Integrar logs do Azure Active Directory ao ArcSight usando o Azure Monitor

  • Artigo

Micro Focus ArcSight uma solução SIEM (gerenciamento de eventos e informações de segurança) que ajuda a detectar e responder a ameaças de segurança na plataforma. Agora você pode rotear os logs do Azure AD (Azure Active Directory) para ArcSight usando o Azure Monitor usando o conector ArcSight para Azure AD. Esse recurso permite que você monitore o locatário por comprometimento de segurança usando o ArcSight.

Neste artigo, você aprende como rotear logs do Azure AD para ArcSight usando o Azure Monitor.

Pré-requisitos

Para usar esse recurso, você precisa de:

  • Um hub de eventos do azure contendo logs de atividades do Microsoft Azure AD. Saiba como enviar seus logs de atividades para um hub de eventos.
  • Uma instância configurada do SmartConnector Daemon Syslog NG (SmartConnector) do ArcSight ou Balanceador de Carga do ArcSight. Se os eventos forem enviados ao Balanceador de Carga do ArcSight, eles serão enviados ao SmartConnector pelo Balanceador de Carga.

Baixe e abra o guia de configuração do ArcSight SmartConnector para Hub de Eventos do Azure Monitor. Este guia contém as etapas necessárias para instalar e configurar o ArcSight SmartConnector para Azure Monitor.

Integrar logs do Azure AD com ArcSight

  1. Primeiro, conclua as etapas na seção Pré-requisitos do guia de configuração. Esta seção inclui as etapas a seguir:

    • Definir permissões de usuário no Azure para garantir que tenha um usuário com a função proprietário para implantar e configurar o conector.
    • Abrir portas no servidor com SmartConnector Daemon Syslog NG para acessá-lo a partir do Azure.
    • A implantação executa um script do Windows PowerShell, portanto, é necessário habilitar o PowerShell para executar scripts no computador em que você que implantar o conector.

  2. Siga as etapas na seção Implantar o conector do guia de configuração para implantar o conector. Esta seção explica como baixar e extrair o conector, configurar propriedades do aplicativo e executar o script de implantação a partir da pasta extraída.

  3. Use as etapas em Verificar a implantação no Azure para certificar-se de que o conector está configurado e funcionando corretamente. Verificar os seguintes pré-requisitos:

    • As funções necessárias do Azure são criadas na assinatura do Azure.
    • Os logs do Azure AD são transmitidos para o destino correto.
    • As configurações do aplicativo da implantação são mantidas nas configurações do aplicativo em aplicativos do Azure Functions.
    • Um novo grupo de recursos para ArcSight é criado no Azure com um aplicativo do Azure AD para o conector ArcSight e contas de armazenamento contendo os arquivos mapeados no formato CEF.

  4. Por fim, conclua as etapas de pós-implantação nas Configurações de Pós-Implantação do guia de configuração. Esta seção explica como realizar outras configurações se você estiver em um Plano do Serviço de Aplicativo para impedir que aplicativos de funções fiquem ociosos após um período de tempo limite, configurar o streaming de logs de recursos do hub de eventos e atualizar o certificado do repositório de chaves do SmartConnector Daemon SysLog NG para associá-lo à conta de armazenamento recém-criada.

  5. O guia de configuração também explica como personalizar as propriedades do conector no Azure e como atualizar e desinstalar o conector. Há também uma seção sobre aprimoramentos de desempenho, incluindo upgrade para um Plano de Consumo do Azure e configuração de um Balanceador de Carga do ArcSight se a carga de eventos for maior que um SmartConnector Daemon Syslog NG único pode manipular.

Próximas etapas

Guia de configuração do ArcSight SmartConnector para Hubs de Eventos do Azure Monitor