Uw Microsoft Entra-tenant produceert elke seconde grote hoeveelheden gegevens. Aanmeldactiviteiten en logboeken van wijzigingen die zijn aangebracht in uw tenant, voegen maximaal zoveel gegevens toe die moeilijk te analyseren zijn. Integratie met SIEM-hulpprogramma's (Security Information and Event Management) kan u helpen inzicht te krijgen in uw omgeving.
In dit artikel wordt beschreven hoe u uw logboeken naar een Event Hub kunt streamen om te integreren met een van de verschillende SIEM-hulpprogramma's.
Vereisten
Een Azure-abonnement. Als u nog geen Azure-abonnement hebt, kunt u zich registreren voor een gratis proefversie.
Blader naar diagnostische instellingen voor identiteitsbewaking>en status>. U kunt ook Exportinstellingen selecteren op de pagina Auditlogboeken of Aanmeldingen.
Selecteer + Diagnostische instelling toevoegen om een nieuwe integratie te maken of selecteer Instelling Bewerken voor een bestaande integratie.
Voer de naam van een diagnostische instelling in. Als u een bestaande integratie bewerkt, kunt u de naam niet wijzigen.
Selecteer de logboekcategorieën die u wilt streamen.
Schakel het selectievakje Streamen naar een event hub in.
Selecteer het Azure-abonnement, de Event Hubs-naamruimte en de optionele Event Hub waar u de logboeken wilt routeren.
Het abonnement en de Event Hubs-naamruimte moeten beide zijn gekoppeld aan de Microsoft Entra-tenant van waaruit u de logboeken streamt.
Zodra u de Azure Event Hub klaar hebt, gaat u naar het SIEM-hulpprogramma dat u wilt integreren met de activiteitenlogboeken. Het proces is voltooid in het SIEM-hulpprogramma.
Momenteel ondersteunen we Splunk, SumoLogic en ArcSight. Selecteer een tabblad om aan de slag te gaan. Raadpleeg de documentatie van het hulpprogramma.
Open uw Splunk-exemplaar en selecteer Gegevenssamenvatting.
Selecteer het tabblad Brontypen en selecteer vervolgens mscs:azure:eventhub
Voeg body.records.category=AuditLogs toe aan de zoekopdracht. De Activiteitenlogboeken van Microsoft Entra worden weergegeven in de volgende afbeelding:
Als u geen invoegtoepassing kunt installeren in uw Splunk-exemplaar (bijvoorbeeld als u een proxy gebruikt of op Splunk Cloud uitvoert), kunt u deze gebeurtenissen doorsturen naar de Splunk HTTP-gebeurtenisverzamelaar. Gebruik hiervoor deze Azure-functie, die wordt geactiveerd door nieuwe berichten in de Event Hub.
Als u deze functie wilt gebruiken, hebt u een abonnement op SumoLogic waarvoor eenmalige aanmelding is ingeschakeld.
Microsoft Entra-logboeken integreren met SumoLogic
Configureer uw SumoLogic-exemplaar om logboeken voor Microsoft Entra-id te verzamelen.
Als u deze functie wilt gebruiken, hebt u een geconfigureerd exemplaar van ArcSight Syslog NG Daemon SmartConnector (SmartConnector) of ArcSight Load Balancer nodig. Als de gebeurtenissen naar ArcSight Load Balancer worden verzonden, worden ze door de Load Balancer naar de SmartConnector verzonden.
Voltooi de stappen in de sectie Vereisten van de configuratiehandleiding voor ArcSight. Deze sectie bevat de volgende stappen:
Stel gebruikersmachtigingen in Azure in om ervoor te zorgen dat er een gebruiker is met de rol eigenaar om de connector te implementeren en te configureren.
Open poorten op de server met Syslog NG Daemon SmartConnector, zodat deze toegankelijk is vanuit Azure.
De implementatie voert een PowerShell-script uit, dus u moet PowerShell inschakelen om scripts uit te voeren op de computer waarop u de connector wilt implementeren.
Volg de stappen in de sectie De connector implementeren van de ArcSight-configuratiehandleiding om de connector te implementeren. In deze sectie wordt uitgelegd hoe u de connector downloadt en extraheert, toepassingseigenschappen configureert en het implementatiescript uitvoert vanuit de uitgepakte map.
Gebruik de stappen in de implementatie controleren in Azure om ervoor te zorgen dat de connector juist is ingesteld en functioneert. Controleer de volgende vereisten:
De vereiste Azure-functies worden gemaakt in uw Azure-abonnement.
De Microsoft Entra-logboeken worden naar de juiste bestemming gestreamd.
De toepassingsinstellingen van uw implementatie blijven behouden in de toepassingsinstellingen in Azure Function-apps.
Er wordt een nieuwe resourcegroep voor ArcSight gemaakt in Azure, met een Microsoft Entra-toepassing voor de ArcSight-connector en opslagaccounts met de toegewezen bestanden in CEF-indeling.
Voltooi de stappen na de implementatie in de configuraties na implementatie van de ArcSight-configuratiehandleiding. In deze sectie wordt uitgelegd hoe u een andere configuratie uitvoert als u een App Service-plan gebruikt om te voorkomen dat de functie-apps inactief worden na een time-outperiode, het streamen van resourcelogboeken van de Event Hub configureren en het SysLog NG Daemon SmartConnector-sleutelarchiefcertificaat bijwerken om het te koppelen aan het zojuist gemaakte opslagaccount.
In de configuratiehandleiding wordt ook uitgelegd hoe u de connectoreigenschappen in Azure aanpast en hoe u de connector bijwerken en verwijderen. Er is ook een sectie over prestatieverbeteringen, waaronder een upgrade naar een Azure Consumption-abonnement en het configureren van een ArcSight Load Balancer als de gebeurtenisbelasting groter is dan wat een enkele Syslog NG Daemon SmartConnector kan verwerken.
Opties en overwegingen voor integratie van activiteitenlogboeken
Als uw huidige SIEM nog niet wordt ondersteund in Diagnostische gegevens van Azure Monitor, kunt u aangepaste hulpprogramma's instellen met behulp van de Event Hubs-API. Zie Berichten ontvangen vanuit een Event Hub voor meer informatie.
IBM QRadar is een andere optie voor integratie met Microsoft Entra-activiteitenlogboeken. De DSM en Azure Event Hubs Protocol zijn beschikbaar voor download via IBM-ondersteuning. Ga naar de site IBM QRadar Security Intelligence Platform 7.3.0 (Engelstalig) voor meer informatie over integratie met Azure.
Sommige aanmeldingscategorieën bevatten grote hoeveelheden logboekgegevens, afhankelijk van de configuratie van uw tenant. Over het algemeen kunnen de aanmeldingen van niet-interactieve gebruikers en aanmeldingen van de service-principal 5 tot 10 keer groter zijn dan de interactieve gebruikersaanmeldingen.
Audit- en diagnostische logboeken in Microsoft Entra-id bieden een uitgebreid overzicht van hoe gebruikers toegang hebben tot uw Azure-oplossing. Informatie over het bewaken, oplossen van problemen en het analyseren van aanmeldingsgegevens.
Demonstreer de functies van Microsoft Entra ID om identiteitsoplossingen te moderniseren, hybride oplossingen te implementeren en identiteitsbeheer te implementeren.
Meer informatie over het configureren van diagnostische instellingen van Microsoft Entra voor het integreren van activiteitenlogboeken met SIEM-hulpprogramma's.
Meer informatie over het configureren van een Log Analytics-werkruimte in Microsoft Entra ID en het uitvoeren van Kusto-query's op uw identiteitsgegevens.