Esercitazione: Trasmettere i log di Azure Active Directory a un hub eventi di Azure

In questa esercitazione viene descritto come configurare le impostazioni di diagnostica di Monitoraggio di Azure per trasmettere i log di Azure Active Directory (Azure AD) a un hub eventi di Azure. Questo meccanismo consente di integrare i log con strumenti SIEM (Security Information and Event Management, informazioni di sicurezza e gestione degli eventi) di terze parti, come Splunk e QRadar.

Prerequisiti

Per usare questa funzionalità, sono necessari:

  • Una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, è possibile iscriversi per ottenere una versione di valutazione gratuita.
  • Un tenant di Azure AD.
  • Un utente che è un amministratore globale o un amministratore della sicurezza per il tenant di Azure AD.
  • Uno spazio dei nomi di Hub eventi e un hub eventi nella sottoscrizione di Azure. Leggere le informazioni su come creare un hub eventi.

Trasmettere i log a un hub eventi

  1. Accedere al portale di Azure.

  2. SelezionareLog di controllodi Azure Active Directory>.

  3. Selezionare Esporta impostazioni dati.

  4. Nel riquadro Impostazioni di diagnostica eseguire una delle operazioni seguenti:

    • Per modificare le impostazioni esistenti, selezionare Modifica l'impostazione.
    • Per aggiungere nuove impostazioni, selezionare Aggiungi impostazioni di diagnostica.
      È possibile avere fino a tre impostazioni.
  5. Selezionare la casella di controllo Streaming in un hub eventi e quindi selezionare Hub eventi/Configura.

    Esportazione impostazioni

    1. Selezionare la sottoscrizione di Azure e lo spazio dei nomi di Hub eventi a cui instradare i log. Sia la sottoscrizione che lo spazio dei nomi di Hub eventi devono essere associati al tenant di Azure AD da cui vengono trasmessi i log. È anche possibile specificare un hub eventi nello spazio dei nomi di Hub eventi a cui devono essere inviati i log. Se non viene specificato alcun hub eventi, viene creato un hub eventi nello spazio dei nomi con il nome predefinito insights-logs-audit.

    2. Selezionare qualsiasi combinazione degli elementi seguenti:

      • Per inviare i log di controllo all'hub eventi, selezionare la casella di controllo AuditLogs.
      • Per inviare log di accesso utente interattivi all'hub eventi, selezionare la casella di controllo SignInLogs .
      • Per inviare log di accesso utente non interattivi all'hub eventi, selezionare la casella di controllo NonInteractiveUserSignInLogs .
      • Per inviare i log di accesso dell'entità servizio all'hub eventi, selezionare la casella di controllo ServicePrincipalSignInLogs .
      • Per inviare i log di accesso dell'identità gestita all'hub eventi, selezionare la casella di controllo ManagedIdentitySignInLogs .
      • Per inviare i log di provisioning all'hub eventi, selezionare la casella di controllo ProvisioningLogs .
      • Per inviare gli accessi inviati ad Azure AD da un agente AD FS Connect Health, selezionare la casella di controllo ADFSSignInLogs .
      • Per inviare informazioni utente rischiose, selezionare la casella di controllo RiskyUsers .
      • Per inviare informazioni sugli eventi di rischio utente, selezionare la casella di controllo UserRiskEvents .

      Nota

      Alcune categorie di accesso contengono grandi quantità di dati di log a seconda della configurazione del tenant. In generale, gli accessi utente non interattivi e gli accessi dell'entità servizio possono essere da 5 a 10 volte superiori rispetto agli accessi utente interattivi.

    3. Selezionare Salva per salvare l'impostazione.

  6. Dopo circa 15 minuti, verificare che gli eventi vengano visualizzati nell'hub eventi. A tale scopo, passare all'hub eventi dal portale e verificare che il numero di Messaggi in arrivo sia maggiore di zero.

    Log di controllo

Accedere ai dati dall'hub eventi

Dopo che i dati vengono visualizzati nell'hub eventi, è possibile accedervi e leggerli in due modi:

Passaggi successivi