Streamen von Aktivitätsprotokollen an einen Event Hub

Ihr Microsoft Entra-Mandant produziert jede Sekunde große Mengen an Daten. Anmeldeaktivitäten und Protokolle von Änderungen, die in Ihrem Mandanten vorgenommen wurden, summieren sich zu einer Vielzahl von Daten, die schwer zu analysieren ist. Die Integration in Security Information and Event Management (SIEM)-Tools kann Ihnen helfen, Einblicke in Ihre Umgebung zu gewinnen.

In diesem Artikel erfahren Sie, wie Sie Ihre Protokolle an einen Event Hub streamen können, um sie in eines von mehreren SIEM-Tools zu integrieren.

Voraussetzungen

• Um Protokolle an ein SIEM-Tool zu streamen, müssen Sie zunächst einen Azure Event Hub erstellen. Erfahren Sie, wie Sie einen Event Hub erstellen.

• Sobald Sie über einen Event Hub verfügen, der Microsoft Entra-Aktivitätsprotokolle enthält, können Sie die SIEM-Toolintegration mithilfe der Microsoft Entra-Diagnoseeinstellungen einrichten.

Streamen von Protokollen an einen Event Hub

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

2. Navigieren Sie zu Identität>Überwachung und Integrität>Diagnoseeinstellungen. Sie können auch der Seite Überwachungsprotokolle oder Anmeldungen die Option Exporteinstellungen auswählen.

3. Wählen Sie + Diagnoseeinstellung hinzufügen aus, um eine neue Integration zu erstellen, oder wählen Sie für eine vorhandene Integration Einstellung bearbeiten aus.

4. Geben Sie unter Name der Diagnoseeinstellung einen Namen ein. Wenn Sie eine vorhandene Integration bearbeiten, können Sie den Namen nicht ändern.

5. Wählen Sie die Protokollkategorien aus, die Sie streamen möchten.

6. Aktivieren Sie das Kontrollkästchen An einen Event Hub streamen.

7. Wählen Sie das Azure-Abonnement, den Event Hubs-Namespace und den optionalen Event Hub aus, an den Sie die Protokolle weiterleiten möchten.

Das Abonnement und der Event Hubs-Namespace müssen jeweils dem Microsoft Entra-Mandanten zugeordnet sein, von dem die Protokolle gestreamt werden.

Sobald Sie der Azure Event Hub bereit ist, navigieren Sie zu dem SIEM-Tool, in das Sie die Aktivitätsprotokolle integrieren möchten. Sie beenden den Prozess im SIEM-Tool.

Derzeit werden Splunk, SumoLogic und ArcSight unterstützt. Wählen Sie eine Registerkarte aus, um zu beginnen. Weitere Informationen finden Sie in der Dokumentation des Tools.

Splunk

Um dieses Feature verwenden zu können, benötigen Sie das Splunk-Add-On für Microsoft Cloud Services.

Integrieren von Microsoft Entra-Protokollen in Splunk

1. Öffnen Sie Ihre Splunk-Instanz, und wählen Sie Datenzusammenfassung aus.

   

2. Wählen Sie die Registerkarte Sourcetypes (Quelltypen) und dann mscs:azure:eventhub aus.

   

Fügen Sie body.records.category=AuditLogs an die Suche an. Die Microsoft Entra-Aktivitätsprotokolle werden wie in der folgenden Abbildung angezeigt:

Falls Sie kein Add-On in Ihrer Splunk-Instanz installieren können, z.B. bei Verwendung eines Proxys oder bei Ausführung in Splunk Cloud, können Sie diese Ereignisse an die HTTP-Ereignissammlung von Splunk weiterleiten. Verwenden Sie dazu diese Azure-Funktion, die durch neue Nachrichten in Event Hub ausgelöst wird.

sumologic

Um diese Funktion verwenden zu können, benötigen Sie ein SumoLogic-Abonnement, für das das einmalige Anmelden aktiviert ist.

Integrieren von Microsoft Entra-Protokollen in SumoLogic

1. Konfigurieren Sie Ihre SumoLogic-Instanz für das Sammeln von Protokollen für Microsoft Entra ID.

2. Installieren Sie die Microsoft Entra-App für SumoLogic, um die vorkonfigurierten Dashboards für die Echtzeitanalyse Ihrer Umgebung zu verwenden.

   

ArcSight

Um diese Funktion verwenden zu können, benötigen Sie eine konfigurierte Instanz von ArcSight Syslog NG Daemon SmartConnector (SmartConnector) oder ArcSight Load Balancer. Wenn die Ereignisse an ArcSight Load Balancer gesendet werden, sendet Load Balancer diese Ereignisse an den SmartConnector.

Laden Sie den Konfigurationsleitfaden für ArcSight SmartConnector für Azure Monitor Event Hubs herunter, und öffnen Sie ihn. Dieser Leitfaden enthält die Schritte zum Installieren und Konfigurieren von ArcSight SmartConnector für Azure Monitor.

Integrieren von Microsoft Entra-Protokollen in ArcSight

1. Führen Sie zuerst die Schritte im Abschnitt Voraussetzungen des ArcSight-Konfigurationsleitfadens aus. Dieser Abschnitt umfasst die folgenden Schritte:

   • Legen Sie Benutzerberechtigungen in Azure fest, um sicherzustellen, dass ein Benutzer mit der Rolle Besitzer vorliegt, der den Connector bereitstellen und konfigurieren kann.
   • Öffnen Sie Ports auf dem Server mit Syslog NG Daemon SmartConnector, sodass er von Azure aus zugänglich ist.
   • Bei der Bereitstellung wird ein PowerShell-Skript ausgeführt. Daher müssen Sie PowerShell die Ausführung von Skripts auf dem Computer ermöglichen, auf dem Sie den Connector bereitstellen möchten.

2. Befolgen Sie die Schritte im Abschnitt Bereitstellen des Connectors im ArcSight-Konfigurationsleitfaden, um den Connector bereitzustellen. Dieser Abschnitt führt Sie durch die Schritte zum Herunterladen und Extrahieren des Connectors, zum Konfigurieren der Anwendungseigenschaften und zum Ausführen des Bereitstellungsskripts aus dem extrahierten Ordner.

3. Stellen Sie anhand der Schritte im Abschnitt Verifying the Deployment in Azure (Überprüfen der Bereitstellung in Azure) sicher, dass der Connector eingerichtet ist und ordnungsgemäß funktioniert. Vergewissern Sie sich, dass folgende Voraussetzungen erfüllt sind:

   • Die erforderlichen Azure-Funktionen wurden in Ihrem Azure-Abonnement erstellt.
   • Die Microsoft Entra-Protokolle werden an das richtige Ziel gestreamt.
   • Die Anwendungseinstellungen aus Ihrer Bereitstellung werden in den Anwendungseinstellungen in Azure-Funktions-Apps dauerhaft gespeichert.
   • In Azure wird eine neue Ressourcengruppe für ArcSight erstellt, die eine Microsoft Entra-Anwendung für den ArcSight-Connector und Speicherkonten mit den zugeordneten Dateien im CEF-Format umfasst.

4. Führen Sie die Schritte nach der Bereitstellung im Abschnitt Konfigurationsschritte nach der Bereitstellung des ArcSight-Konfigurationsleitfadens durch. In diesem Abschnitt wird erläutert, wie Sie bei Verwendung eines App Service-Plans eine andere Konfiguration vornehmen, um zu verhindern, dass die Funktions-Apps nach einem Zeitlimit in den Leerlauf wechseln. Zudem wird beschrieben, wie Sie das Streamen von Ressourcenprotokollen aus dem Event Hub konfigurieren und das SysLog NG Daemon SmartConnector-Keystorezertifikat aktualisieren, um es einem neu erstellten Speicherkonto zuzuordnen.

5. Ferner wird im Konfigurationsleitfaden die Anpassung von Connectoreigenschaften in Azure sowie das Aktualisieren und Deinstallieren des Connectors erläutert. Es gibt auch einen Abschnitt zu Möglichkeiten der Leistungssteigerung, einschließlich eines Upgrades auf einen Azure-Verbrauchstarif und der Konfiguration von ArcSight Load Balancer, wenn die Ereignislast die Kapazitäten eines einzelnen Syslog NG Daemon SmartConnectors übersteigt.

Optionen und Überlegungen zur Integration von Aktivitätsprotokollen

Wenn Ihr aktuelles SIEM-Tool in der Azure Monitor-Diagnose noch nicht unterstützt wird, können Sie mit der Event Hub-API benutzerdefinierte Tools einrichten. Weitere Informationen finden Sie unter Erste Schritte zum Empfangen von Nachrichten von einem Event Hub.

IBM QRadar ist eine weitere Option für die Integration in Microsoft Entra-Aktivitätsprotokolle. Das DSM- und das Azure Event Hub-Protokoll stehen auf der Seite IBM-Support zum Download zur Verfügung. Weitere Informationen zur Integration in Azure finden Sie auf der Website zur IBM QRadar Security Intelligence-Plattform 7.3.0.

Einige Anmeldekategorien enthalten abhängig von der Konfiguration Ihres Mandanten große Mengen an Protokolldaten. Im Allgemeinen können die nicht interaktiven Benutzer- und Dienstprinzipal-Anmeldungen fünf- bis zehnmal größer sein als die interaktiven Benutzeranmeldeinformationen.

Nächste Schritte

• Analysieren von Microsoft Entra-Aktivitätsprotokolle mit Azure Monitor-Protokollen
• Verwenden von Microsoft Graph für den Zugriff auf Microsoft Entra-Aktivitätsprotokolle