Tevékenységnaplók streamelése eseményközpontba

A Microsoft Entra-bérlő másodpercenként nagy mennyiségű adatot állít elő. A bejelentkezési tevékenység és a bérlőben végrehajtott módosítások naplói sok olyan adatot adnak hozzá, amelyeket nehéz elemezni. A biztonsági információ- és eseménykezelési (SIEM) eszközökkel való integrációval betekintést nyerhet a környezetébe.

Ez a cikk bemutatja, hogyan streamelheti naplóit egy eseményközpontba, hogy integrálható legyen a számos SIEM-eszköz egyikével.

Előfeltételek

• Ha naplókat szeretne streamelni egy SIEM-eszközre, először létre kell hoznia egy Azure-eseményközpontot. Megtudhatja, hogyan hozhat létre eseményközpontot.

• Miután rendelkezik a Microsoft Entra-tevékenységnaplókat tartalmazó eseményközponttal, beállíthatja a SIEM eszközintegrációt a Microsoft Entra diagnosztikai beállításaival.

Naplók streamelése eseményközpontba

Borravaló

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.

2. Tallózással keresse meg az Identitásfigyelés>& Állapotdiagnosztikai>beállításokat. Az Exportálási beállítások lehetőséget a Naplózási naplók vagy a Bejelentkezések lapon is kiválaszthatja .

3. Válassza a + Diagnosztikai beállítás hozzáadása lehetőséget egy új integráció létrehozásához, vagy válassza a Szerkesztés beállítást egy meglévő integrációhoz.

4. Adjon meg egy diagnosztikai beállításnevet. Ha meglévő integrációt szerkeszt, nem módosíthatja a nevet.

5. Válassza ki a streamelni kívánt naplókategóriákat.

6. Jelölje be a Stream egy eseményközpontba jelölőnégyzetet.

7. Válassza ki az Azure-előfizetést, az Event Hubs-névteret és az opcionális eseményközpontot, ahová a naplókat irányítani szeretné.

Az előfizetésnek és az Event Hubs-névtérnek egyaránt hozzá kell tartoznia a Microsoft Entra-bérlőhöz, ahonnan a naplókat streameli.

Miután elkészült az Azure-eseményközponttal, lépjen a tevékenységnaplókkal integrálni kívánt SIEM-eszközre. A folyamat befejeződött a SIEM eszközben.

Jelenleg a Splunk, a SumoLogic és az ArcSight támogatott. Első lépésként válasszon egy lapot. Tekintse meg az eszköz dokumentációját.

Splunk

A funkció használatához szüksége van a Microsoft Cloud Services Splunk bővítményére.

Microsoft Entra-naplók integrálása a Splunkkal

1. Nyissa meg a Splunk-példányt, és válassza az Adatok összegzése lehetőséget.

   

2. Válassza a Sourcetypes lapot, majd válassza az mscs:azure:eventhub lehetőséget

   

A body.records.category=AuditLogs hozzáfűzése a kereséshez. A Microsoft Entra tevékenységnaplói az alábbi ábrán láthatók:

Ha nem tud bővítményt telepíteni a Splunk-példányba (például ha proxyt használ, vagy a Splunk Cloudon fut), továbbíthatja ezeket az eseményeket a Splunk HTTP-eseménygyűjtőnek. Ehhez használja ezt az Azure-függvényt, amelyet az eseményközpont új üzenetei aktiválnak.

SumoLogic

A funkció használatához sumoLogic egyszeri bejelentkezésre engedélyezett előfizetésre van szüksége.

Microsoft Entra-naplók integrálása a SumoLogic szolgáltatással

1. Konfigurálja a SumoLogic-példányt a Microsoft Entra ID naplóinak gyűjtéséhez.

2. Telepítse a Microsoft Entra SumoLogic alkalmazást az előre konfigurált irányítópultok használatára, amelyek valós idejű elemzést biztosítanak a környezetről.

   

ArcSight

A funkció használatához az ArcSight Syslog NG Daemon SmartConnector (SmartConnector) vagy az ArcSight Load Balancer konfigurált példányára van szükség. Ha az eseményeket az ArcSight Load Balancernek küldi el, a Rendszer elküldi őket a SmartConnectornak a Terheléselosztótól.

Töltse le és nyissa meg az Azure Monitor Event Hubshoz készült ArcSight SmartConnector konfigurációs útmutatóját. Ez az útmutató az Azure Monitorhoz készült ArcSight SmartConnector telepítéséhez és konfigurálásához szükséges lépéseket tartalmazza.

Microsoft Entra-naplók integrálása az ArcSighttal

1. Hajtsa végre a lépéseket az ArcSight konfigurációs útmutatójának Előfeltételek szakaszában. Ez a szakasz a következő lépéseket tartalmazza:

   • Állítson be felhasználói engedélyeket az Azure-ban, hogy biztosan legyen tulajdonosi szerepkörrel rendelkező felhasználó az összekötő üzembe helyezéséhez és konfigurálásához.
   • Nyisson meg portokat a kiszolgálón a Syslog NG Daemon SmartConnector használatával, hogy az elérhető legyen az Azure-ból.
   • Az üzembe helyezés egy PowerShell-szkriptet futtat, ezért engedélyeznie kell a PowerShellt, hogy parancsfájlokat futtasson azon a gépen, amelyen telepíteni szeretné az összekötőt.

2. Az összekötő üzembe helyezéséhez kövesse az ArcSight konfigurációs útmutatójának Összekötő telepítése szakaszának lépéseit. Ez a szakasz bemutatja, hogyan töltheti le és nyerheti ki az összekötőt, konfigurálhatja az alkalmazás tulajdonságait, és futtathatja az üzembehelyezési szkriptet a kinyert mappából.

3. Az Azure-beli üzembe helyezés ellenőrzésének lépéseit követve ellenőrizze, hogy az összekötő megfelelően van-e beállítva, és megfelelően működik-e. Ellenőrizze a következő előfeltételeket:

   • A szükséges Azure-függvények az Azure-előfizetésben jönnek létre.
   • A Microsoft Entra-naplók a megfelelő célhelyre lesznek streamelve.
   • Az üzembe helyezés alkalmazásbeállításai megmaradnak az Azure Function Apps alkalmazásbeállításaiban.
   • Létrejön egy új erőforráscsoport az ArcSighthoz az Azure-ban, amely egy Microsoft Entra-alkalmazással rendelkezik az ArcSight-összekötőhöz és a cef formátumú leképezett fájlokat tartalmazó tárfiókokhoz.

4. Végezze el az üzembe helyezés utáni lépéseket az ArcSight konfigurációs útmutatójának üzembe helyezés utáni konfigurációiban. Ez a szakasz azt ismerteti, hogyan hajthat végre egy másik konfigurációt, ha egy App Service-csomagban van, hogy megakadályozza a függvényalkalmazások tétlenségét egy időtúllépési időszak után, konfigurálja az erőforrásnaplók streamelését az eseményközpontból, és frissítse a SysLog NG Daemon SmartConnector kulcstártanúsítványt az újonnan létrehozott tárfiókhoz való társításhoz.

5. A konfigurációs útmutató azt is ismerteti, hogyan szabhatja testre az összekötő tulajdonságait az Azure-ban, és hogyan frissítheti és távolíthatja el az összekötőt. Van egy szakasz a teljesítményfejlesztésekről is, beleértve az Azure Consumption-csomagra való frissítést és az ArcSight Load Balancer konfigurálását, ha az eseményterhelés nagyobb, mint amit egyetlen Syslog NG Daemon SmartConnector képes kezelni.

Tevékenységnapló-integrációs lehetőségek és szempontok

Ha a jelenlegi SIEM még nem támogatott az Azure Monitor-diagnosztika során, az Event Hubs API-val egyéni eszközkészletet állíthat be. További információkért tekintse meg az eseményközpontból érkező üzenetek fogadásának első lépéseit.

Az IBM QRadar egy másik lehetőség a Microsoft Entra tevékenységnaplóival való integrációra. A DSM és az Azure Event Hubs Protocol az IBM ügyfélszolgálatánál tölthető le. Az Azure-ral való integrációról további információt az IBM QRadar Security Intelligence Platform 7.3.0 webhelyén talál.

Egyes bejelentkezési kategóriák nagy mennyiségű naplóadatot tartalmaznak a bérlő konfigurációjától függően. A nem interaktív felhasználói bejelentkezések és a szolgáltatásnév-bejelentkezések általában 5–10-szer nagyobbak lehetnek, mint az interaktív felhasználói bejelentkezések.

Következő lépések

• A Microsoft Entra tevékenységnaplóinak elemzése Azure Monitor-naplókkal
• A Microsoft Graph használata a Microsoft Entra tevékenységnaplóinak eléréséhez