如何将活动日志流式传输到事件中心

Microsoft Entra 租户每秒钟产生海量数据。 租户中发生的登录活动和更改日志加起来会生成大量数据，这些数据可能难以分析。 与安全信息和事件管理 (SIEM) 工具集成有助于深入了解环境。

本文展示了如何将日志流式传输到事件中心，从而与多个 SIEM 工具之一集成。

先决条件

• 要将日志流式传输到 SIEM 工具，首先需要创建Azure 事件中心。 了解如何创建事件中心。

• 拥有包含 Microsoft Entra 活动日志的事件中心后，可以使用“Microsoft Entra 诊断设置”设置 SIEM 工具集成。

将日志流式传输到事件中心

提示

本文中的步骤可能因开始使用的门户而略有不同。

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识”>“监视和运行状况”>“诊断设置”。 还可以从“审核日志”或“登录”页中选择“导出设置”。

3. 选择“+ 添加诊断设置”以创建新的集成，或选择现有集成的“编辑设置”。

4. 输入一个诊断设置名称。 如果要编辑现有集成，则无法更改名称。

5. 选择要流式传输的日志类别。

6. 选择“流式传输到事件中心”复选框。

7. 选择要在其中路由日志的 Azure 订阅、事件中心命名空间和可选事件中心。

订阅和事件中心命名空间必须都与从其流式传输日志的 Microsoft Entra 租户相关联。

准备好 Azure 事件中心后，导航到要与活动日志集成的 SIEM 工具。 该过程在 SIEM 工具中完成。

目前支持 Splunk、SumoLogic 和 ArcSight。 选择一个选项卡开始。 请参阅该工具的文档。

Splunk

要使用此功能，需要适用于 Microsoft 云服务的 Splunk 加载项。

将 Microsoft Entra 日志与 Splunk 集成

1. 打开 Splunk 实例，并选择“数据摘要”。

   

2. 选择“Sourcetypes”选项卡，然后选择“mscs:azure:eventhub”

   

将“body.records.category=AuditLogs”追加到搜索中。 Microsoft Entra 活动日志将如下图中所示：

如果无法在 Splunk 实例中安装加载项（例如，如果使用代理或在 Splunk Cloud 上运行），则可以将这些事件转发到 Splunk HTTP 事件收集器。 为此，请使用此 Azure 函数，该函数通过事件中心中的新消息触发。

SumoLogic

要使用此功能，需要已启用 SumoLogic 单一登录的订阅。

将 Microsoft Entra 日志与 SumoLogic 集成

1. 将 SumoLogic 实例配置为收集 Microsoft Entra ID 的日志。

2. 安装 Microsoft Entra SumoLogic 应用以使用预配置的仪表板，这些仪表板可提供对环境的实时分析。

   

ArcSight

要使用此功能，需要 ArcSight Syslog NG 守护程序 SmartConnector (SmartConnector) 或 ArcSight 负载均衡器的已配置实例。 如果事件发送到 ArcSight 负载均衡器，则它们会由负载均衡器发送到 SmartConnector。

下载并打开适用于 Azure Monitor 事件中心的 ArcSight SmartConnector 配置指南。 本指南包含安装和配置适用于 Azure Monitor 的 ArcSight SmartConnector 所需的步骤。

将 Microsoft Entra 日志与 ArcSight 集成

1. 完成 ArcSight 配置指南先决条件部分中的步骤。 此部分包括下列步骤：

   • 在 Azure 中设置用户权限，以确保某个用户具有所有者角色，可部署和配置连接器。
   • 在具有 Syslog NG 守护程序 SmartConnector 的服务器上打开端口，以便可从 Azure 访问它。
   • 部署会运行 PowerShell 脚本，因此必须启用 PowerShell 以在要部署连接器的计算机上运行脚本。

2. 按照 ArcSight 配置指南部署连接器部分中的步骤来部署连接器。 此部分会演示如何下载和提取连接器、配置应用程序属性以及从提取的文件夹运行部署脚本。

3. 按照“在 Azure 中验证部署”部分中的步骤来确保连接器已设置并正常工作。 验证以下先决条件：

   • 在 Azure 订阅中创建了必要的 Azure 函数。
   • Microsoft Entra 日志流式传输到正确的目标。
   • 部署中的应用程序设置保留在 Azure Function App 的“应用程序设置”中。
   • 使用适用于 ArcSight 连接器的 Microsoft Entra 应用程序以及包含映射文件（CEF 格式）的存储帐户，在 Azure 中创建 ArcSight 的新资源组。

4. 完成 ArcSight 配置指南部署后配置中的部署后步骤。 此部分说明如何在实施应用服务计划时执行其他配置以防止函数应用在超时期限之后变为空闲状态、从事件中心配置资源日志流式传输以及更新 SysLog NG 守护程序 SmartConnector 密钥存储证书以将它与新创建的存储帐户相关联。

5. 配置指南还说明如何在 Azure 中自定义连接器属性以及如何升级和卸载连接器。 还有一个部分是关于性能改进，包括升级到 Azure 消耗计划以及在事件负载大于单个 Syslog NG 守护程序 SmartConnector 可以处理的负载时配置 ArcSight 负载均衡器。

活动日志集成选项和注意事项

如果当前的 SIEM 在 Azure Monitor 诊断中不受支持，可以使用事件中心 API 设置自定义工具。 有关详细信息，请参阅从事件中心接收消息入门。

IBM QRadar是与 Microsoft Entra 活动日志集成的另一个选项。 DSM 和 Azure 事件中心协议可以从IBM 支持站点下载。 若要详细了解如何与 Azure 集成，请访问 IBM QRadar Security Intelligence Platform 7.3.0 站点。

某些登录类别包含大量日志数据，具体取决于租户的配置。 通常，非交互式用户登录和服务主体登录可以比交互式用户登录大 5 到 10 倍。

后续步骤

• 使用 Azure Monitor 日志分析 Microsoft Entra 活动日志
• 使用 Microsoft Graph 访问 Microsoft Entra 活动日志