Come trasmettere i log attività a un hub eventi

Il tenant di Microsoft Entra produce grandi quantità di dati ogni secondo. Le attività di accesso e i log delle modifiche apportate nel tenant aggiungono molti dati che possono essere difficili da analizzare. L'integrazione con gli strumenti SIEM (Security Information and Event Management) consente di ottenere informazioni dettagliate sull'ambiente.

Questo articolo illustra come trasmettere i log a un hub eventi per l'integrazione con uno dei diversi strumenti SIEM.

Prerequisiti

  • Per trasmettere i log a uno strumento SIEM, è prima necessario creare un hub eventi di Azure. Leggere le informazioni su come creare un hub eventi.

  • Dopo aver creato un hub eventi che contiene i log attività di Microsoft Entra, è possibile configurare l'integrazione dello strumento SIEM usando le impostazioni di diagnostica di Microsoft Entra.

Trasmettere i log a un hub eventi

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di sicurezza.

  2. Passare a Identity Monitoring and health Diagnostic settings (Monitoraggio identità>e impostazioni di diagnostica dell'integrità).> È anche possibile selezionare Esporta Impostazioni nella pagina Log di controllo o Accessi.

  3. Selezionare + Aggiungi impostazione di diagnostica per creare una nuova integrazione o selezionare Modifica impostazione per un'integrazione esistente.

  4. Immettere un nome di impostazione di diagnostica. Se si modifica un'integrazione esistente, non è possibile modificare il nome.

  5. Selezionare le categorie di log da trasmettere.

  1. Selezionare la casella di controllo Streaming in un hub eventi.

  2. Selezionare la sottoscrizione di Azure, lo spazio dei nomi di Hub eventi e l'hub eventi facoltativo in cui si vogliono instradare i log.

La sottoscrizione e lo spazio dei nomi di Hub eventi devono essere entrambi associati al tenant di Microsoft Entra da cui si stanno trasmettendo i log.

Dopo aver pronto l'hub eventi di Azure, passare allo strumento SIEM che si vuole integrare con i log attività. Il processo verrà completato nello strumento SIEM.

Attualmente è supportato Splunk, SumoLogic e ArcSight. Selezionare una scheda per iniziare. Fare riferimento alla documentazione dello strumento.

Per usare questa funzionalità, è necessario il componente aggiuntivo Splunk per Microsoft Servizi cloud.

Integrare i log di Microsoft Entra con Splunk

  1. Aprire l'istanza di Splunk e selezionare Riepilogo dati.

    The

  2. Selezionare la scheda Tipi di origine e quindi selezionare mscs:azure:eventhub

    The Data Summary Sourcetypes tab

Aggiungere body.records.category=AuditLogs alla ricerca. I log attività di Microsoft Entra sono illustrati nella figura seguente:

Activity logs

Se non è possibile installare un componente aggiuntivo nell'istanza di Splunk( ad esempio, se si usa un proxy o si esegue in Splunk Cloud), è possibile inoltrare questi eventi all'agente di raccolta eventi HTTP splunk. A tale scopo, usare questa funzione di Azure, che viene attivata dai nuovi messaggi nell'hub eventi.

Opzioni e considerazioni sull'integrazione del log attività

Se il sistema SIEM corrente non è ancora supportato nella diagnostica di Monitoraggio di Azure, è possibile configurare strumenti personalizzati usando l'API di Hub eventi. Per altre informazioni, vedere la Guida introduttiva alla ricezione di messaggi da un hub eventi.

IBM QRadar è un'altra opzione per l'integrazione con i log attività di Microsoft Entra. Il DSM e il protocollo Hub eventi di Azure sono disponibili per il download al supporto IBM. Per altre informazioni sull'integrazione con Azure, visitare il sito IBM QRadar Security Intelligence Platform 7.3.0.

Alcune categorie di accesso contengono grandi quantità di dati di log, a seconda della configurazione del tenant. In generale, gli accessi utente non interattivi e gli accessi dell'entità servizio possono essere da 5 a 10 volte superiori agli accessi utente interattivi.

Passaggi successivi