Activiteitenlogboeken streamen naar een Event Hub

Uw Microsoft Entra-tenant produceert elke seconde grote hoeveelheden gegevens. Aanmeldactiviteiten en logboeken van wijzigingen die zijn aangebracht in uw tenant, voegen maximaal zoveel gegevens toe die moeilijk te analyseren zijn. Integratie met SIEM-hulpprogramma's (Security Information and Event Management) kan u helpen inzicht te krijgen in uw omgeving.

In dit artikel wordt beschreven hoe u uw logboeken naar een Event Hub kunt streamen om te integreren met een van de verschillende SIEM-hulpprogramma's.

Vereisten

• Een Azure-abonnement. Als u nog geen Azure-abonnement hebt, kunt u zich registreren voor een gratis proefversie.
• Een Azure Event Hub die al is ingesteld. Informatie over het maken van een Event Hub.
• Beveiligingsbeheerder toegang tot het maken van algemene diagnostische instellingen voor de Microsoft Entra-tenant.
• Beheerderstoegang voor kenmerklogboeken voor het maken van diagnostische instellingen voor aangepaste beveiligingskenmerklogboeken.

Logboeken streamen naar een Event Hub

1. Meld u als beveiligingsbeheerder aan bij het Microsoft Entra-beheercentrum.

2. Blader naar diagnostische instellingen voor identiteitsbewaking>en status>. U kunt ook Exportinstellingen selecteren op de pagina Auditlogboeken of Aanmeldingen.

3. Selecteer + Diagnostische instelling toevoegen om een nieuwe integratie te maken of selecteer Instelling Bewerken voor een bestaande integratie.

4. Voer de naam van een diagnostische instelling in. Als u een bestaande integratie bewerkt, kunt u de naam niet wijzigen.

5. Selecteer de logboekcategorieën die u wilt streamen.

6. Schakel het selectievakje Streamen naar een event hub in.

7. Selecteer het Azure-abonnement, de Event Hubs-naamruimte en de optionele Event Hub waar u de logboeken wilt routeren.

Het abonnement en de Event Hubs-naamruimte moeten beide zijn gekoppeld aan de Microsoft Entra-tenant van waaruit u de logboeken streamt.

Zodra u de Azure Event Hub klaar hebt, gaat u naar het SIEM-hulpprogramma dat u wilt integreren met de activiteitenlogboeken. Het proces is voltooid in het SIEM-hulpprogramma.

Momenteel ondersteunen we Splunk, SumoLogic en ArcSight. Selecteer een tabblad om aan de slag te gaan. Raadpleeg de documentatie van het hulpprogramma.

Splunk

Als u deze functie wilt gebruiken, hebt u de Splunk-invoegtoepassing voor Microsoft Cloud Services nodig.

Microsoft Entra-logboeken integreren met Splunk

1. Open uw Splunk-exemplaar en selecteer Gegevenssamenvatting.

   

2. Selecteer het tabblad Brontypen en selecteer vervolgens mscs:azure:eventhub

   

Voeg body.records.category=AuditLogs toe aan de zoekopdracht. De Activiteitenlogboeken van Microsoft Entra worden weergegeven in de volgende afbeelding:

Als u geen invoegtoepassing kunt installeren in uw Splunk-exemplaar (bijvoorbeeld als u een proxy gebruikt of op Splunk Cloud uitvoert), kunt u deze gebeurtenissen doorsturen naar de Splunk HTTP-gebeurtenisverzamelaar. Gebruik hiervoor deze Azure-functie, die wordt geactiveerd door nieuwe berichten in de Event Hub.

SumoLogic

Als u deze functie wilt gebruiken, hebt u een abonnement op SumoLogic waarvoor eenmalige aanmelding is ingeschakeld.

Microsoft Entra-logboeken integreren met SumoLogic

1. Configureer uw SumoLogic-exemplaar om logboeken voor Microsoft Entra-id te verzamelen.

2. Installeer de Microsoft Entra SumoLogic-app om de vooraf geconfigureerde dashboards te gebruiken die realtime analyses van uw omgeving bieden.

   

ArcSight

Als u deze functie wilt gebruiken, hebt u een geconfigureerd exemplaar van ArcSight Syslog NG Daemon SmartConnector (SmartConnector) of ArcSight Load Balancer nodig. Als de gebeurtenissen naar ArcSight Load Balancer worden verzonden, worden ze door de Load Balancer naar de SmartConnector verzonden.

Download en open de configuratiehandleiding voor ArcSight SmartConnector voor Azure Monitor Event Hubs. Deze handleiding bevat de stappen die u nodig hebt om de ArcSight SmartConnector voor Azure Monitor te installeren en te configureren.

Microsoft Entra-logboeken integreren met ArcSight

1. Voltooi de stappen in de sectie Vereisten van de configuratiehandleiding voor ArcSight. Deze sectie bevat de volgende stappen:

   • Stel gebruikersmachtigingen in Azure in om ervoor te zorgen dat er een gebruiker is met de rol eigenaar om de connector te implementeren en te configureren.
   • Open poorten op de server met Syslog NG Daemon SmartConnector, zodat deze toegankelijk is vanuit Azure.
   • De implementatie voert een PowerShell-script uit, dus u moet PowerShell inschakelen om scripts uit te voeren op de computer waarop u de connector wilt implementeren.

2. Volg de stappen in de sectie De connector implementeren van de ArcSight-configuratiehandleiding om de connector te implementeren. In deze sectie wordt uitgelegd hoe u de connector downloadt en extraheert, toepassingseigenschappen configureert en het implementatiescript uitvoert vanuit de uitgepakte map.

3. Gebruik de stappen in de implementatie controleren in Azure om ervoor te zorgen dat de connector juist is ingesteld en functioneert. Controleer de volgende vereisten:

   • De vereiste Azure-functies worden gemaakt in uw Azure-abonnement.
   • De Microsoft Entra-logboeken worden naar de juiste bestemming gestreamd.
   • De toepassingsinstellingen van uw implementatie blijven behouden in de toepassingsinstellingen in Azure Function-apps.
   • Er wordt een nieuwe resourcegroep voor ArcSight gemaakt in Azure, met een Microsoft Entra-toepassing voor de ArcSight-connector en opslagaccounts met de toegewezen bestanden in CEF-indeling.

4. Voltooi de stappen na de implementatie in de configuraties na implementatie van de ArcSight-configuratiehandleiding. In deze sectie wordt uitgelegd hoe u een andere configuratie uitvoert als u een App Service-plan gebruikt om te voorkomen dat de functie-apps inactief worden na een time-outperiode, het streamen van resourcelogboeken van de Event Hub configureren en het SysLog NG Daemon SmartConnector-sleutelarchiefcertificaat bijwerken om het te koppelen aan het zojuist gemaakte opslagaccount.

5. In de configuratiehandleiding wordt ook uitgelegd hoe u de connectoreigenschappen in Azure aanpast en hoe u de connector bijwerken en verwijderen. Er is ook een sectie over prestatieverbeteringen, waaronder een upgrade naar een Azure Consumption-abonnement en het configureren van een ArcSight Load Balancer als de gebeurtenisbelasting groter is dan wat een enkele Syslog NG Daemon SmartConnector kan verwerken.

Opties en overwegingen voor integratie van activiteitenlogboeken

Als uw huidige SIEM nog niet wordt ondersteund in Diagnostische gegevens van Azure Monitor, kunt u aangepaste hulpprogramma's instellen met behulp van de Event Hubs-API. Zie Berichten ontvangen vanuit een Event Hub voor meer informatie.

IBM QRadar is een andere optie voor integratie met Microsoft Entra-activiteitenlogboeken. De DSM en Azure Event Hubs Protocol zijn beschikbaar voor download via IBM-ondersteuning. Ga naar de site IBM QRadar Security Intelligence Platform 7.3.0 (Engelstalig) voor meer informatie over integratie met Azure.

Sommige aanmeldingscategorieën bevatten grote hoeveelheden logboekgegevens, afhankelijk van de configuratie van uw tenant. Over het algemeen kunnen de aanmeldingen van niet-interactieve gebruikers en aanmeldingen van de service-principal 5 tot 10 keer groter zijn dan de interactieve gebruikersaanmeldingen.

Volgende stappen

• Activiteitenlogboeken van Microsoft Entra analyseren met Azure Monitor-logboeken
• Microsoft Graph gebruiken om toegang te krijgen tot activiteitenlogboeken van Microsoft Entra