Потоковая передача журналов действий в концентратор событий

Клиент Microsoft Entra создает большие объемы данных каждые секунды. Действия входа и журналы изменений, внесенных в клиент, добавляются в так много данных, что может быть трудно проанализировать. Интеграция с средствами управления сведениями и событиями безопасности (SIEM) помогает получить аналитические сведения о вашей среде.

В этой статье показано, как передавать журналы в концентратор событий для интеграции с одним из нескольких средств SIEM.

Необходимые компоненты

• Подписка Azure. Если у вас нет подписки Azure, можно зарегистрироваться и получить бесплатную пробную версию.
• Концентратор событий Azure, который уже настроен. Узнайте, как создать концентратор событий.
• Доступ администратора безопасности для создания общих параметров диагностики для клиента Microsoft Entra.
• Доступ администратора журнала атрибутов для создания параметров диагностики для пользовательских журналов атрибутов безопасности.

Потоковая передача журналов в концентратор событий

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

2. Перейдите к параметрам диагностики мониторинга удостоверений и работоспособности>>. Вы также можете выбрать параметры экспорта на странице "Журналы аудита" или "Вход".

3. Выберите + Добавить параметр диагностики, чтобы создать новую интеграцию или выберите параметр "Изменить" для существующей интеграции.

4. Укажите Имя параметра диагностики. Если вы редактировать существующую интеграцию, вы не можете изменить имя.

5. Выберите категории журналов, которые требуется потоковой передачи.

6. Установите флажок Передать в концентратор событий.

7. Выберите подписку Azure, пространство имен Центров событий и необязательный концентратор событий, в котором требуется маршрутизировать журналы.

Пространство имен для подписок и Центров событий должно быть связано с клиентом Microsoft Entra, из которого выполняется потоковая передача журналов.

После готовности концентратора событий Azure перейдите к средству SIEM, которое вы хотите интегрировать с журналами действий. Процесс завершается в средстве SIEM.

В настоящее время мы поддерживаем Splunk, SumoLogic и ArcSight. Выберите вкладку, чтобы приступить к работе. Ознакомьтесь с документацией по инструменту.

Splunk

Чтобы использовать эту функцию, вам потребуется надстройка Splunk для Microsoft Облачные службы.

Интеграция журналов Microsoft Entra с Splunk

1. Откройте экземпляр Splunk и выберите "Сводка данных".

   

2. Выберите вкладку Sourcetypes (Типы источников), а затем — mscs:azure:eventhub.

   

Добавьте body.records.category=AuditLogs в поисковый запрос. Журналы действий Microsoft Entra показаны на следующем рисунке:

Если вы не можете установить надстройку в экземпляре Splunk (например, если вы используете прокси-сервер или работаете в Splunk Cloud), вы можете перенаправить эти события в сборщик событий HTTP Splunk. с помощью этой функции Azure, активируемой при поступлении новых сообщений в концентратор событий.

SumoLogic

Чтобы использовать эту функцию, требуется подписка SumoLogic с поддержкой единого входа.

Интеграция журналов Microsoft Entra с SumoLogic

1. Настройте экземпляр SumoLogic для сбора журналов для идентификатора Microsoft Entra.

2. Установите приложение Microsoft Entra SumoLogic, чтобы использовать предварительно настроенные панели мониторинга, обеспечивающие анализ среды в режиме реального времени.

   

ArcSight

Для использования этой функции требуется настроенный экземпляр ArcSight Syslog NG Daemon SmartConnector (SmartConnector) или ArcSight Load Balancer. Если события отправляются в ArcSight Load Balancer, они отправляются в SmartConnector подсистемой балансировки нагрузки.

Скачайте и откройте руководство по настройке ArcSight SmartConnector для Центров событий Azure Monitor. Это руководство содержит шаги, необходимые для установки и настройки ArcSight SmartConnector для Azure Monitor.

Интеграция журналов Microsoft Entra с ArcSight

1. Выполните действия, описанные в разделе "Предварительные требования" руководства по настройке ArcSight. В этом разделе содержатся следующие шаги:

   • Задайте разрешения пользователей в Azure, чтобы убедиться, что у пользователя есть роль владельца для развертывания и настройки соединителя.
   • Откройте порты на сервере с помощью syslog NG Daemon SmartConnector, чтобы он был доступен из Azure.
   • Развертывание запускает скрипт PowerShell, поэтому необходимо включить PowerShell для запуска скриптов на компьютере, где требуется развернуть соединитель.

2. Выполните действия, описанные в разделе "Развертывание соединителя" руководства по настройке ArcSight для развертывания соединителя. В этом разделе рассматриваются способы скачивания и извлечения соединителя, настройки свойств приложения и запуска скрипта развертывания из извлеченной папки.

3. Следуйте инструкциям в разделе Проверка развертывания в Azure, чтобы убедиться, что соединитель настроен и работает правильно. Проверьте соблюдение перечисленных ниже предварительных требований.

   • Необходимые функции Azure созданы в подписке Azure.
   • Журналы Microsoft Entra передаются в правильное место назначения.
   • Параметры приложения из развертывания сохраняются в параметрах приложения в приложениях-функциях Azure.
   • Новая группа ресурсов для ArcSight создается в Azure с приложением Microsoft Entra для соединителя ArcSight и учетных записей хранения, содержащих сопоставленные файлы в формате CEF.

4. Выполните действия после развертывания в конфигурациях после развертывания руководства по настройке ArcSight. В этом разделе объясняется, как выполнить другую конфигурацию, если вы находитесь в плане Служба приложений, чтобы предотвратить простой приложений-функций после истечения времени ожидания, настройте потоковую передачу журналов ресурсов из концентратора событий и обновите сертификат хранилища ключей daemon NG NG SmartConnector, чтобы связать его с только что созданной учетной записью хранения.

5. В руководстве по настройке также объясняется, как настроить свойства соединителя в Azure, а также обновить и удалить соединитель. Существует также раздел по улучшению производительности, включая обновление до плана потребления Azure и настройку Подсистемы балансировки нагрузки ArcSight, если нагрузка события превышает то, что может обрабатывать один системный журнал NG Daemon SmartConnector.

Параметры и рекомендации по интеграции журнала действий

Если текущий SIEM еще не поддерживается в Azure Monitor диагностика, можно настроить пользовательские средства с помощью API Центров событий. Дополнительные сведения см. в статье Основные сведения о получении сообщений с помощью узла EventProcessorHost в .NET Standard.

IBM QRadar — это еще один вариант интеграции с журналами действий Microsoft Entra. Протокол DSM и Центры событий Azure доступен для скачивания в службу поддержки IBM. Дополнительные сведения об интеграции с Azure см. на веб-сайте IBM QRadar Security Intelligence Platform 7.3.0.

Некоторые категории входа содержат большие объемы данных журнала в зависимости от конфигурации клиента. Как правило, объем данных о неинтерактивном входе пользователей и входе субъектов-служб может быть в 5–10 раз больше, чем объем данных об интерактивном входе пользователей.

Следующие шаги

• Анализ журналов действий Microsoft Entra с помощью журналов Azure Monitor
• Доступ к журналам действий Microsoft Entra с помощью Microsoft Graph