Tevékenységnaplók streamelése eseményközpontba

A Microsoft Entra-bérlő másodpercenként nagy mennyiségű adatot állít elő. A bejelentkezési tevékenység és a bérlőben végrehajtott módosítások naplói sok olyan adatot adnak hozzá, amelyeket nehéz elemezni. A biztonsági információ- és eseménykezelési (SIEM) eszközökkel való integrációval betekintést nyerhet a környezetébe.

Ez a cikk bemutatja, hogyan streamelheti naplóit egy eseményközpontba, hogy integrálható legyen a számos SIEM-eszköz egyikével.

Előfeltételek

• Ha naplókat szeretne streamelni egy SIEM-eszközre, először létre kell hoznia egy Azure-eseményközpontot. Megismerkedhet az eseményközpont létrehozásának menetével.

• Miután rendelkezik a Microsoft Entra-tevékenységnaplókat tartalmazó eseményközponttal, beállíthatja a SIEM eszközintegrációt a Microsoft Entra diagnosztikai beállításaival.

Naplók streamelése eseményközpontba

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági Rendszergazda istratorként.

2. Tallózással keresse meg az Identitásfigyelés>& Állapotdiagnosztikai>beállításokat. Az Gépház exportálása lehetőséget a Naplózási naplók vagy a Bejelentkezések lapon is kiválaszthatja.

3. Válassza a + Diagnosztikai beállítás hozzáadása lehetőséget egy új integráció létrehozásához, vagy válassza a Szerkesztés beállítást egy meglévő integrációhoz.

4. Adjon meg egy diagnosztikai beállításnevet. Ha meglévő integrációt szerkeszt, nem módosíthatja a nevet.

5. Válassza ki a streamelni kívánt naplókategóriákat.

6. Jelölje be a Stream egy eseményközpontba jelölőnégyzetet.

7. Válassza ki az Azure-előfizetést, az Event Hubs-névteret és az opcionális eseményközpontot, ahová a naplókat irányítani szeretné.

Az előfizetésnek és az Event Hubs-névtérnek egyaránt hozzá kell tartoznia a Microsoft Entra-bérlőhöz, ahonnan a naplókat streameli.

Miután elkészült az Azure-eseményközponttal, lépjen a tevékenységnaplókkal integrálni kívánt SIEM-eszközre. A folyamatot a SIEM eszközben fogja befejezni.

Jelenleg a Splunk, a SumoLogic és az ArcSight támogatott. Első lépésként válasszon egy lapot. Tekintse meg az eszköz dokumentációját.

Splunk

A funkció használatához szüksége van a Microsoft Cloud Services Splunk bővítményére.

Microsoft Entra-naplók integrálása a Splunkkal

1. Nyissa meg a Splunk-példányt, és válassza az Adatok összegzése lehetőséget.

   

2. Válassza a Sourcetypes lapot, majd válassza az mscs:azure:eventhub lehetőséget

   

A body.records.category=AuditLogs hozzáfűzése a kereséshez. A Microsoft Entra tevékenységnaplói az alábbi ábrán láthatók:

Ha nem tud bővítményt telepíteni a Splunk-példányba (például ha proxyt használ, vagy a Splunk Cloudon fut), továbbíthatja ezeket az eseményeket a Splunk HTTP-eseménygyűjtőnek. Ehhez használja ezt az Azure-függvényt, amelyet az eseményközpont új üzenetei aktiválnak.

SumoLogic

A funkció használatához sumoLogic egyszeri bejelentkezésre engedélyezett előfizetésre van szüksége.

Microsoft Entra-naplók integrálása a SumoLogic szolgáltatással

1. Konfigurálja a SumoLogic-példányt a Microsoft Entra ID naplóinak gyűjtéséhez.

2. Telepítse a Microsoft Entra SumoLogic alkalmazást az előre konfigurált irányítópultok használatára, amelyek valós idejű elemzést biztosítanak a környezetről.

   

ArcSight

A funkció használatához az ArcSight Syslog NG Daemon Smart Csatlakozás or (Intelligens Csatlakozás or) vagy az ArcSight Load Balancer konfigurált példányára van szükség. Ha az eseményeket az ArcSight Load Balancerbe küldi, a Rendszer elküldi őket a Smart Csatlakozás ornak a Terheléselosztótól.

Töltse le és nyissa meg az Azure Monitor Event Hubshoz készült ArcSight Smart Csatlakozás or konfigurációs útmutatóját. Ez az útmutató az ArcSight Smart Csatlakozás or azure monitor telepítéséhez és konfigurálásához szükséges lépéseket tartalmazza.

Microsoft Entra-naplók integrálása az ArcSighttal

1. Hajtsa végre a lépéseket az ArcSight konfigurációs útmutatójának Előfeltételek szakaszában. Ez a szakasz a következő lépéseket tartalmazza:

   • Állítson be felhasználói engedélyeket az Azure-ban, hogy biztosan legyen tulajdonosi szerepkörrel rendelkező felhasználó az összekötő üzembe helyezéséhez és konfigurálásához.
   • Nyisson meg portokat a kiszolgálón a Syslog NG Daemon Smart Csatlakozás or használatával, hogy elérhető legyen az Azure-ból.
   • Az üzembe helyezés egy PowerShell-szkriptet futtat, ezért engedélyeznie kell a PowerShellt, hogy parancsfájlokat futtasson azon a gépen, amelyen telepíteni szeretné az összekötőt.

2. Az összekötő üzembe helyezéséhez kövesse az ArcSight konfigurációs útmutatójának Csatlakozás or szakaszának lépéseit. Ez a szakasz bemutatja, hogyan töltheti le és nyerheti ki az összekötőt, konfigurálhatja az alkalmazás tulajdonságait, és futtathatja az üzembehelyezési szkriptet a kinyert mappából.

3. Az Azure-beli üzembe helyezés ellenőrzésének lépéseit követve ellenőrizze, hogy az összekötő megfelelően van-e beállítva, és megfelelően működik-e. Ellenőrizze a következő előfeltételeket:

   • A szükséges Azure-függvények az Azure-előfizetésben jönnek létre.
   • A Microsoft Entra-naplók a megfelelő célhelyre lesznek streamelve.
   • Az üzembe helyezés alkalmazásbeállításai megmaradnak az Alkalmazás Gépház az Azure Function Appsben.
   • Létrejön egy új erőforráscsoport az ArcSighthoz az Azure-ban, amely egy Microsoft Entra-alkalmazással rendelkezik az ArcSight-összekötőhöz és a cef formátumú leképezett fájlokat tartalmazó tárfiókokhoz.

4. Végezze el az üzembe helyezés utáni lépéseket az ArcSight konfigurációs útmutatójának üzembe helyezés utáni konfigurációiban. Ez a szakasz azt ismerteti, hogyan hajthat végre egy másik konfigurációt, ha egy App Service-csomagban van, hogy megakadályozza a függvényalkalmazások tétlenségét egy időtúllépési időszak után, konfigurálja az erőforrásnaplók streamelését az eseményközpontból, és frissítse a SysLog NG Daemon Smart Csatlakozás or kulcstártanúsítványt az újonnan létrehozott tárfiókhoz való társításához.

5. A konfigurációs útmutató azt is ismerteti, hogyan szabhatja testre az összekötő tulajdonságait az Azure-ban, és hogyan frissítheti és távolíthatja el az összekötőt. Van egy szakasz a teljesítményfejlesztésekről is, beleértve az Azure Consumption-csomagra való frissítést és az ArcSight Load Balancer konfigurálását, ha az eseményterhelés nagyobb, mint amit egyetlen Syslog NG Daemon Smart Csatlakozás or képes kezelni.

Tevékenységnapló-integrációs lehetőségek és szempontok

Ha a jelenlegi SIEM még nem támogatott az Azure Monitor-diagnosztika során, az Event Hubs API-val egyéni eszközkészletet állíthat be. További részletekért lásd az eseményközpontból való üzenetfogadás első lépéseit ismertető cikket.

Az IBM QRadar egy másik lehetőség a Microsoft Entra tevékenységnaplóival való integrációra. A DSM és az Azure Event Hubs Protocol az IBM ügyfélszolgálatánál tölthető le. Az Azure-integrációról további információkat az IBM QRadar Security Intelligence Platform 7.3.0 webhelyén talál.

Egyes bejelentkezési kategóriák nagy mennyiségű naplóadatot tartalmaznak a bérlő konfigurációjától függően. A nem interaktív felhasználói bejelentkezések és a szolgáltatásnév-bejelentkezések általában 5–10-szer nagyobbak lehetnek, mint az interaktív felhasználói bejelentkezések.

Következő lépések

• A Microsoft Entra tevékenységnaplóinak elemzése Azure Monitor-naplókkal
• A Microsoft Graph használata a Microsoft Entra tevékenységnaplóinak eléréséhez