Jak przesyłać strumieniowo dzienniki aktywności do centrum zdarzeń

Twoja dzierżawa firmy Microsoft Entra generuje duże ilości danych co sekundę. Aktywność logowania i dzienniki zmian wprowadzonych w dzierżawie są dodawane do wielu danych, które mogą być trudne do przeanalizowania. Integracja z narzędziami do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) może pomóc w uzyskaniu wglądu w środowisko.

W tym artykule pokazano, jak można przesyłać strumieniowo dzienniki do centrum zdarzeń, aby zintegrować je z jednym z kilku narzędzi SIEM.

Wymagania wstępne

• Aby przesłać strumieniowo dzienniki do narzędzia SIEM, należy najpierw utworzyć centrum zdarzeń platformy Azure. Dowiedz się, jak utworzyć centrum zdarzeń.

• Po utworzeniu centrum zdarzeń zawierającego dzienniki aktywności firmy Microsoft Entra możesz skonfigurować integrację narzędzia SIEM przy użyciu ustawień diagnostycznych firmy Microsoft Entra.

Przesyłanie strumieniowe dzienników do centrum zdarzeń

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zabezpieczeń.

2. Przejdź do pozycji Ustawienia>diagnostyczne monitorowania tożsamości i kondycji.> Możesz również wybrać pozycję Eksportuj Ustawienia na stronie Dzienniki inspekcji lub Logowania.

3. Wybierz pozycję + Dodaj ustawienie diagnostyczne, aby utworzyć nową integrację, lub wybierz pozycję Edytuj ustawienie dla istniejącej integracji.

4. Wprowadź nazwę ustawienia diagnostycznego. Jeśli edytujesz istniejącą integrację, nie możesz zmienić nazwy.

5. Wybierz kategorie dzienników, które chcesz przesłać strumieniowo.

6. Zaznacz pole wyboru Przesyłaj strumieniowo do centrum zdarzeń.

7. Wybierz subskrypcję platformy Azure, przestrzeń nazw usługi Event Hubs i opcjonalne centrum zdarzeń, w którym chcesz kierować dzienniki.

Subskrypcja i przestrzeń nazw usługi Event Hubs muszą być skojarzone z dzierżawą firmy Microsoft Entra, z której są przesyłane strumieniowo dzienniki.

Gdy masz gotowe centrum zdarzeń platformy Azure, przejdź do narzędzia SIEM, które chcesz zintegrować z dziennikami aktywności. Proces zostanie ukończony w narzędziu SIEM.

Obecnie obsługujemy rozwiązania Splunk, SumoLogic i ArcSight. Wybierz kartę, aby rozpocząć pracę. Zapoznaj się z dokumentacją narzędzia.

Splunk

Aby korzystać z tej funkcji, potrzebujesz dodatku Splunk dla usług Microsoft Cloud Services.

Integrowanie dzienników firmy Microsoft Entra z rozwiązaniem Splunk

1. Otwórz wystąpienie splunk i wybierz pozycję Podsumowanie danych.

   

2. Wybierz kartę Sourcetypes ( Typy źródła), a następnie wybierz pozycję mscs:azure:eventhub

   

Dołącz ciąg body.records.category=AuditLogs do wyszukiwania. Dzienniki aktywności firmy Microsoft Entra są wyświetlane na poniższym rysunku:

Jeśli nie możesz zainstalować dodatku w wystąpieniu splunk (na przykład jeśli używasz serwera proxy lub działasz w chmurze Splunk), możesz przekazać te zdarzenia do modułu zbierającego zdarzeń HTTP splunk. W tym celu użyj tej funkcji platformy Azure, która jest wyzwalana przez nowe komunikaty w centrum zdarzeń.

SumoLogic

Aby korzystać z tej funkcji, potrzebna jest subskrypcja aplikacji SumoLogic z obsługą logowania jednokrotnego.

Integrowanie dzienników firmy Microsoft Entra z aplikacją SumoLogic

1. Skonfiguruj wystąpienie SumoLogic w celu zbierania dzienników dla identyfikatora Entra firmy Microsoft.

2. Zainstaluj aplikację Microsoft Entra SumoLogic, aby korzystać ze wstępnie skonfigurowanych pulpitów nawigacyjnych zapewniających analizę środowiska w czasie rzeczywistym.

   

ArcSight

Aby użyć tej funkcji, potrzebujesz skonfigurowanego wystąpienia demona NG demona NG usługi ArcSight Smart Połączenie or (Smart Połączenie or) lub modułu równoważenia obciążenia usługi ArcSight. Jeśli zdarzenia są wysyłane do usługi ArcSight Load Balancer, są one wysyłane do usługi Smart Połączenie or przez moduł równoważenia obciążenia.

Pobierz i otwórz przewodnik konfiguracji usługi ArcSight Smart Połączenie or dla usługi Azure Monitor Event Hubs. Ten przewodnik zawiera kroki, które należy zainstalować i skonfigurować aplikację ArcSight Smart Połączenie or dla usługi Azure Monitor.

Integrowanie dzienników firmy Microsoft Entra z usługą ArcSight

1. Wykonaj kroki opisane w sekcji Wymagania wstępne przewodnika konfiguracji usługi ArcSight. Ta sekcja zawiera następujące kroki:

   • Ustaw uprawnienia użytkownika na platformie Azure, aby upewnić się, że istnieje użytkownik z rolą właściciela w celu wdrożenia i skonfigurowania łącznika.
   • Otwórz porty na serwerze za pomocą narzędzia Syslog NG Daemon Smart Połączenie or, aby był dostępny z platformy Azure.
   • Wdrożenie uruchamia skrypt programu PowerShell, dlatego należy włączyć program PowerShell, aby uruchamiał skrypty na maszynie, na której chcesz wdrożyć łącznik.

2. Wykonaj kroki opisane w sekcji Wdrażanie Połączenie or przewodnika konfiguracji usługi ArcSight, aby wdrożyć łącznik. W tej sekcji opisano sposób pobierania i wyodrębniania łącznika, konfigurowania właściwości aplikacji i uruchamiania skryptu wdrażania z wyodrębnionego folderu.

3. Wykonaj kroki opisane w artykule Weryfikowanie wdrożenia na platformie Azure , aby upewnić się, że łącznik jest skonfigurowany i działa poprawnie. Sprawdź następujące wymagania wstępne:

   • Wymagane funkcje platformy Azure są tworzone w ramach subskrypcji platformy Azure.
   • Dzienniki entra firmy Microsoft są przesyłane strumieniowo do prawidłowego miejsca docelowego.
   • Ustawienia aplikacji z wdrożenia są utrwalane w aplikacji Ustawienia w aplikacjach funkcji platformy Azure.
   • Nowa grupa zasobów dla usługi ArcSight jest tworzona na platformie Azure z aplikacją Firmy Microsoft Entra dla łącznika usługi ArcSight i kontami magazynu zawierającymi zamapowane pliki w formacie CEF.

4. Wykonaj kroki po wdrożeniu w przewodniku po wdrożeniu konfiguracji usługi ArcSight. W tej sekcji wyjaśniono, jak wykonać inną konfigurację, jeśli korzystasz z planu usługi App Service, aby uniemożliwić aplikacjom funkcji bezczynność po upływie limitu czasu, skonfigurować przesyłanie strumieniowe dzienników zasobów z centrum zdarzeń i zaktualizować certyfikat Smart Połączenie or Demon NG Smart Połączenie or, aby skojarzyć go z nowo utworzonym kontem magazynu.

5. W przewodniku konfiguracji wyjaśniono również, jak dostosować właściwości łącznika na platformie Azure oraz jak uaktualnić i odinstalować łącznik. Istnieje również sekcja dotycząca ulepszeń wydajności, w tym uaktualnienie do planu użycia platformy Azure i skonfigurowanie modułu równoważenia obciążenia usługi ArcSight, jeśli obciążenie zdarzeń jest większe niż to, co może obsłużyć pojedynczy demon NG NG Smart Połączenie or.

Opcje i zagadnienia dotyczące integracji dziennika aktywności

Jeśli bieżące rozwiązanie SIEM nie jest jeszcze obsługiwane w diagnostyce usługi Azure Monitor, możesz skonfigurować niestandardowe narzędzia przy użyciu interfejsu API usługi Event Hubs. Aby dowiedzieć się więcej, zobacz Wprowadzenie do odbierania komunikatów z centrum zdarzeń.

IBM QRadar to kolejna opcja integracji z dziennikami aktywności firmy Microsoft Entra. Protokół DSM i Azure Event Hubs są dostępne do pobrania na stronie pomocy technicznej firmy IBM. Aby uzyskać więcej informacji na temat integracji z platformą Azure, przejdź do witryny IBM QRadar Security Intelligence Platform 7.3.0.

Niektóre kategorie logowania zawierają duże ilości danych dziennika, w zależności od konfiguracji dzierżawy. Ogólnie rzecz biorąc, logowania użytkownika nieinterakcyjnego i logowania jednostki usługi mogą być od 5 do 10 razy większe niż logowania użytkowników interakcyjnych.

Następne kroki

• Analizowanie dzienników aktywności firmy Microsoft Entra przy użyciu dzienników usługi Azure Monitor
• Uzyskiwanie dostępu do dzienników aktywności firmy Microsoft Entra przy użyciu programu Microsoft Graph