如何將活動記錄串流至事件中樞

您的 Microsoft Entra 租用戶每秒會產生大量資料。 您租使用者中所做的變更登入活動和記錄會新增到如此多的數據，因此難以分析。 整合安全性資訊與事件管理 (SIEM) 工具可協助您深入了解環境。

本文說明如何將記錄串流至事件中樞，與數個 SIEM 工具之一整合。

必要條件

• Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶，則可以註冊申請一個免費的試用帳戶。
• 已設定的 Azure 事件中樞。 了解如何建立事件中樞。
• 安全性系統管理員存取權，以建立 Microsoft Entra 租用戶的一般診斷設定。
• 屬性記錄管理員存取權，以建立自訂安全性屬性記錄的診斷設定。

將記錄串流至事件中樞 (部分機器翻譯)

提示

本文中的步驟可能會隨著您開始使用的入口網站而稍有不同。

1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別]>[監視和健康情況]>[診斷設定]。 您也可以從 [稽核記錄] 或 [登入] 頁面選取 [匯出設定]。

3. 選取 [+ 新增診斷設定] 以建立新的整合，或為現有的整合，選取 [編輯設定]。

4. 輸入 [診斷設定名稱]。 若要編輯現有的整合，則無法變更名稱。

5. 選取您想要串流的記錄類別。

6. 選取 [串流至事件中樞] 核取方塊。

7. 選取您想要路由傳送記錄的 Azure 訂用帳戶、事件中樞命名空間和選用的事件中樞。

訂用帳戶和事件中樞命名空間必須與您要串流記錄的來源 Microsoft Entra 租用戶相關聯。

準備好 Azure 事件中樞之後，請瀏覽至您想要整合活動記錄的 SIEM 工具。 此程序在 SIEM 工具中完成。

我們目前支援 Splunk、SumoLogic 和 ArcSight。 選取索引標籤以開始使用。 請參閱工具文件。

Splunk

若要使用這項功能，您需要 Microsoft 雲端服務的 Splunk 附加元件。

整合 Microsoft Entra 記錄與 Splunk

1. 開啟您的 Splunk 執行個體，並選取 [資料摘要]。

   

2. 依序選取 [Sourcetypes] 索引標籤和 [mscs:azure:eventhub]

   

在搜尋添加 body.records.category=AuditLogs。 下圖顯示 Microsoft Entra 活動記錄：

如果您無法在 Splunk 執行個體中安裝附加元件 (例如，如果您使用 Proxy，或在 Splunk Cloud 上執行)，您可以將這些事件轉送至 Splunk HTTP 事件收集器。 若要這樣做，請使用此 Azure 函式 \(英文\)，事件中樞中的新訊息會觸發此函式。

SumoLogic

若要使用此功能，您需要已啟用 SumoLogic 單一登入的訂用帳戶。

整合 Microsoft Entra 記錄與 SumoLogic

1. 設定 SumoLogic 執行個體，以收集 Microsoft Entra ID 的記錄。

2. 安裝 Microsoft Entra SumoLogic 應用程式，以使用可即時分析環境的預先設定儀表板。

   

ArcSight

若要使用此功能，您需要已設定的 ArcSight Syslog NG Daemon SmartConnector (SmartConnector) 或 ArcSight Load Balancer 執行個體。 如果事件傳送到 ArcSight Load Balancer，Load Balancer 會將事件傳送至 SmartConnector。

下載並開啟適用於 Azure 監視器事件中樞的 ArcSight SmartConnector 設定指南。 本指南包含所需步驟，可用來安裝和設定適用於 Azure 監視器的 ArcSight SmartConnector。

整合 Microsoft Entra 記錄與 ArcSight

1. 完成 ArcSight 設定指南先決條件一節中的步驟。 本節包含下列步驟：

   • 在 Azure 中設定使用者權限，以確保有使用者具有擁有者角色，可以部署和設定連接器。
   • 在具有 Syslog NG Daemon SmartConnector 的伺服器上開啟連接埠，以便從 Azure 存取。
   • 部署作業會執行 PowerShell 指令碼，因此您必須啟用 PowerShell，在您要部署連接器的電腦上執行指令碼。

2. 遵循 ArcSight 設定指南部署連接器一節中的步驟來部署連接器。 本節會引導您了解如何下載及解壓縮連接器、設定應用程式屬性，以及從解壓縮的資料夾執行部署指令碼。

3. 使用確認 Azure 中的部署中的步驟，來確定連接器的設定和運作皆正常。 確認下列必要條件：

   • 已在 Azure 訂用帳戶中建立必要的 Azure 函式。
   • Microsoft Entra 記錄已串流至正確的目的地。
   • 部署中的應用程式設定會保存在 Azure 函式應用程式中的應用程式設定內。
   • 使用適用於 ArcSight 連接器的 Microsoft Entra 應用程式，以及含有 CEF 格式對應檔案的儲存體帳戶，在 Azure 中為 ArcSight 建立新的資源群組。

4. 完成 ArcSight 設定指南部署後設定中的部署後步驟。 本節說明當您使用 App Service 方案時如何執行其他設定，以防止函式應用程式在逾時期間過後進入閒置狀態、設定串流來自事件中樞的資源記錄，以及更新 SysLog NG Daemon SmartConnector 金鑰儲存區憑證，使其與新建立的儲存體帳戶相關聯。

5. 設定指南也會說明如何在 Azure 中自訂連接器屬性，以及如何升級和解除安裝連接器。 另有一節說明如何改進效能，包括升級至 Azure 使用量方案，以及在事件負載大於單一 Syslog NG Daemon SmartConnector 的處理能力時設定 ArcSight Load Balancer。

活動記錄整合選項和考量

如果 Azure 監視器診斷尚未支援您目前的 SIEM，可以使用事件中樞 API 來設定自訂工具。 若要深入了解，請參閱開始從事件中樞接收訊息。

IBM QRadar 是另一個整合 Microsoft Entra 活動記錄的選項。 DSM 與 Azure 事件中樞通訊協定均可在 IBM 支援中下載取得。 如需有關與 Azure 整合的詳細資訊，請移至 IBM QRadar Security Intelligence Platform 7.3.0 網站。

某些登入類別包含大量記錄資料，視租用戶的設定而定。 一般情況下，非互動式使用者登入和服務主體登入可以是大於互動式使用者登入的 5 到 10 倍。

下一步

• 使用 Azure 監視器記錄來分析 Microsoft Entra 活動記錄
• 使用 Microsoft Graph 來存取 Microsoft Entra 活動記錄