Compartilhar via


Como transmitir logs de atividades para um hub de eventos

Seu locatário do Microsoft Entra produz grandes quantidades de dados a cada segundo. As atividades de login e os logs de alterações feitas em seu locatário somam tantos dados que pode ser difícil analisá-los. A integração com as ferramentas de SIEM (gerenciamento de eventos e informações de segurança) pode ajudá-lo a obter informações sobre seu ambiente.

Este artigo mostra como você pode transmitir seus logs para um hub de eventos para integrá-los a uma das várias ferramentas de SIEM.

Pré-requisitos

Transmitir logs para um hub de eventos

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.

  2. Navegue até Identidade>Monitoramento e integridade>Configurações de diagnóstico. Você também pode selecionar Exportar Configurações na página Logs de Auditoria ou Entradas.

  3. Selecione + Adicionar configuração de diagnóstico para criar uma nova integração ou selecione Editar configuração para uma integração atual.

  4. Insira um Nome da configuração de diagnóstico. Se você estiver editando uma integração existente, não poderá alterar o nome.

  5. Selecione as categorias de log que deseja transmitir.

  1. Marque a caixa de seleção Transmitir para um hub de eventos.

  2. Selecione a assinatura do Azure, o namespace dos Hubs de Eventos e o hub de eventos opcional para onde você deseja rotear os logs.

A assinatura e o namespace dos Hubs de Eventos devem estar associados ao locatário do Microsoft Entra de onde você está transmitindo os logs.

Depois de preparar o hub de eventos do Azure, navegue até a ferramenta de SIEM que você deseja integrar com os logs de atividades. Você concluirá o processo na ferramenta de SIEM.

Atualmente, damos suporte ao Splunk, SumoLogic e ArcSight. Selecione uma guia abaixo para começar. Consulte a documentação da ferramenta.

Para usar esse recurso, você precisa do complemento Splunk para os Serviços de Nuvem da Microsoft.

Integrar logs do Microsoft Entra ID ao Splunk

  1. Abra sua instância do Splunk e selecione Resumo dos Dados.

    Botão

  2. Primeiro selecione a guia Sourcetypes e depois mscs:azure:eventhub

    Na guia Sourcetypes de resumo de dados

Acrescente body.records.category=AuditLogs à pesquisa. Você verá que os logs de atividade do Microsoft Entra são mostrados na figura a seguir:

Logs de atividades

Se você não puder instalar um complemento em sua instância do Splunk (por exemplo, se estiver usando um proxy ou em execução no Splunk Cloud), poderá encaminhar esses eventos para o Coletor de Eventos HTTP. Para fazer isso, use esta função do Azure, que é disparada por novas mensagens no hub de eventos.

Opções e considerações sobre a integração do log de atividades

Se o SIEM atual ainda não tem suporte pelo diagnóstico do Azure Monitor, você pode configurar ferramentas personalizadas usando a API dos Hubs de Eventos. Para obter mais informações, consulte a Introdução ao recebimento de mensagens de um hub de eventos.

O IBM QRadar é outra opção para integração com os logs de atividades do Microsoft Entra. O DSM e o Protocolo dos Hubs de Eventos do Azure estão disponíveis para download no Suporte da IBM. Para obter mais informações sobre a integração com o Azure, vá para a Plataforma de Inteligência de Segurança da IBM QRadar 7.3.0 site.

Algumas categorias de entrada contêm grandes volumes de dados de log, dependendo da configuração do locatário. Em geral, as entradas de usuário não interativas e as entradas de entidade de serviço podem ser de 5 a 10 vezes maiores que as entradas de usuário interativas.

Próximas etapas