Esercitazione: Trasmettere i log di Azure Active Directory a un hub eventi di Azure

In questa esercitazione viene descritto come configurare le impostazioni di diagnostica di Monitoraggio di Azure per trasmettere i log di Azure Active Directory (Azure AD) a un hub eventi di Azure. Questo meccanismo consente di integrare i log con strumenti SIEM (Security Information and Event Management, informazioni di sicurezza e gestione degli eventi) di terze parti, come Splunk e QRadar.

Prerequisiti

Per usare questa funzionalità, sono necessari:

• Una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, è possibile iscriversi per ottenere una versione di valutazione gratuita.
• Un tenant di Azure AD.
• Un utente che è un amministratore globale o un amministratore della sicurezza per il tenant di Azure AD.
• Uno spazio dei nomi di Hub eventi e un hub eventi nella sottoscrizione di Azure. Leggere le informazioni su come creare un hub eventi.

Trasmettere i log a un hub eventi

1. Accedere al portale di Azure.

2. SelezionareLog di controllodi Azure Active Directory>.

3. Selezionare Esporta impostazioni dati.

4. Nel riquadro Impostazioni di diagnostica eseguire una delle operazioni seguenti:

   • Per modificare le impostazioni esistenti, selezionare Modifica l'impostazione.
   • Per aggiungere nuove impostazioni, selezionare Aggiungi impostazioni di diagnostica.
     È possibile avere fino a tre impostazioni.

5. Selezionare la casella di controllo Streaming in un hub eventi e quindi selezionare Hub eventi/Configura.

   

   1. Selezionare la sottoscrizione di Azure e lo spazio dei nomi di Hub eventi a cui instradare i log. Sia la sottoscrizione che lo spazio dei nomi di Hub eventi devono essere associati al tenant di Azure AD da cui vengono trasmessi i log. È anche possibile specificare un hub eventi nello spazio dei nomi di Hub eventi a cui devono essere inviati i log. Se non viene specificato alcun hub eventi, viene creato un hub eventi nello spazio dei nomi con il nome predefinito insights-logs-audit.

   2. Selezionare qualsiasi combinazione degli elementi seguenti:

      • Per inviare i log di controllo all'hub eventi, selezionare la casella di controllo AuditLogs.
      • Per inviare log di accesso utente interattivi all'hub eventi, selezionare la casella di controllo SignInLogs .
      • Per inviare log di accesso utente non interattivi all'hub eventi, selezionare la casella di controllo NonInteractiveUserSignInLogs .
      • Per inviare i log di accesso dell'entità servizio all'hub eventi, selezionare la casella di controllo ServicePrincipalSignInLogs .
      • Per inviare i log di accesso dell'identità gestita all'hub eventi, selezionare la casella di controllo ManagedIdentitySignInLogs .
      • Per inviare i log di provisioning all'hub eventi, selezionare la casella di controllo ProvisioningLogs .
      • Per inviare gli accessi inviati ad Azure AD da un agente AD FS Connect Health, selezionare la casella di controllo ADFSSignInLogs .
      • Per inviare informazioni utente rischiose, selezionare la casella di controllo RiskyUsers .
      • Per inviare informazioni sugli eventi di rischio utente, selezionare la casella di controllo UserRiskEvents .

      Nota

      Alcune categorie di accesso contengono grandi quantità di dati di log a seconda della configurazione del tenant. In generale, gli accessi utente non interattivi e gli accessi dell'entità servizio possono essere da 5 a 10 volte superiori rispetto agli accessi utente interattivi.

   3. Selezionare Salva per salvare l'impostazione.

6. Dopo circa 15 minuti, verificare che gli eventi vengano visualizzati nell'hub eventi. A tale scopo, passare all'hub eventi dal portale e verificare che il numero di Messaggi in arrivo sia maggiore di zero.

   

Accedere ai dati dall'hub eventi

Dopo che i dati vengono visualizzati nell'hub eventi, è possibile accedervi e leggerli in due modi:

• Configurare uno strumento SIEM (Security Information and Event Management, informazioni di sicurezza e gestione degli eventi) supportato. Per leggere i dati dall'hub eventi, la maggior parte degli strumenti richiede la stringa di connessione dell'hub eventi e determinate autorizzazioni per la sottoscrizione di Azure. Gli strumenti di terze parti con l'integrazione di Monitoraggio di Azure includono, ma non sono limitati a:

  • ArcSight: per altre informazioni sull'integrazione dei log di Azure AD con ArcSight, vedere Integrare i log di Azure Active Directory con ArcSight con Monitoraggio di Azure.

  • Splunk: per altre informazioni sull'integrazione dei log di Azure AD con Splunk, vedere Integrare i log di Azure AD con Splunk usando Monitoraggio di Azure.

  • IBM QRadar: il DSM e il protocollo Hub eventi di Azure sono disponibili per il download al supporto IBM. Per altre informazioni sull'integrazione con Azure, visitare il sito IBM QRadar Security Intelligence Platform 7.3.0.

  • Sumo Logic: per configurare Sumo Logic per usare i dati da un hub eventi, vedere Install the Azure AD app and view the dashboards (Installare l'app Azure AD e visualizzare i dashboard).

• Configurare strumenti personalizzati. Se lo strumento SIEM in uso non è ancora supportato nella diagnostica di Monitoraggio di Azure, è possibile configurare strumenti personalizzati usando le API di Hub eventi. Per altre informazioni, vedere la Guida introduttiva alla ricezione di messaggi da un hub eventi.

Passaggi successivi

• Creare le impostazioni di diagnostica per inviare le metriche e i log della piattaforma a destinazioni diverse
• Integrare i log di Azure Active Directory con ArcSight usando Monitoraggio di Azure
• Integrare i log di Azure AD con Splunk usando Monitoraggio di Azure
• Integrate Azure AD logs with SumoLogic by using Azure Monitor (Integrare i log di Azure AD con SumoLogic usando Monitoraggio di Azure)
• Interpretare lo schema dei log di controllo in Monitoraggio di Azure
• Interpretare lo schema dei log di accesso in Monitoraggio di Azure