Så här strömmar du aktivitetsloggar till en händelsehubb
Din Microsoft Entra-klientorganisation producerar stora mängder data varje sekund. Inloggningsaktiviteten och loggarna för ändringar som gjorts i klientorganisationen ger så mycket data att det kan vara svårt att analysera. Genom att integrera med SIEM-verktyg (Security Information and Event Management) kan du få insikter om din miljö.
Den här artikeln visar hur du kan strömma dina loggar till en händelsehubb för att integrera med något av flera SIEM-verktyg.
Förutsättningar
- En Azure-prenumeration. Om du inte har en Azure-prenumeration kan du registrera dig för en kostnadsfri utvärdering.
- En Azure-händelsehubb som redan har konfigurerats. Lär dig att skapa en händelsehubb.
- Säkerhetsadministratörsåtkomst för att skapa allmänna diagnostikinställningar för Microsoft Entra-klientorganisationen.
- Attributloggadministratörsåtkomst för att skapa diagnostikinställningar för anpassade säkerhetsattributloggar .
Strömma loggar till en händelsehubb
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.
Bläddra till Inställningar för identitetsövervakning>och hälsodiagnostik.> Du kan också välja Exportera inställningar från sidan Granskningsloggar eller Inloggningar .
Välj + Lägg till diagnostikinställning för att skapa en ny integrering eller välj Redigera inställning för en befintlig integrering.
Ange ett namn på diagnostikinställningen. Om du redigerar en befintlig integrering kan du inte ändra namnet.
Välj de loggkategorier som du vill strömma.
Markera kryssrutan Strömma till en händelsehubb.
Välj Azure-prenumerationen, Event Hubs-namnområdet och valfri händelsehubb där du vill dirigera loggarna.
Både prenumerationen och Event Hubs-namnområdet måste vara associerade med Microsoft Entra-klientorganisationen där du strömmar loggarna.
När du har azure-händelsehubben klar går du till det SIEM-verktyg som du vill integrera med aktivitetsloggarna. Processen är klar i SIEM-verktyget.
Vi stöder för närvarande Splunk, SumoLogic och ArcSight. Välj en flik för att komma igång. Se verktygets dokumentation.
Om du vill använda den här funktionen behöver du Splunk-tillägget för Microsoft Cloud Services.
Integrera Microsoft Entra-loggar med Splunk
Öppna din Splunk-instans och välj Datasammanfattning.
Välj fliken Sourcetypes och välj sedan mscs:azure:eventhub
Lägg till body.records.category=AuditLogs i sökningen. Microsoft Entra-aktivitetsloggarna visas i följande bild:
Om du inte kan installera ett tillägg i din Splunk-instans (till exempel om du använder en proxy eller körs i Splunk Cloud) kan du vidarebefordra dessa händelser till Splunk HTTP-händelseinsamlaren. Det gör du genom att använda den här Azure-funktionen, som utlöses av nya meddelanden i händelsehubben.
Integreringsalternativ och överväganden för aktivitetsloggar
Om din aktuella SIEM inte stöds i Azure Monitor-diagnostik ännu kan du konfigurera anpassade verktyg med hjälp av Event Hubs-API:et. Mer information finns på sidan om att komma igång med att ta emot meddelanden från en händelsehubb.
IBM QRadar är ett annat alternativ för att integrera med Microsoft Entra-aktivitetsloggar. DSM och Azure Event Hubs Protocol är tillgängliga för nedladdning på IBM-support. Mer information om integrering med Azure finns på sidan IBM QRadar Security Intelligence Platform 7.3.0.
Vissa inloggningskategorier innehåller stora mängder loggdata, beroende på klientorganisationens konfiguration. I allmänhet kan inloggningar för icke-interaktiva användare och inloggningar med tjänstens huvudnamn vara 5 till 10 gånger större än de interaktiva användarinloggningarna.