe niż logowania użytkowników interakcyjnych.

Następne kroki

• Analizowanie dzienników aktywności firmy Microsoft Entra przy użyciu dzienników usługi Azure Monitor
• Uzyskiwanie dostępu do dzienników aktywności firmy Microsoft Entra przy użyciu programu Microsoft Graph