Потоковая передача логов активности в шлюз событий

Клиент Microsoft Entra создает большие объемы данных каждые секунды. Активность входа и журналы изменений, внесенных в арендатора, составляют такой объем данных, что их может быть трудно проанализировать. Интеграция с средствами управления сведениями и событиями безопасности (SIEM) помогает получить аналитические сведения о вашей среде.

В этой статье показано, как передавать журналы в концентратор событий для интеграции с одним из нескольких средств SIEM.

Предварительные требования

• Подписка Azure. Если у вас нет подписки Azure, можно зарегистрироваться и получить бесплатную пробную версию.
• Концентратор событий Azure, который уже настроен. Узнайте, как создать концентратор событий.
• Доступ администратора безопасности для создания общих параметров диагностики для клиента Microsoft Entra.
• Администратор журнала атрибутов обеспечит доступ для создания параметров диагностики для журналов пользовательских атрибутов безопасности.

Передача логов в концентратор событий

1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум Администратора безопасности.

2. Перейдите к Идентификация>Мониторинг и работоспособность>Параметры диагностики. Вы также можете выбрать Параметры экспорта на странице Журналы аудита или Входы.

3. Выберите + Добавить параметр диагностики, чтобы создать новую интеграцию или выберите параметр "Изменить" для существующей интеграции.

4. Укажите Имя параметра диагностики. Если вы редактируете существующую интеграцию, вы не можете изменить имя.

5. Выберите категории журналов, которые вы хотите транслировать.

6. Установите флажок Передать в концентратор событий.

7. Выберите подписку Azure, пространство имен Центров событий и, при необходимости, концентратор событий, в котором вы хотите направлять журналы.

Пространство имен подписки и Центров событий, из которого выполняется потоковая передача журналов, должно быть связано с клиентом Microsoft Entra.

После готовности концентратора событий Azure перейдите к средству SIEM, которое вы хотите интегрировать с журналами действий. Процесс завершается в средстве SIEM.

В настоящее время мы поддерживаем Splunk, SumoLogic и ArcSight. Выберите вкладку, чтобы приступить к работе. Ознакомьтесь с документацией по инструменту.

Splunk

Чтобы использовать эту функцию, вам потребуется надстройка Splunk для служб Microsoft Cloud.

Интеграция журналов Microsoft Entra с Splunk

1. Откройте экземпляр Splunk и выберите "Сводка данных".

   

2. Выберите вкладку Sourcetypes (Типы источников), а затем — mscs:azure:eventhub.

   

Добавьте body.records.category=AuditLogs в поисковый запрос. Журналы действий Microsoft Entra показаны на следующем рисунке:

Если вы не можете установить надстройку в экземпляре Splunk (например, если вы используете прокси-сервер или работаете в Splunk Cloud), вы можете перенаправить эти события в сборщик событий HTTP Splunk. с помощью этой функции Azure, активируемой при поступлении новых сообщений в концентратор событий.

SumoLogic

Чтобы использовать эту функцию, требуется подписка SumoLogic с поддержкой единого входа.

Интеграция журналов Microsoft Entra с SumoLogic

1. Настройте экземпляр SumoLogic для сбора журналов для Microsoft Entra ID.

2. Установите приложение Microsoft Entra SumoLogic, чтобы использовать предварительно настроенные панели мониторинга, обеспечивающие анализ среды в режиме реального времени.

   

ArcSight

Для использования этой функции требуется настроенный экземпляр ArcSight Syslog NG Daemon SmartConnector (SmartConnector) или ArcSight Load Balancer. Если события отправляются в ArcSight Load Balancer, они отправляются в SmartConnector балансировщиком нагрузки.

Скачайте и откройте руководство по настройке ArcSight SmartConnector для Центров событий Azure Monitor. Это руководство содержит шаги, необходимые для установки и настройки ArcSight SmartConnector для Azure Monitor.

Интеграция журналов Microsoft Entra с ArcSight

1. Выполните действия, описанные в разделе "Предварительные требования" руководства по настройке ArcSight. В этом разделе содержатся следующие шаги:

   • Задайте разрешения пользователей в Azure, чтобы убедиться, что у пользователя есть роль владельца для развертывания и настройки соединителя.
   • Откройте порты на сервере с помощью syslog NG Daemon SmartConnector, чтобы он был доступен из Azure.
   • Развертывание запускает скрипт PowerShell, поэтому необходимо включить PowerShell для запуска скриптов на компьютере, где требуется развернуть соединитель.

2. Выполните действия, описанные в разделе "Развертывание соединителя" руководства по настройке ArcSight для развертывания соединителя. В этом разделе рассматриваются способы скачивания и извлечения соединителя, настройки свойств приложения и запуска скрипта развертывания из извлеченной папки.

3. Следуйте инструкциям в разделе Проверка развертывания в Azure, чтобы убедиться, что соединитель настроен и работает правильно. Проверьте соблюдение перечисленных ниже предварительных требований.

   • Необходимые функции Azure созданы в подписке Azure.
   • Журналы Microsoft Entra передаются в правильное место назначения.
   • Параметры развертывания приложения сохраняются в настройках приложения на платформе Azure Functions.
   • Новая группа ресурсов для ArcSight создается в Azure с приложением Microsoft Entra для соединителя ArcSight и учетных записей хранения, содержащих сопоставленные файлы в формате CEF.

4. Выполните шаги после развертывания, указанные в разделе Настройки после развертывания в руководстве по настройке ArcSight. В этом разделе объясняется, как выполнить другую конфигурацию, если вы используете план службы приложений, чтобы предотвратить простой приложений-функций после истечения времени ожидания, как настроить потоковую передачу журналов ресурсов из концентратора событий и как обновить сертификат хранилища ключей SysLog NG Daemon SmartConnector, чтобы связать его с недавно созданной учетной записью хранения.

5. В руководстве по настройке также объясняется, как настроить свойства соединителя в Azure, а также обновить и удалить соединитель. Существует также раздел по улучшению производительности, включая обновление до Azure Consumption plan и настройку балансировщика нагрузки ArcSight, если объем событий превышает то, что может обработать один Syslog NG Daemon SmartConnector.

Параметры и рекомендации по интеграции журнала действий

Если текущий SIEM еще не поддерживается в диагностике Azure Monitor, настройте пользовательские средства с помощью API Центров событий. Дополнительные сведения см. в статье Начало работы с получением сообщений из узла событий.

IBM QRadar — это еще один вариант интеграции с журналами действий Microsoft Entra. Протокол DSM и центры событий Azure доступны для скачивания в службе поддержки IBM. Дополнительные сведения об интеграции с Azure см. на веб-сайте IBM QRadar Security Intelligence Platform 7.3.0.

Некоторые категории аутентификации содержат большие объемы данных о входах в систему в зависимости от конфигурации вашего клиента. Как правило, объем данных о неинтерактивных входах пользователей и входах для сервисных учетных записей может быть в 5–10 раз больше, чем объем данных об интерактивных входах пользователей.

Следующие шаги

• Анализ журналов действий Microsoft Entra с помощью журналов Azure Monitor
• Доступ к журналам действий Microsoft Entra с помощью Microsoft Graph