Como transmitir logs de atividades para um hub de eventos

Seu locatário do Microsoft Entra produz grandes quantidades de dados a cada segundo. As atividades de entrada e os logs de alterações feitos no seu locatário geram tantos dados que pode ser difícil analisá-los. A integração com as ferramentas de SIEM (gerenciamento de eventos e informações de segurança) pode ajudá-lo a obter informações sobre seu ambiente.

Este artigo mostra como você pode transmitir seus logs para um hub de eventos para integrá-los a uma das várias ferramentas de SIEM.

Pré-requisitos

• Uma assinatura do Azure. Se você não tiver uma assinatura do Azure, poderá se inscrever para uma avaliação gratuita.
• Um hub de eventos do Azure que já está configurado. Saiba como criar um hub de eventos.
• Acesso do Administrador de Segurança para criar configurações gerais de diagnóstico para o locatário do Microsoft Entra.
• Acesso de Administrador de Logs de Atributos para criar as configurações de diagnóstico para os logs de atributos de segurança personalizados.

Transmitir logs para um hub de eventos

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

2. Navegue até Entra ID>Monitoramento & integridade>Configurações de diagnóstico. Você também pode selecionar Exportar Configurações na página Logs de Auditoria ou Entradas.

3. Selecione + Adicionar configuração de diagnóstico para criar uma nova integração ou selecione Editar configuração para uma integração existente.

4. Insira um nome de configuração de diagnóstico. Se você estiver editando uma integração existente, não poderá alterar o nome.

5. Selecione as categorias de log que deseja transmitir.

6. Marque a caixa de seleção Transmitir para um hub de eventos .

7. Selecione a assinatura do Azure, o namespace dos Hubs de Eventos e o hub de eventos opcional para onde você deseja rotear os logs.

A assinatura e o namespace dos Hubs de Eventos devem estar associados ao locatário do Microsoft Entra de onde você está transmitindo os logs.

Depois de preparar o hub de eventos do Azure, navegue até a ferramenta de SIEM que você deseja integrar com os logs de atividades. O processo será concluído na ferramenta SIEM.

Atualmente, damos suporte ao Splunk, SumoLogic e ArcSight. Selecione uma guia abaixo para começar. Consulte a documentação da ferramenta.

Splunk

Para usar esse recurso, você precisa do Splunk Add-on para os Serviços de Nuvem da Microsoft.

Integrar logs do Microsoft Entra ID ao Splunk

1. Abra sua instância do Splunk e selecione Resumo de Dados.

   

2. Selecione a guia Tipos de origem e selecione mscs:azure:eventhub

   

Acrescente body.records.category=AuditLogs à pesquisa. Você verá que os logs de atividade do Microsoft Entra são mostrados na figura a seguir:

Se você não puder instalar um complemento em sua instância do Splunk (por exemplo, se estiver usando um proxy ou em execução no Splunk Cloud), poderá encaminhar esses eventos para o Coletor de Eventos HTTP. Para fazer isso, use essa função do Azure, que é disparada por novas mensagens no hub de eventos.

SumoLogic

Para usar esse recurso, você precisa de uma assinatura habilitada para logon único do SumoLogic.

Integrar logs do Microsoft Entra ID ao SumoLogic

1. Configurar a instância do SumoLogic para coletar logs para o Microsoft Entra ID.

2. Instale o aplicativo Microsoft Entra SumoLogic para usar os painéis pré-configurados que fornecem análise em tempo real do seu ambiente.

   

ArcSight

Para usar esse recurso, você precisa de uma instância configurada do SmartConnector Daemon Syslog NG (SmartConnector) do ArcSight ou do ArcSight Load Balancer. Se os eventos forem enviados ao Balanceador de Carga do ArcSight, eles serão enviados ao SmartConnector pelo Balanceador de Carga.

Baixe e abra o guia de configuração do ArcSight SmartConnector para Hubs de Eventos do Azure Monitor. Este guia contém as etapas necessárias para instalar e configurar o ArcSight SmartConnector para Azure Monitor.

Integrar logs do Microsoft Entra ID ao ArcSight

1. Conclua as etapas na seção Pré-requisitos do guia de configuração do ArcSight. Esta seção inclui as etapas a seguir:

   • Defina permissões de usuário no Azure para garantir que haja um usuário com a função de proprietário para implantar e configurar o conector.
   • Abra as portas no servidor com Syslog NG Daemon SmartConnector para acessá-lo a partir do Azure.
   • A implantação executa um script do PowerShell, portanto, é necessário habilitar o PowerShell para executar scripts no computador em que você que implantar o conector.

2. Siga as etapas na seção Implantar o Conector do guia de configuração do ArcSight para implantar o conector. Esta seção explica como baixar e extrair o conector, configurar propriedades do aplicativo e executar o script de implantação a partir da pasta extraída.

3. Use as etapas na Verificação da Implantação no Azure para verificar se o conector está configurado e funciona corretamente. Verificar os seguintes pré-requisitos:

   • As funções necessárias do Azure são criadas na assinatura do Azure.
   • Os logs do Microsoft Entra são transmitidos para o destino correto.
   • As configurações do aplicativo da implantação são mantidas nas configurações do aplicativo em aplicativos do Azure Functions.
   • Um novo grupo de recursos do ArcSight é criado no Azure com um aplicativo do Microsoft Entra para o conector ArcSight e contas de armazenamento contendo os arquivos mapeados no formato CEF.

4. Conclua as etapas pós-implantação nas Configurações de Pós-Implantação do guia de configuração do ArcSight. Esta seção explica como realizar outras configurações se você estiver em um Plano do Serviço de Aplicativo para impedir que aplicativos de funções fiquem ociosos após um período de tempo limite, configurar o streaming de logs de recursos do hub de eventos e atualizar o certificado do repositório de chaves do SmartConnector Daemon SysLog NG para associá-lo à conta de armazenamento recém-criada.

5. O guia de configuração também explica como personalizar as propriedades do conector no Azure e como atualizar e desinstalar o conector. Há também uma seção sobre melhorias de desempenho, incluindo a atualização para um plano de consumo do Azure e a configuração de um Balanceador de Carga do ArcSight se a carga do evento for maior do que o que um único Daemon SmartConnector do Syslog NG pode manipular.

Opções e considerações sobre a integração do log de atividades

Se o SIEM atual ainda não tiver suporte no diagnóstico do Azure Monitor, você poderá configurar ferramentas personalizadas usando a API dos Hubs de Eventos. Para saber mais, confira a introdução ao recebimento de mensagens de um hub de eventos.

O IBM QRadar é outra opção para integração com os logs de atividades do Microsoft Entra. O Protocolo DSM e os Hubs de Eventos do Azure estão disponíveis para download no suporte da IBM. Para obter mais informações sobre a integração com o Azure, acesse o site ibm QRadar Security Intelligence Platform 7.3.0 .

Algumas categorias de entrada contêm grandes volumes de dados de log, dependendo da configuração do locatário. Em geral, as entradas de usuário não interativas e as entradas de entidade de serviço podem ser de 5 a 10 vezes maiores que as entradas de usuário interativas.

Próximas etapas

• Analisar os logs de atividade do Microsoft Entra com os logs do Azure Monitor.
• Usar o Microsoft Graph para acessar os logs de atividades do Microsoft Entra