Streamen von Aktivitätsprotokollen an einen Event Hub

Ihr Microsoft Entra-Mandant produziert jede Sekunde große Mengen an Daten. Anmeldeaktivitäten und Protokolle der Änderungen an Ihrem Mandanten führen zu einer großen Datenmenge, die schwer zu analysieren ist. Die Integration in Security Information and Event Management (SIEM)-Tools kann Ihnen helfen, Einblicke in Ihre Umgebung zu gewinnen.

In diesem Artikel erfahren Sie, wie Sie Ihre Protokolle an einen Event Hub streamen können, um sie in eines von mehreren SIEM-Tools zu integrieren.

Voraussetzungen

• Ein Azure-Abonnement. Wenn Sie nicht über ein Azure-Abonnement verfügen, können Sie sich für eine kostenlose Testversion registrieren.
• Ein Azure Event Hub , der bereits eingerichtet ist. Erfahren Sie, wie Sie einen Event Hub erstellen.
• Sicherheitsadministratorzugriff , um allgemeine Diagnoseeinstellungen für den Microsoft Entra-Mandanten zu erstellen.
• Zugriff als Attributprotokolladministrator, um Diagnoseeinstellungen für Protokolle benutzerdefinierter Sicherheitsattribute zu erstellen.

Streamen von Protokollen an einen Event Hub

1. Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra ID>Überwachung und Gesundheit>Diagnostikeinstellungen. Sie können auch " Exporteinstellungen" auf der Seite " Überwachungsprotokolle " oder " Anmeldeinformationen" auswählen.

3. Wählen Sie +Diagnoseeinstellung hinzufügen , um eine neue Integration zu erstellen, oder wählen Sie "Bearbeiten"-Einstellung für eine vorhandene Integration aus.

4. Geben Sie einen Namen für die Diagnoseeinstellung ein. Wenn Sie eine vorhandene Integration bearbeiten, können Sie den Namen nicht ändern.

5. Wählen Sie die Protokollkategorien aus, die Sie streamen möchten.

6. Aktivieren Sie das Kontrollkästchen An einen Event Hub streamen.

7. Wählen Sie das Azure-Abonnement, den Event Hubs-Namespace und den optionalen Event Hub aus, an den Sie die Protokolle weiterleiten möchten.

Das Abonnement und der Event Hubs-Namespace müssen jeweils dem Microsoft Entra-Mandanten zugeordnet sein, von dem die Protokolle gestreamt werden.

Sobald Sie der Azure Event Hub bereit ist, navigieren Sie zu dem SIEM-Tool, in das Sie die Aktivitätsprotokolle integrieren möchten. Der Prozess wird im SIEM-Tool abgeschlossen.

Derzeit werden Splunk, SumoLogic und ArcSight unterstützt. Wählen Sie eine Registerkarte aus, um zu beginnen. Weitere Informationen finden Sie in der Dokumentation des Tools.

Splunk

Um dieses Feature zu verwenden, benötigen Sie das Splunk-Add-On für Microsoft Cloud Services.

Integrieren von Microsoft Entra-Protokollen in Splunk

1. Öffnen Sie Ihre Splunk-Instanz, und wählen Sie "Datenzusammenfassung" aus.

   

2. Wählen Sie die Registerkarte "Sourcetypes" und dann "mscs:azure:eventhub" aus.

   

Fügen Sie "body.records.category=AuditLogs " an die Suche an. Die Microsoft Entra-Aktivitätsprotokolle werden wie in der folgenden Abbildung angezeigt:

Falls Sie kein Add-On in Ihrer Splunk-Instanz installieren können, z.B. bei Verwendung eines Proxys oder bei Ausführung in Splunk Cloud, können Sie diese Ereignisse an die HTTP-Ereignissammlung von Splunk weiterleiten. Verwenden Sie dazu diese Azure-Funktion, die von neuen Nachrichten im Event Hub ausgelöst wird.

SumoLogic

Um diese Funktion verwenden zu können, benötigen Sie ein SumoLogic-Abonnement, für das das einmalige Anmelden aktiviert ist.

Integrieren von Microsoft Entra-Protokollen in SumoLogic

1. Konfigurieren Sie Ihre SumoLogic-Instanz so, dass Protokolle für die Microsoft Entra-ID erfasst werden.

2. Installieren Sie die Microsoft Entra SumoLogic-App , um die vorkonfigurierten Dashboards zu verwenden, die Eine Echtzeitanalyse Ihrer Umgebung ermöglichen.

   

ArcSight

Um diese Funktion verwenden zu können, benötigen Sie eine konfigurierte Instanz von ArcSight Syslog NG Daemon SmartConnector (SmartConnector) oder ArcSight Load Balancer. Wenn die Ereignisse an ArcSight Load Balancer gesendet werden, sendet Load Balancer diese Ereignisse an den SmartConnector.

Laden Sie das Konfigurationshandbuch für ArcSight SmartConnector für Azure Monitor Event Hubs herunter, und öffnen Sie sie. Dieser Leitfaden enthält die Schritte zum Installieren und Konfigurieren von ArcSight SmartConnector für Azure Monitor.

Integrieren von Microsoft Entra-Protokollen in ArcSight

1. Führen Sie die Schritte im Abschnitt "Voraussetzungen" des ArcSight-Konfigurationshandbuchs aus. Dieser Abschnitt umfasst die folgenden Schritte:

   • Legen Sie Benutzerberechtigungen in Azure fest, um sicherzustellen, dass ein Benutzer mit der Besitzerrolle zum Bereitstellen und Konfigurieren des Connectors vorhanden ist.
   • Öffnen Sie Ports auf dem Server mit Syslog NG Daemon SmartConnector, sodass er von Azure aus zugänglich ist.
   • Bei der Bereitstellung wird ein PowerShell-Skript ausgeführt. Daher müssen Sie PowerShell die Ausführung von Skripts auf dem Computer ermöglichen, auf dem Sie den Connector bereitstellen möchten.

2. Führen Sie die Schritte im Abschnitt "Bereitstellen des Connectors " des ArcSight-Konfigurationshandbuchs aus, um den Connector bereitzustellen. Dieser Abschnitt führt Sie durch die Schritte zum Herunterladen und Extrahieren des Connectors, zum Konfigurieren der Anwendungseigenschaften und zum Ausführen des Bereitstellungsskripts aus dem extrahierten Ordner.

3. Führen Sie die Schritte in der Überprüfung der Bereitstellung in Azure aus, um sicherzustellen, dass der Connector ordnungsgemäß eingerichtet und funktioniert. Vergewissern Sie sich, dass folgende Voraussetzungen erfüllt sind:

   • Die erforderlichen Azure-Funktionen wurden in Ihrem Azure-Abonnement erstellt.
   • Die Microsoft Entra-Protokolle werden an das richtige Ziel gestreamt.
   • Die Anwendungseinstellungen aus Ihrer Bereitstellung werden in den Anwendungseinstellungen in Azure-Funktions-Apps dauerhaft gespeichert.
   • In Azure wird eine neue Ressourcengruppe für ArcSight erstellt, die eine Microsoft Entra-Anwendung für den ArcSight-Connector und Speicherkonten mit den zugeordneten Dateien im CEF-Format umfasst.

4. Führen Sie die Schritte nach der Bereitstellung in den Konfigurationen nach der Bereitstellung des ArcSight-Konfigurationshandbuchs aus. In diesem Abschnitt wird erläutert, wie Sie bei Verwendung eines App Service-Plans eine andere Konfiguration vornehmen, um zu verhindern, dass die Funktions-Apps nach einem Zeitlimit in den Leerlauf wechseln. Zudem wird beschrieben, wie Sie das Streamen von Ressourcenprotokollen aus dem Event Hub konfigurieren und das SysLog NG Daemon SmartConnector-Keystorezertifikat aktualisieren, um es einem neu erstellten Speicherkonto zuzuordnen.

5. Ferner wird im Konfigurationsleitfaden die Anpassung von Connectoreigenschaften in Azure sowie das Aktualisieren und Deinstallieren des Connectors erläutert. Es gibt auch einen Abschnitt zu Leistungsverbesserungen, einschließlich des Upgrades auf einen Azure-Verbrauchsplan und dem Konfigurieren eines ArcSight Load Balancer, wenn die Ereignislast größer ist als das, was ein einzelner Syslog NG Daemon SmartConnector verarbeiten kann.

Optionen und Überlegungen zur Integration von Aktivitätsprotokollen

Wenn Ihr aktuelles SIEM in der Azure Monitor-Diagnose noch nicht unterstützt wird, können Sie benutzerdefinierte Tools mithilfe der Event Hubs-API einrichten. Weitere Informationen finden Sie unter " Erste Schritte beim Empfangen von Nachrichten von einem Event Hub".

IBM QRadar ist eine weitere Option für die Integration in Microsoft Entra-Aktivitätsprotokolle. Das DSM- und Azure Event Hubs-Protokoll stehen zum Download beim IBM-Support zur Verfügung. Weitere Informationen zur Integration in Azure erfahren Sie auf der Website IBM QRadar Security Intelligence Platform 7.3.0 .

Einige Anmeldekategorien enthalten abhängig von der Konfiguration Ihres Mandanten große Mengen an Protokolldaten. Im Allgemeinen können die nicht interaktiven Benutzer- und Dienstprinzipal-Anmeldungen fünf- bis zehnmal größer sein als die interaktiven Benutzeranmeldeinformationen.

Nächste Schritte

• Analysieren von Microsoft Entra-Aktivitätsprotokollen mit Azure Monitor-Protokollen
• Verwenden von Microsoft Graph für den Zugriff auf Microsoft Entra-Aktivitätsprotokolle