Jak przesyłać strumieniowo dzienniki aktywności do centrum zdarzeń
Twoja dzierżawa firmy Microsoft Entra generuje duże ilości danych co sekundę. Aktywność logowania i dzienniki zmian wprowadzonych w dzierżawie są dodawane do tak dużej ilości danych, które mogą być trudne do przeanalizowania. Integracja z narzędziami do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) może pomóc w uzyskaniu wglądu w środowisko.
W tym artykule pokazano, jak można przesyłać strumieniowo dzienniki do centrum zdarzeń, aby zintegrować je z jednym z kilku narzędzi SIEM.
Wymagania wstępne
- Subskrypcja platformy Azure. Jeśli nie masz subskrypcji platformy Azure, możesz skorzystać z bezpłatnej wersji próbnej.
- Centrum zdarzeń platformy Azure, które zostało już skonfigurowane. Dowiedz się, jak utworzyć centrum zdarzeń.
- Dostęp administratora zabezpieczeń w celu utworzenia ogólnych ustawień diagnostycznych dla dzierżawy firmy Microsoft Entra.
- Dostęp administratora dziennika atrybutów do tworzenia ustawień diagnostycznych dla niestandardowych dzienników atrybutów zabezpieczeń.
Przesyłanie strumieniowe dzienników do centrum zdarzeń
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
Przejdź do pozycji Ustawienia>diagnostyczne monitorowania tożsamości i kondycji.> Możesz również wybrać pozycję Eksportuj ustawienia na stronie Dzienniki inspekcji lub Logowania .
Wybierz pozycję + Dodaj ustawienie diagnostyczne, aby utworzyć nową integrację, lub wybierz pozycję Edytuj ustawienie dla istniejącej integracji.
Wprowadź nazwę ustawienia diagnostycznego. Jeśli edytujesz istniejącą integrację, nie możesz zmienić nazwy.
Wybierz kategorie dzienników, które chcesz przesłać strumieniowo.
Zaznacz pole wyboru Przesyłaj strumieniowo do centrum zdarzeń.
Wybierz subskrypcję platformy Azure, przestrzeń nazw usługi Event Hubs i opcjonalne centrum zdarzeń, w którym chcesz kierować dzienniki.
Subskrypcja i przestrzeń nazw usługi Event Hubs muszą być skojarzone z dzierżawą firmy Microsoft Entra, z której są przesyłane strumieniowo dzienniki.
Gdy masz gotowe centrum zdarzeń platformy Azure, przejdź do narzędzia SIEM, które chcesz zintegrować z dziennikami aktywności. Proces został ukończony w narzędziu SIEM.
Obecnie obsługujemy rozwiązania Splunk, SumoLogic i ArcSight. Wybierz kartę, aby rozpocząć pracę. Zapoznaj się z dokumentacją narzędzia.
Aby korzystać z tej funkcji, potrzebujesz dodatku Splunk dla usług Microsoft Cloud Services.
Integrowanie dzienników firmy Microsoft Entra z rozwiązaniem Splunk
Otwórz wystąpienie splunk i wybierz pozycję Podsumowanie danych.
Wybierz kartę Sourcetypes ( Typy źródła), a następnie wybierz pozycję mscs:azure:eventhub
Dołącz ciąg body.records.category=AuditLogs do wyszukiwania. Dzienniki aktywności firmy Microsoft Entra są wyświetlane na poniższym rysunku:
Jeśli nie możesz zainstalować dodatku w wystąpieniu splunk (na przykład jeśli używasz serwera proxy lub działasz w chmurze Splunk), możesz przekazać te zdarzenia do modułu zbierającego zdarzeń HTTP splunk. W tym celu użyj tej funkcji platformy Azure, która jest wyzwalana przez nowe komunikaty w centrum zdarzeń.
Opcje i zagadnienia dotyczące integracji dziennika aktywności
Jeśli bieżące rozwiązanie SIEM nie jest jeszcze obsługiwane w diagnostyce usługi Azure Monitor, możesz skonfigurować niestandardowe narzędzia przy użyciu interfejsu API usługi Event Hubs. Aby dowiedzieć się więcej, zobacz Wprowadzenie do odbierania komunikatów z centrum zdarzeń.
IBM QRadar to kolejna opcja integracji z dziennikami aktywności firmy Microsoft Entra. Protokół DSM i Azure Event Hubs są dostępne do pobrania na stronie pomocy technicznej firmy IBM. Aby uzyskać więcej informacji na temat integracji z platformą Azure, przejdź do witryny IBM QRadar Security Intelligence Platform 7.3.0.
Niektóre kategorie logowania zawierają duże ilości danych dziennika, w zależności od konfiguracji dzierżawy. Ogólnie rzecz biorąc, logowania użytkownika nieinterakcyjnego i logowania jednostki usługi mogą być od 5 do 10 razy większe niż logowania użytkowników interakcyjnych.