Eseguire lo streaming dei log attività a un hub eventi

Il tenant di Microsoft Entra produce grandi quantità di dati ogni secondo. Le attività di accesso e i log delle modifiche apportate nel tenant aggiungono molti dati che possono essere difficili da analizzare. L'integrazione con gli strumenti SIEM (Security Information and Event Management) consente di ottenere informazioni dettagliate sull'ambiente.

Questo articolo illustra come trasmettere i log a un hub eventi per l'integrazione con uno dei diversi strumenti SIEM.

Prerequisiti

• Per trasmettere i log a uno strumento SIEM occorre creare un hub eventi di Azure. Leggere le informazioni su come creare un hub eventi.

• Dopo aver creato un hub eventi che contiene i log attività di Microsoft Entra, è possibile configurare l'integrazione dello strumento SIEM usando le impostazioni di diagnostica di Microsoft Entra.

Trasmettere i log a un hub degli eventi

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore della sicurezza.

2. Passare a Identità> Monitoraggio e stato>Impostazioni di diagnostica . È anche possibile selezionare Esporta impostazioni nella pagina Log di audit o Accessi.

3. Selezionare + Aggiungi impostazione di diagnostica per creare una nuova integrazione o selezionare Modifica impostazione per un'integrazione esistente.

4. Immettere un nome di impostazione di diagnostica. Se si modifica un'integrazione esistente, non è possibile modificare il nome.

5. Selezionare le categorie di log da trasmettere.

6. Selezionare la casella di controllo Streaming in un hub eventi.

7. Selezionare la sottoscrizione di Azure e lo spazio dei nomi di Hub eventi a cui instradare i log.

Sia la sottoscrizione che lo spazio dei nomi di Hub eventi devono essere associati al tenant di Azure AD da cui vengono trasmessi i log.

Dopo aver pronto l'hub eventi di Azure, passare allo strumento SIEM che si vuole integrare con i log attività. Il processo viene completato nello strumento SIEM.

Attualmente è supportato Splunk, SumoLogic e ArcSight. Selezionare una scheda per iniziare. Fare riferimento alla documentazione del Servizio Copia Shadow del volume.

Splunk

Per usare questa funzionalità, è necessario il componente aggiuntivo Splunk per Microsoft Servizi cloud.

Integrare i log di Microsoft Entra con Splunk

1. Aprire l'istanza di Splunk e selezionare Riepilogo Dati.

   

2. Selezionare la scheda Tipi di origine e quindi selezionare mscs:azure:eventhub

   

Aggiungere body.records.category=AuditLogs alla ricerca. I log attività di Azure AD vengono visualizzati nella figura seguente:

Se non è possibile installare un componente aggiuntivo nell'istanza di Splunk (ad esempio, se si usa un proxy o Splunk Cloud), è possibile inoltrare questi eventi all'agente di raccolta di eventi Splunk HTTP. A tale scopo, usare questa funzione di Azure, che viene attivata dai nuovi messaggi nell'hub eventi.

SumoLogic

Per usare questa funzionalità, è necessaria una sottoscrizione di SumoLogic abilitata per l'accesso Single Sign-On.

Integrare i log di Microsoft Entra con SumoLogic

1. Configurare l'istanza di SumoLogic per raccogliere i log per Microsoft Entra ID.

2. Installare l'app SumoLogic di Azure AD per usare i dashboard preconfigurati che forniscono un'analisi in tempo reale dell'ambiente.

   

ArcSight

Un'istanza configurata di ArcSight Syslog NG Daemon SmartConnector (SmartConnector) o ArcSight Load Balancer. Se gli eventi vengono inviati ad ArcSight Load Balancer, questi vengono inviati di conseguenza allo SmartConnector da parte del Load Balancer.

Scaricare e aprire la Guida alla configurazione di ArcSight SmartConnector per Hub eventi di Monitoraggio di Azure. Questa guida contiene i passaggi necessari per installare e configurare ArcSight SmartConnector per Monitoraggio di Azure.

Integrare i log di Microsoft Entra con ArcSight

1. In primo luogo, completare i passaggi nella sezione Prerequisiti della Guida alla configurazione. Questa sezione è costituita dai passaggi seguenti:

   • Impostare le autorizzazioni utente in Azure per assicurarsi che ci sia un utente con il ruolo proprietario per distribuire e configurare il connettore.
   • Aprire le porte nel server con Syslog NG Daemon SmartConnector, in modo che sia accessibile da Azure.
   • La distribuzione esegue uno script Windows PowerShell, quindi è necessario abilitare PowerShell per eseguire gli script sul computer in cui si desidera distribuire il connettore.

2. Seguire i passaggi nella sezione Distribuzione del connettore della Guida di configurazione per distribuire il connettore. Questa sezione illustra come scaricare ed estrarre il connettore, configurare le proprietà dell'applicazione ed eseguire lo script di distribuzione dalla cartella estratta.

3. Usare la procedura descritta in Verifica della distribuzione in Azure per assicurarsi che il connettore venga configurato e funzioni correttamente. Tieni conto dei prerequisiti seguenti:

   • Le funzioni di Azure necessarie vengono create nella sottoscrizione di Azure.
   • I log di Azure AD vengono trasmessi alla destinazione corretta.
   • Le impostazioni dell'applicazione nella distribuzione di vengono rese persistenti nelle impostazioni dell'applicazione nelle app per le funzioni di Azure.
   • In Azure viene creato un nuovo gruppo di risorse per ArcSight, con un'applicazione Azure AD per il connettore ArcSight e gli account di archiviazione contenenti i file con mapping in formato CEF.

4. Infine, completare le fasi successive alla distribuzione nella sezione Configurazioni post-distribuzione della Guida alla configurazione. In questa sezione viene spiegato come eseguire una configurazione aggiuntiva se ci si trova su un piano di servizio app per evitare che le app per le funzioni si disattivino dopo un periodo di timeout, configurare lo streaming dei log diagnostici dall'Hub eventi e aggiornare il certificato di archivio chiavi SysLog NG Daemon SmartConnector per associarlo all'account di archiviazione appena creato.

5. Nella Guida alla configurazione viene inoltre illustrato come personalizzare le proprietà del connettore in Azure e come aggiornare e disinstallare il connettore. È inoltre disponibile una sezione sul miglioramento delle prestazioni, tra cui l'aggiornamento a un piano a consumo Azure e la configurazione di ArcSight Load Balancer se il carico dell'evento è maggiore di quello che può gestire un singolo Syslog NG Daemon SmartConnector.

Opzioni e considerazioni sull'integrazione del log attività

Se lo strumento SIEM in uso non è ancora supportato nella diagnostica di Monitoraggio di Azure, è possibile configurare strumenti personalizzati usando le API di Hub eventi. Per altre informazioni, vedere la Guida introduttiva alla ricezione di messaggi da un hub eventi.

IBM QRadar è un'altra opzione per l'integrazione con i log attività di Microsoft Entra. Il modulo DSM e Azure Event Hub Protocol sono disponibili per il download nel supporto IBM. Per altre informazioni sull'integrazione con Azure, visitare il sito IBM QRadar Security Intelligence Platform 7.3.0.

Alcune categorie di accesso contengono grandi quantità di dati di log, a seconda della configurazione del tenant. In generale, gli accessi utente non interattivi e gli accessi dell'entità servizio possono essere da 5 a 10 volte superiori agli accessi utente interattivi.

Passaggi successivi

• integrare i log attività di Microsoft Entra con i log di Monitoraggio di Azure
• Usare Microsoft Graph per accedere ai log attività di Microsoft Entra