Streamen von Aktivitätsprotokollen an einen Event Hub
Ihr Microsoft Entra-Mandant produziert jede Sekunde große Mengen an Daten. Anmeldeaktivitäten und Protokolle von Änderungen, die in Ihrem Mandanten vorgenommen wurden, summieren sich zu einer Vielzahl von Daten, die schwer zu analysieren ist. Die Integration in Security Information and Event Management (SIEM)-Tools kann Ihnen helfen, Einblicke in Ihre Umgebung zu gewinnen.
In diesem Artikel erfahren Sie, wie Sie Ihre Protokolle an einen Event Hub streamen können, um sie in eines von mehreren SIEM-Tools zu integrieren.
Voraussetzungen
Um Protokolle an ein SIEM-Tool zu streamen, müssen Sie zunächst einen Azure Event Hub erstellen. Erfahren Sie, wie Sie einen Event Hub erstellen.
Sobald Sie über einen Event Hub verfügen, der Microsoft Entra-Aktivitätsprotokolle enthält, können Sie die SIEM-Toolintegration mithilfe der Microsoft Entra-Diagnoseeinstellungen einrichten.
Streamen von Protokollen an einen Event Hub
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.
Browsen Sie zu Identität>Überwachung & Integrität>Diagnoseeinstellungen. Sie können auch der Seite Überwachungsprotokolle oder Anmeldungen die Option Exporteinstellungen auswählen.
Wählen Sie + Diagnoseeinstellung hinzufügen aus, um eine neue Integration zu erstellen, oder wählen Sie für eine vorhandene Integration Einstellung bearbeiten aus.
Geben Sie unter Name der Diagnoseeinstellung einen Namen ein. Wenn Sie eine vorhandene Integration bearbeiten, können Sie den Namen nicht ändern.
Wählen Sie die Protokollkategorien aus, die Sie streamen möchten.
Aktivieren Sie das Kontrollkästchen An einen Event Hub streamen.
Wählen Sie das Azure-Abonnement, den Event Hubs-Namespace und den optionalen Event Hub aus, an den Sie die Protokolle weiterleiten möchten.
Das Abonnement und der Event Hubs-Namespace müssen jeweils dem Microsoft Entra-Mandanten zugeordnet sein, von dem die Protokolle gestreamt werden.
Sobald Sie der Azure Event Hub bereit ist, navigieren Sie zu dem SIEM-Tool, in das Sie die Aktivitätsprotokolle integrieren möchten. Der Prozess ist im SIEM-Tool abgeschlossen.
Derzeit werden Splunk, SumoLogic und ArcSight unterstützt. Wählen Sie eine Registerkarte aus, um zu beginnen. Weitere Informationen finden Sie in der Dokumentation des Tools.
Um dieses Feature verwenden zu können, benötigen Sie das Splunk-Add-On für Microsoft Cloud Services.
Integrieren von Microsoft Entra-Protokollen in Splunk
Öffnen Sie Ihre Splunk-Instanz, und wählen Sie Datenzusammenfassung aus.
Wählen Sie die Registerkarte Sourcetypes (Quelltypen) und dann mscs:azure:eventhub aus.
Fügen Sie body.records.category=AuditLogs an die Suche an. Die Microsoft Entra-Aktivitätsprotokolle werden wie in der folgenden Abbildung angezeigt:
Falls Sie kein Add-On in Ihrer Splunk-Instanz installieren können (z. B. bei Verwendung eines Proxys oder bei Ausführung in Splunk Cloud) können Sie diese Ereignisse an die HTTP-Ereignissammlung von Splunk weiterleiten. Verwenden Sie dazu diese Azure-Funktion, die durch neue Nachrichten in Event Hub ausgelöst wird.
Optionen und Überlegungen zur Integration von Aktivitätsprotokollen
Wenn Ihr aktuelles SIEM-Tool in der Azure Monitor-Diagnose noch nicht unterstützt wird, können Sie mit der Event Hub-API benutzerdefinierte Tools einrichten. Weitere Informationen finden Sie unter Erste Schritte zum Empfangen von Nachrichten von einem Event Hub.
IBM QRadar ist eine weitere Option für die Integration in Microsoft Entra-Aktivitätsprotokolle. Das DSM- und das Azure Event Hub-Protokoll stehen auf der Seite IBM-Support zum Download zur Verfügung. Weitere Informationen zur Integration in Azure finden Sie auf der Website zur IBM QRadar Security Intelligence-Plattform 7.3.0.
Einige Anmeldekategorien enthalten abhängig von der Konfiguration Ihres Mandanten große Mengen an Protokolldaten. Im Allgemeinen können die nicht interaktiven Benutzer- und Dienstprinzipal-Anmeldungen fünf- bis zehnmal größer sein als die interaktiven Benutzeranmeldeinformationen.