Comment diffuser des journaux d’activité à un Event Hub

Votre locataire Microsoft Entra produit chaque seconde de grandes quantités de données. L’activité de connexion et les journaux des modifications apportées à votre locataire représentent tellement de données qu’il peut être difficile de les analyser. L’intégration avec des outils SIEM (Security Information and Event Management) peut vous aider à obtenir des insights sur votre environnement.

Cet article explique comment diffuser vos journaux vers un Event Hub pour les intégrer à l’un des outils SIEM.

Prerequisites

• Un abonnement Azure. Si vous n’avez pas d’abonnement Azure, vous pouvez vous inscrire à un essai gratuit.
• Hub d’événements Azure déjà configuré. Découvrez comment créer un hub d’événements.
• Accès administrateur de sécurité pour créer des paramètres généraux de diagnostic pour le client Microsoft Entra.
• Attribuez à l'administrateur l'accès pour créer des paramètres de diagnostic pour les journaux d'activité des attributs de sécurité personnalisés.

Transmettre en continu des journaux d’activité vers un hub d’événements

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.

2. Accédez à Entra ID>Supervision & intégrité>Paramètres de diagnostic. Vous pouvez également sélectionner Exporter les paramètres dans la page Journaux d’audit ou Connexions .

3. Sélectionnez + Ajouter un paramètre de diagnostic pour créer une nouvelle intégration ou sélectionnez Modifier le paramètre pour une intégration existante.

4. Entrez un nom de paramètre de diagnostic. Si vous modifiez une intégration existante, vous ne pouvez pas modifier le nom.

5. Sélectionnez les catégories de journaux que vous souhaitez diffuser.

6. Cochez la case Diffuser vers Event Hub.

7. Sélectionnez l’abonnement Azure, l’espace de noms Event Hubs et un Event Hub facultatif où vous souhaitez acheminer les journaux.

L’abonnement et l’espace de noms Event Hubs doivent tous deux être associés au locataire Microsoft Entra à partir duquel les journaux sont diffusés.

Une fois l’Event Hub Azure prêt, accédez à l’outil SIEM que vous souhaitez intégrer aux journaux d’activité. Le processus se termine dans l’outil SIEM.

Pour le moment, nous prenons en charge Splunk, SumoLogic et ArcSight. Sélectionnez un onglet pour commencer. Reportez-vous à la documentation de l’outil.

Splunk

Pour utiliser cette fonctionnalité, vous avez besoin du module complémentaire Splunk pour Microsoft Cloud Services.

Intégrer des journaux Microsoft Entra à Splunk

1. Ouvrez votre instance Splunk et sélectionnez Résumé des données.

   

2. Sélectionnez l’onglet Sourcestypes , puis sélectionnez mscs :azure :eventhub

   

Ajoutez body.records.category=AuditLogs à la recherche. Les journaux d’activité de Microsoft Entra sont présentés dans la figure suivante :

Si vous ne pouvez pas installer de module complémentaire dans votre instance Splunk (par exemple, si vous utilisez un proxy ou exécutez sur un cloud Splunk), vous pouvez transférer ces événements au collecteur d’événements HTTP Splunk. Pour ce faire, utilisez cette fonction Azure, déclenchée par de nouveaux messages dans le hub d’événements.

SumoLogic

Pour utiliser cette fonctionnalité, vous avez besoin d’un abonnement SumoLogic pour lequel l’authentification unique est activée.

Intégrer des journaux Microsoft Entra à SumoLogic

1. Configurez votre instance SumoLogic pour collecter les journaux d’activité de Microsoft Entra ID.

2. Installez l’application Microsoft Entra SumoLogic pour utiliser les tableaux de bord préconfigurés qui fournissent une analyse en temps réel de votre environnement.

   

ArcSight

Pour utiliser cette fonctionnalité, vous avez besoin d’une instance configurée d’ArcSight Syslog NG Daemon SmartConnector (SmartConnector) ou ArcSight Load Balancer. Si les événements sont envoyés à ArcSight Load Balancer, ils sont envoyés SmartConnector par l’équilibreur de charge.

Téléchargez et ouvrez le guide de configuration pour ArcSight SmartConnector pour Azure Monitor Event Hubs. Ce guide décrit les étapes à suivre pour installer et configurer ArcSight SmartConnector pour Azure Monitor.

Intégrer des journaux Microsoft Entra à ArcSight

1. Effectuez les étapes décrites dans la section Conditions préalables du guide de configuration ArcSight. Cette section comprend les étapes suivantes :

   • Définissez les autorisations utilisateur dans Azure pour vous assurer qu’il existe un utilisateur avec le rôle propriétaire pour déployer et configurer le connecteur.
   • Ouvrez les ports sur le serveur avec Syslog NG Daemon SmartConnector, afin qu’il soit accessible depuis Azure.
   • Le déploiement exécute un script PowerShell, vous devez donc autoriser PowerShell à exécuter des scripts sur l’ordinateur où vous souhaitez déployer le connecteur.

2. Suivez les étapes décrites dans la section Déploiement du connecteur du guide de configuration ArcSight pour déployer le connecteur. Cette section vous explique comment télécharger et extraire le connecteur, configurer les propriétés de l’application et exécuter le script de déploiement dans le dossier extrait.

3. Utilisez les étapes de vérification du déploiement dans Azure pour vous assurer que le connecteur est configuré et fonctionne correctement. Vérifier les conditions préalables :

   • Les fonctions Azure requises sont créées dans votre abonnement Azure.
   • Les journaux d’activité Microsoft Entra sont diffusés vers la destination correcte.
   • Les paramètres d’application de votre déploiement sont conservés dans les paramètres d’application d’Azure Function Apps.
   • Un nouveau groupe de ressources pour ArcSight est créé dans Azure, avec une application Microsoft Entra pour le connecteur ArcSight et des comptes de stockage contenant les fichiers mappés au format CEF.

4. Suivez les étapes postérieures au déploiement dans les configurations post-déploiement du guide de configuration ArcSight. Cette section explique comment effectuer une autre configuration si vous utilisez un plan App Service pour empêcher que les applications de fonction deviennent inactives après un certain délai d’attente, configurer la diffusion en continu des journaux de ressources à partir du hub d’événements et mettre à jour le certificat de magasins de clés SysLog NG Daemon SmartConnector pour l’associer avec le compte de stockage nouvellement créé.

5. Le guide de configuration explique également comment personnaliser les propriétés du connecteur dans Azure, et comment le mettre à niveau et le désinstaller. Il existe également une section sur les améliorations des performances, notamment la mise à niveau vers un plan De consommation Azure et la configuration d’un équilibreur de charge ArcSight si la charge d’événement est supérieure à ce qu’un seul daemon SmartConnector Syslog NG peut gérer.

Options et considérations relatives à l’intégration des journaux d’activité

Si votre SIEM actuel n’est pas encore pris en charge dans les diagnostics Azure Monitor, vous pouvez configurer des outils personnalisés à l’aide de l’API Event Hubs. Pour plus d’informations, consultez la prise en main de la réception de messages à partir d’un hub d’événements.

IBM QRadar est une autre option pour l’intégration aux journaux d’activité Microsoft Entra. Le protocole DSM et Azure Event Hubs est disponible en téléchargement au support IBM. Pour plus d’informations sur l’intégration à Azure, accédez au site IBM QRadar Security Intelligence Platform 7.3.0 .

Certaines catégories de connexion contiennent de grandes quantités de données de journal en fonction de la configuration de votre locataire. En général, les connexions utilisateur non interactives et les connexions de principal du service peuvent être 5 à 10 fois plus volumineuses que les connexions utilisateur interactives.

Étapes suivantes

• Analyser les journaux d’activité Microsoft Entra avec les journaux de Azure Monitor
• Utiliser Microsoft Graph pour accéder aux journaux d’activité Microsoft Entra