Потоковая передача журналов действий в концентратор событий

Клиент Microsoft Entra создает большие объемы данных каждые секунды. Действия входа и журналы изменений, внесенных в клиенте, добавляются в множество данных, которые могут быть трудно проанализировать. Интеграция с средствами управления сведениями и событиями безопасности (SIEM) помогает получить аналитические сведения о вашей среде.

В этой статье показано, как передавать журналы в концентратор событий для интеграции с одним из нескольких средств SIEM.

Необходимые компоненты

• Для потоковой передачи журналов в средство SIEM сначала необходимо создать концентратор событий Azure. Узнайте, как создать концентратор событий.

• После создания концентратора событий, содержащего журналы действий Microsoft Entra, можно настроить интеграцию средства SIEM с помощью параметров диагностики Microsoft Entra.

Потоковая передача журналов в концентратор событий

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator безопасности.

2. Перейдите к параметрам диагностики мониторинга удостоверений и работоспособности>>. Вы также можете выбрать "Экспорт Параметры" на странице "Журналы аудита" или "Вход".

3. Выберите + Добавить параметр диагностики, чтобы создать новую интеграцию или выберите параметр "Изменить" для существующей интеграции.

4. Укажите Имя параметра диагностики. Если вы редактировать существующую интеграцию, вы не можете изменить имя.

5. Выберите категории журналов, которые требуется потоковой передачи.

6. Установите флажок Передать в концентратор событий.

7. Выберите подписку Azure, пространство имен Центров событий и необязательный концентратор событий, в котором требуется маршрутизировать журналы.

Пространство имен для подписок и Центров событий должно быть связано с клиентом Microsoft Entra, из которого выполняется потоковая передача журналов.

После готовности концентратора событий Azure перейдите к средству SIEM, которое вы хотите интегрировать с журналами действий. Вы завершите процесс в средстве SIEM.

В настоящее время мы поддерживаем Splunk, SumoLogic и ArcSight. Выберите вкладку, чтобы приступить к работе. Ознакомьтесь с документацией по инструменту.

Splunk

Чтобы использовать эту функцию, вам потребуется надстройка Splunk для Microsoft Облачные службы.

Интеграция журналов Microsoft Entra с Splunk

1. Откройте экземпляр Splunk и выберите "Сводка данных".

   

2. Выберите вкладку Sourcetypes (Типы источников), а затем — mscs:azure:eventhub.

   

Добавьте body.records.category=AuditLogs в поисковый запрос. Журналы действий Microsoft Entra показаны на следующем рисунке:

Если вы не можете установить надстройку в экземпляре Splunk (например, если вы используете прокси-сервер или работаете в Splunk Cloud), вы можете перенаправить эти события в сборщик событий HTTP Splunk. с помощью этой функции Azure, активируемой при поступлении новых сообщений в концентратор событий.

SumoLogic

Чтобы использовать эту функцию, требуется подписка SumoLogic с поддержкой единого входа.

Интеграция журналов Microsoft Entra с SumoLogic

1. Настройте экземпляр SumoLogic для сбора журналов для идентификатора Microsoft Entra.

2. Установите приложение Microsoft Entra SumoLogic, чтобы использовать предварительно настроенные панели мониторинга, обеспечивающие анализ среды в режиме реального времени.

   

ArcSight

Чтобы использовать эту функцию, требуется настроенный экземпляр Syslog ArcSight NG Daemon Smart Подключение or (Smart Подключение or) или ArcSight Load Balancer. Если события отправляются в ArcSight Load Balancer, они отправляются в smart Подключение or load Balancer.

Скачайте и откройте руководство по настройке ArcSight Smart Подключение or для Центров событий Azure Monitor. Это руководство содержит шаги, необходимые для установки и настройки ArcSight SmartConnector для Azure Monitor.

Интеграция журналов Microsoft Entra с ArcSight

1. Выполните действия, описанные в разделе "Предварительные требования" руководства по настройке ArcSight. В этом разделе содержатся следующие шаги:

   • Задайте разрешения пользователей в Azure, чтобы убедиться, что у пользователя есть роль владельца для развертывания и настройки соединителя.
   • Откройте порты на сервере с помощью программы syslog NG Daemon Smart Подключение or, чтобы он был доступен из Azure.
   • Развертывание запускает скрипт PowerShell, поэтому необходимо включить PowerShell для запуска скриптов на компьютере, где требуется развернуть соединитель.

2. Выполните действия, описанные в разделе "Развертывание Подключение or" руководства по настройке ArcSight для развертывания соединителя. В этом разделе рассматриваются способы скачивания и извлечения соединителя, настройки свойств приложения и запуска скрипта развертывания из извлеченной папки.

3. Следуйте инструкциям в разделе Проверка развертывания в Azure, чтобы убедиться, что соединитель настроен и работает правильно. Проверьте соблюдение перечисленных ниже предварительных требований.

   • Необходимые функции Azure созданы в подписке Azure.
   • Журналы Microsoft Entra передаются в правильное место назначения.
   • Параметры приложения из развертывания сохраняются в параметрах приложения в приложениях-функциях Azure.
   • Новая группа ресурсов для ArcSight создается в Azure с приложением Microsoft Entra для соединителя ArcSight и учетных записей хранения, содержащих сопоставленные файлы в формате CEF.

4. Выполните действия после развертывания в конфигурациях после развертывания руководства по настройке ArcSight. В этом разделе объясняется, как выполнить другую конфигурацию, если вы находитесь в плане Служба приложений, чтобы предотвратить бездействия приложений-функций после периода ожидания, настроить потоковую передачу журналов ресурсов из концентратора событий и обновить сертификат хранилища ключей sysLog NG DAemon Smart Подключение or, чтобы связать его с созданной учетной записью хранения.

5. В руководстве по настройке также объясняется, как настроить свойства соединителя в Azure, а также обновить и удалить соединитель. Кроме того, есть раздел по улучшению производительности, включая обновление до плана потребления Azure и настройку Подсистемы балансировки нагрузки ArcSight, если нагрузка события больше, чем то, что может обрабатываться одним обработчиком управляющей программы NG NG Подключение or.

Параметры и рекомендации по интеграции журнала действий

Если текущий SIEM еще не поддерживается в Azure Monitor диагностика, можно настроить пользовательские средства с помощью API Центров событий. Дополнительные сведения см. в статье Основные сведения о получении сообщений с помощью узла EventProcessorHost в .NET Standard.

IBM QRadar — это еще один вариант интеграции с журналами действий Microsoft Entra. Протокол DSM и Центры событий Azure доступен для скачивания в службу поддержки IBM. Дополнительные сведения об интеграции с Azure см. на веб-сайте IBM QRadar Security Intelligence Platform 7.3.0.

Некоторые категории входа содержат большие объемы данных журнала в зависимости от конфигурации клиента. Как правило, объем данных о неинтерактивном входе пользователей и входе субъектов-служб может быть в 5–10 раз больше, чем объем данных об интерактивном входе пользователей.

Следующие шаги

• Анализ журналов действий Microsoft Entra с помощью журналов Azure Monitor
• Доступ к журналам действий Microsoft Entra с помощью Microsoft Graph