Partage via


Diffusion en continu des journaux d’activité vers un Event Hub

Votre locataire Microsoft Entra produit de grandes quantités de données chaque seconde. L’activité de connexion et les journaux des modifications apportées à votre locataire s’ajoutent à un grand nombre de données qui peuvent être difficiles à analyser. L’intégration dans des outils SIEM (Security Information and Event Management) peut vous aider à obtenir des insights sur votre environnement.

Cet article explique comment diffuser en continu vos journaux vers un Event Hub pour les intégrer dans l’un des outils SIEM.

Prérequis

  • Pour diffuser en continu des journaux vers un outil SIEM, vous devez d’abord créer un Azure Event Hub. Découvrez comment créer un hub d’événements.

  • Une fois que vous disposez d’un Event Hub qui contient les journaux d’activité Microsoft Entra, vous pouvez configurer l’intégration de l’outil SIEM dans Paramètres des diagnostics Microsoft Entra.

Transmettre en continu des journaux d’activité vers un hub d’événements

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la sécurité.

  2. Accédez à Identité>Surveillance et intégrité>Paramètres de diagnostic. Vous pouvez également sélectionner Exporter les paramètres à partir de la page Journaux d’audit ou Connexion.

  3. Sélectionnez + Ajouter un paramètre de diagnostic pour créer une intégration ou sélectionnez Modifier le paramètre pour une intégration existante.

  4. Entrez un nom dans Nom du paramètre de diagnostic. Si vous modifiez une intégration existante, vous ne pouvez pas modifier le nom.

  5. Sélectionnez les catégories de journaux que vous souhaitez diffuser en continu.

  1. Cochez la case Diffuser vers Event Hub.

  2. Sélectionnez l’abonnement Azure, l’espace de noms Event Hubs et un Event Hub facultatif où vous souhaitez acheminer les journaux.

L’abonnement et l’espace de noms Event Hubs doivent tous deux être associés au locataire Microsoft Entra à partir duquel les journaux sont diffusés en continu.

Une fois l’Azure Event Hub prêt, accédez à l’outil SIEM que vous souhaitez intégrer dans les journaux d’activité. Le processus se termine dans l’outil SIEM.

Pour le moment, nous prenons en charge Splunk, SumoLogic et ArcSight. Sélectionnez un onglet ci-dessous pour commencer. Reportez-vous à la documentation de l’outil.

Pour utiliser cette fonctionnalité, vous avez besoin du module complémentaire Splunk pour les services de cloud computing Microsoft.

Intégrer les journaux Microsoft Entra à Splunk

  1. Ouvrez l’instance Splunk, puis sélectionnez Synthèse des données.

    Bouton « Synthèse des données »

  2. Sélectionnez l’onglet Sourcetypes, puis mscs:azure:eventhub

    Onglet Sourcetypes de Synthèse des données

Ajoutez body.records.category=AuditLogs à la recherche. Les journaux d’activité de Microsoft Entra sont présentés dans la figure suivante :

Journaux d’activité

Si vous ne pouvez pas installer de module complémentaire dans votre instance Splunk (par exemple, si vous utilisez un proxy ou si vous exécutez sur Splunk Cloud), vous pouvez transférer ces événements vers le collecteur d’événements Splunk HTTP. Pour ce faire, utilisez cette fonction Azure déclenchée par de nouveaux messages dans le hub d’événements.

Options et considérations relatives à l’intégration des journaux d’activité

Si votre outil SIEM actuel n’est pas encore pris en charge dans les diagnostics d’Azure Monitor, vous pouvez configurer des outils personnalisés à l’aide de l’API Event Hubs. Pour plus d’informations, consultez la section Prise en main de la réception des messages à partir d’un hub d’événements.

IBM QRadar est une autre option pour l’intégration dans les journaux d’activité Microsoft Entra. Vous pouvez télécharger le module DSM et le protocole Azure Event Hubs depuis l’adresse du service d’assistance d’IBM. Pour plus d’informations sur l’intégration avec Azure, accédez au site IBM QRadar Security Intelligence Platform 7.3.0.

Certaines catégories de connexion contiennent de grandes quantités de données de journal en fonction de la configuration de votre locataire. En général, les connexions utilisateur non interactives et les connexions de principal du service peuvent être 5 à 10 fois plus volumineuses que les connexions utilisateur interactives.

Étapes suivantes