Activiteitenlogboeken streamen naar een Event Hub

Uw Microsoft Entra-tenant produceert elke seconde grote hoeveelheden gegevens. Aanmeldingsactiviteiten en logboeken met wijzigingen die in uw tenant zijn aangebracht, bevatten een groot aantal gegevens die moeilijk te analyseren kunnen zijn. Integratie met SIEM-hulpprogramma's (Security Information and Event Management) kan u helpen inzicht te krijgen in uw omgeving.

In dit artikel wordt beschreven hoe u uw logboeken naar een Event Hub kunt streamen om te integreren met een van de verschillende SIEM-hulpprogramma's.

Vereisten

• Als u logboeken naar een SIEM-hulpprogramma wilt streamen, moet u eerst een Azure Event Hub maken. Informatie over het maken van een Event Hub.

• Zodra u een Event Hub hebt die activiteitenlogboeken van Microsoft Entra bevat, kunt u de integratie van het SIEM-hulpprogramma instellen met behulp van de diagnostische instellingen van Microsoft Entra.

Logboeken streamen naar een Event Hub

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een security Beheer istrator.

2. Blader naar diagnostische instellingen voor identiteitsbewaking>en status>. U kunt ook Exporteren Instellingen selecteren op de pagina Auditlogboeken of Aanmeldingen.

3. Selecteer + Diagnostische instelling toevoegen om een nieuwe integratie te maken of selecteer Instelling Bewerken voor een bestaande integratie.

4. Voer de naam van een diagnostische instelling in. Als u een bestaande integratie bewerkt, kunt u de naam niet wijzigen.

5. Selecteer de logboekcategorieën die u wilt streamen.

6. Schakel het selectievakje Streamen naar een event hub in.

7. Selecteer het Azure-abonnement, de Event Hubs-naamruimte en de optionele Event Hub waar u de logboeken wilt routeren.

Het abonnement en de Event Hubs-naamruimte moeten beide zijn gekoppeld aan de Microsoft Entra-tenant van waaruit u de logboeken streamt.

Zodra u de Azure Event Hub klaar hebt, gaat u naar het SIEM-hulpprogramma dat u wilt integreren met de activiteitenlogboeken. U voltooit het proces in het SIEM-hulpprogramma.

Momenteel ondersteunen we Splunk, SumoLogic en ArcSight. Selecteer een tabblad om aan de slag te gaan. Raadpleeg de documentatie van het hulpprogramma.

Splunk

Als u deze functie wilt gebruiken, hebt u de Splunk-invoegtoepassing voor Microsoft Cloud Services nodig.

Microsoft Entra-logboeken integreren met Splunk

1. Open uw Splunk-exemplaar en selecteer Gegevenssamenvatting.

   

2. Selecteer het tabblad Brontypen en selecteer vervolgens mscs:azure:eventhub

   

Voeg body.records.category=AuditLogs toe aan de zoekopdracht. De Activiteitenlogboeken van Microsoft Entra worden weergegeven in de volgende afbeelding:

Als u geen invoegtoepassing kunt installeren in uw Splunk-exemplaar (bijvoorbeeld als u een proxy gebruikt of op Splunk Cloud uitvoert), kunt u deze gebeurtenissen doorsturen naar de Splunk HTTP-gebeurtenisverzamelaar. Gebruik hiervoor deze Azure-functie, die wordt geactiveerd door nieuwe berichten in de Event Hub.

SumoLogic

Als u deze functie wilt gebruiken, hebt u een abonnement op SumoLogic waarvoor eenmalige aanmelding is ingeschakeld.

Microsoft Entra-logboeken integreren met SumoLogic

1. Configureer uw SumoLogic-exemplaar om logboeken voor Microsoft Entra-id te verzamelen.

2. Installeer de Microsoft Entra SumoLogic-app om de vooraf geconfigureerde dashboards te gebruiken die realtime analyses van uw omgeving bieden.

   

ArcSight

Als u deze functie wilt gebruiken, hebt u een geconfigureerd exemplaar van ArcSight Syslog NG Daemon Smart Verbinding maken or (Smart Verbinding maken or) of ArcSight Load Balancer nodig. Als de gebeurtenissen naar ArcSight Load Balancer worden verzonden, worden ze verzonden naar de Smart Verbinding maken or door de Load Balancer.

Download en open de configuratiehandleiding voor ArcSight Smart Verbinding maken or voor Azure Monitor Event Hubs. Deze handleiding bevat de stappen die u moet uitvoeren voor het installeren en configureren van de ArcSight Smart Verbinding maken or voor Azure Monitor.

Microsoft Entra-logboeken integreren met ArcSight

1. Voltooi de stappen in de sectie Vereisten van de configuratiehandleiding voor ArcSight. Deze sectie bevat de volgende stappen:

   • Stel gebruikersmachtigingen in Azure in om ervoor te zorgen dat er een gebruiker is met de rol eigenaar om de connector te implementeren en te configureren.
   • Open poorten op de server met Syslog NG Daemon Smart Verbinding maken or zodat deze toegankelijk is vanuit Azure.
   • De implementatie voert een PowerShell-script uit, dus u moet PowerShell inschakelen om scripts uit te voeren op de computer waarop u de connector wilt implementeren.

2. Volg de stappen in de sectie Implementeren van de Verbinding maken or van de ArcSight-configuratiehandleiding om de connector te implementeren. In deze sectie wordt uitgelegd hoe u de connector downloadt en extraheert, toepassingseigenschappen configureert en het implementatiescript uitvoert vanuit de uitgepakte map.

3. Gebruik de stappen in de implementatie controleren in Azure om ervoor te zorgen dat de connector juist is ingesteld en functioneert. Controleer de volgende vereisten:

   • De vereiste Azure-functies worden gemaakt in uw Azure-abonnement.
   • De Microsoft Entra-logboeken worden naar de juiste bestemming gestreamd.
   • De toepassingsinstellingen van uw implementatie blijven behouden in de toepassings-Instellingen in Azure Function-apps.
   • Er wordt een nieuwe resourcegroep voor ArcSight gemaakt in Azure, met een Microsoft Entra-toepassing voor de ArcSight-connector en opslagaccounts met de toegewezen bestanden in CEF-indeling.

4. Voltooi de stappen na de implementatie in de configuraties na implementatie van de ArcSight-configuratiehandleiding. In deze sectie wordt uitgelegd hoe u een andere configuratie uitvoert als u zich in een App Service-plan bevindt om te voorkomen dat de functie-apps inactief worden na een time-outperiode, het streamen van resourcelogboeken van de Event Hub configureren en het SysLog NG Daemon Smart Verbinding maken or-sleutelarchiefcertificaat bijwerken om dit te koppelen aan het zojuist gemaakte opslagaccount.

5. In de configuratiehandleiding wordt ook uitgelegd hoe u de connectoreigenschappen in Azure aanpast en hoe u de connector bijwerken en verwijderen. Er is ook een sectie over prestatieverbeteringen, waaronder het upgraden naar een Azure Consumption-abonnement en het configureren van een ArcSight Load Balancer als de gebeurtenisbelasting groter is dan wat een enkele Syslog NG Daemon Smart Verbinding maken or kan verwerken.

Opties en overwegingen voor integratie van activiteitenlogboeken

Als uw huidige SIEM nog niet wordt ondersteund in Diagnostische gegevens van Azure Monitor, kunt u aangepaste hulpprogramma's instellen met behulp van de Event Hubs-API. Zie Berichten ontvangen vanuit een Event Hub voor meer informatie.

IBM QRadar is een andere optie voor integratie met Microsoft Entra-activiteitenlogboeken. De DSM en Azure Event Hubs Protocol zijn beschikbaar voor download via IBM-ondersteuning. Ga naar de site IBM QRadar Security Intelligence Platform 7.3.0 (Engelstalig) voor meer informatie over integratie met Azure.

Sommige aanmeldingscategorieën bevatten grote hoeveelheden logboekgegevens, afhankelijk van de configuratie van uw tenant. Over het algemeen kunnen de aanmeldingen van niet-interactieve gebruikers en aanmeldingen van de service-principal 5 tot 10 keer groter zijn dan de interactieve gebruikersaanmeldingen.

Volgende stappen

• Activiteitenlogboeken van Microsoft Entra analyseren met Azure Monitor-logboeken
• Microsoft Graph gebruiken om toegang te krijgen tot activiteitenlogboeken van Microsoft Entra