Samouczek: przesyłanie strumieniowe dzienników usługi Azure Active Directory do centrum zdarzeń platformy Azure
W tym samouczku przedstawiono informacje na temat sposobu konfigurowania ustawień diagnostycznych usługi Azure Monitor w celu strumieniowego przesyłania dzienników usługi Azure Active Directory (Azure AD) do centrum zdarzeń platformy Azure. Ten mechanizm służy do integrowania dzienników z narzędziami do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) innych firm, takimi jak Splunk i QRadar.
Wymagania wstępne
Do korzystania z tej funkcji są potrzebne następujące elementy:
- Subskrypcja platformy Azure. Jeśli nie masz subskrypcji platformy Azure, możesz skorzystać z bezpłatnej wersji próbnej.
- Dzierżawa usługi Azure AD.
- Użytkownik będący administratorem globalnym lub administratorem zabezpieczeń dla dzierżawy Azure AD.
- Przestrzeń nazw usługi Event Hubs i centrum zdarzeń w ramach subskrypcji platformy Azure. Dowiedz się, jak utworzyć centrum zdarzeń.
Przesyłanie strumieniowe dzienników do centrum zdarzeń
Zaloguj się do Azure portal.
Wybierz pozycjęDzienniki inspekcjiusługi Azure Active Directory>.
Wybierz pozycję Eksportuj ustawienia danych.
W okienku Ustawienia diagnostyczne wykonaj jedną z następujących czynności:
- Aby zmienić istniejące ustawienia, wybierz polecenie Edytuj ustawienie.
- Aby dodać nowe ustawienie, wybierz polecenie Dodaj ustawienia diagnostyki.
Możesz mieć maksymalnie trzy ustawienia.
Zaznacz pole wyboru Przesyłaj strumieniowo do centrum zdarzeń i wybierz pozycję Centrum zdarzeń/Konfigurowanie.
Wybierz subskrypcję platformy Azure i przestrzeń nazw usługi Event Hubs, do której chcesz kierować dzienniki. Subskrypcja i przestrzeń nazw usługi Event Hubs muszą być skojarzone z dzierżawą usługi Azure AD, z której są przesyłane strumieniowo dzienniki. Możesz również określić centrum zdarzeń w przestrzeni nazw usługi Event Hubs, do której mają być wysyłane dzienniki. Jeśli nie określono żadnego centrum zdarzeń, centrum zdarzeń zostanie utworzone w przestrzeni nazw z domyślną nazwą insights-logs-audit.
Wybierz dowolną kombinację następujących elementów:
- Aby wysłać dzienniki inspekcji do centrum zdarzeń, zaznacz pole wyboru AuditLogs (Dzienniki inspekcji ).
- Aby wysłać dzienniki logowania interakcyjnego użytkownika do centrum zdarzeń, zaznacz pole wyboru SignInLogs .
- Aby wysłać nieinterakcyjne dzienniki logowania użytkownika do centrum zdarzeń, zaznacz pole wyboru NonInteractiveUserSignInLogs .
- Aby wysłać dzienniki logowania jednostki usługi do centrum zdarzeń, zaznacz pole wyboru ServicePrincipalSignInLogs .
- Aby wysłać dzienniki logowania tożsamości zarządzanej do centrum zdarzeń, zaznacz pole wyboru ManagedIdentitySignInLogs .
- Aby wysłać dzienniki aprowizacji do centrum zdarzeń, zaznacz pole wyboru ProvisioningLogs (Dzienniki aprowizacji ).
- Aby wysyłać logowania wysyłane do Azure AD przez agenta programu AD FS Connect Health, zaznacz pole wyboru ADFSSignInLogs.
- Aby wysłać ryzykowne informacje o użytkowniku, zaznacz pole wyboru RiskyUsers .
- Aby wysłać informacje o zdarzeniach o podwyższonym ryzyku użytkownika, zaznacz pole wyboru UserRiskEvents .
Uwaga
Niektóre kategorie logowania zawierają duże ilości danych dziennika w zależności od konfiguracji dzierżawy. Ogólnie rzecz biorąc, logowania użytkownika nieinterakcyjnego i logowania jednostki usługi mogą być od 5 do 10 razy większe niż logowania użytkowników interakcyjnych.
Wybierz pozycję Zapisz, aby zapisać ustawienie.
Po około 15 minutach sprawdź, czy zdarzenia są wyświetlane w centrum zdarzeń. Aby to zrobić, przejdź do centrum zdarzeń w portalu i sprawdź, czy liczba komunikatów przychodzących jest większa od zera.
Uzyskiwanie dostępu do danych w centrum zdarzeń
Po wyświetleniu danych w centrum zdarzeń możesz uzyskać dostęp do danych i odczytać je na dwa sposoby:
Skonfiguruj obsługiwane narzędzie SIEM. W celu odczytania danych z centrum zdarzeń większość narzędzi wymaga parametrów połączenia centrum zdarzeń i pewnych uprawnień do Twojej subskrypcji platformy Azure. Narzędzia innych firm z integracją usługi Azure Monitor obejmują, ale nie są ograniczone do:
ArcSight: aby uzyskać więcej informacji na temat integrowania dzienników Azure AD z usługą ArcSight, zobacz Integrowanie dzienników usługi Azure Active Directory z usługą ArcSight przy użyciu usługi Azure Monitor.
Splunk: aby uzyskać więcej informacji na temat sposobu integracji dzienników usługi Azure AD z narzędziem Splunk, zobacz Integrate Azure AD logs with Splunk by using Azure Monitor (Integrowanie dzienników usługi Azure Active Directory z narzędziem Splunk za pomocą usługi Azure Monitor).
IBM QRadar: Protokół DSM i Azure Event Hubs są dostępne do pobrania w pomocy technicznej firmy IBM. Aby uzyskać więcej informacji na temat integracji z platformą Azure, przejdź do witryny IBM QRadar Security Intelligence Platform 7.3.0.
Sumo Logic: aby skonfigurować narzędzie Sumo Logic do pracy z danymi z centrum zdarzeń, zobacz Install the Azure AD app and view the dashboards (Instalowanie aplikacji usługi Azure AD i wyświetlanie pulpitów nawigacyjnych).
Skonfiguruj niestandardowe narzędzia. Jeśli Twoje bieżące narzędzie SIEM nie jest jeszcze obsługiwane w diagnostyce usługi Azure Monitor, możesz skonfigurować narzędzia niestandardowe przy użyciu interfejsów API usługi Event Hubs. Aby dowiedzieć się więcej, zobacz Wprowadzenie do odbierania komunikatów z centrum zdarzeń.
Następne kroki
- Tworzenie ustawień diagnostycznych w celu wysyłania metryk i dzienników platformy do różnych miejsc docelowych
- Integrowanie dzienników usługi Azure Active Directory z usługą ArcSight przy użyciu usługi Azure Monitor
- Integrate Azure AD logs with Splunk by using Azure Monitor (Integrowanie dzienników usługi Azure AD z narzędziem Splunk przy użyciu usługi Azure Monitor)
- Integrate Azure AD logs with SumoLogic by using Azure Monitor (Integrowanie dzienników usługi Azure AD z narzędziem SumoLogic przy użyciu usługi Azure Monitor)
- Interpretowanie schematu dzienników inspekcji w usłudze Azure Monitor
- Interpret sign-in logs schema in Azure Monitor (Interpretowanie schematu dzienników logowania w usłudze Azure Monitor)