Så här strömmar du aktivitetsloggar till en händelsehubb

Din Microsoft Entra-klientorganisation producerar stora mängder data varje sekund. Inloggningsaktiviteten och loggarna för ändringar som gjorts i klientorganisationen ger en mängd data som kan vara svåra att analysera. Genom att integrera med SIEM-verktyg (Security Information and Event Management) kan du få insikter om din miljö.

Den här artikeln visar hur du kan strömma dina loggar till en händelsehubb för att integrera med något av flera SIEM-verktyg.

Förutsättningar

• Om du vill strömma loggar till ett SIEM-verktyg måste du först skapa en Azure-händelsehubb. Lär dig att skapa en händelsehubb.

• När du har en händelsehubb som innehåller Microsoft Entra-aktivitetsloggar kan du konfigurera SIEM-verktygsintegrering med hjälp av diagnostikinställningarna för Microsoft Entra.

Strömma loggar till en händelsehubb

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.

2. Bläddra till Inställningar för identitetsövervakning>och hälsodiagnostik.> Du kan också välja Exportera Inställningar från sidan Granskningsloggar eller Inloggningar.

3. Välj + Lägg till diagnostikinställning för att skapa en ny integrering eller välj Redigera inställning för en befintlig integrering.

4. Ange ett namn på diagnostikinställningen. Om du redigerar en befintlig integrering kan du inte ändra namnet.

5. Välj de loggkategorier som du vill strömma.

6. Markera kryssrutan Strömma till en händelsehubb.

7. Välj Azure-prenumerationen, Event Hubs-namnområdet och valfri händelsehubb där du vill dirigera loggarna.

Både prenumerationen och Event Hubs-namnområdet måste vara associerade med Microsoft Entra-klientorganisationen där du strömmar loggarna.

När du har azure-händelsehubben klar går du till det SIEM-verktyg som du vill integrera med aktivitetsloggarna. Du slutför processen i SIEM-verktyget.

Vi stöder för närvarande Splunk, SumoLogic och ArcSight. Välj en flik för att komma igång. Se verktygets dokumentation.

Splunk

Om du vill använda den här funktionen behöver du Splunk-tillägget för Microsoft Cloud Services.

Integrera Microsoft Entra-loggar med Splunk

1. Öppna din Splunk-instans och välj Datasammanfattning.

   

2. Välj fliken Sourcetypes och välj sedan mscs:azure:eventhub

   

Lägg till body.records.category=AuditLogs i sökningen. Microsoft Entra-aktivitetsloggarna visas i följande bild:

Om du inte kan installera ett tillägg i din Splunk-instans (till exempel om du använder en proxy eller körs i Splunk Cloud) kan du vidarebefordra dessa händelser till Splunk HTTP-händelseinsamlaren. Det gör du genom att använda den här Azure-funktionen, som utlöses av nya meddelanden i händelsehubben.

SumoLogic

Om du vill använda den här funktionen behöver du en SumoLogic-prenumeration med enkel inloggning aktiverat.

Integrera Microsoft Entra-loggar med SumoLogic

1. Konfigurera din SumoLogic-instans för att samla in loggar för Microsoft Entra-ID.

2. Installera Microsoft Entra SumoLogic-appen för att använda de förkonfigurerade instrumentpanelerna som tillhandahåller realtidsanalys av din miljö.

   

ArcSight

Om du vill använda den här funktionen behöver du en konfigurerad instans av ArcSight Syslog NG Daemon Smart Anslut or (Smart Anslut or) eller ArcSight Load Balancer. Om händelserna skickas till ArcSight Load Balancer skickas de till Smart Anslut or av lastbalanseraren.

Ladda ned och öppna konfigurationsguiden för ArcSight Smart Anslut or för Azure Monitor Event Hubs. Den här guiden innehåller de steg du behöver för att installera och konfigurera ArcSight Smart Anslut or för Azure Monitor.

Integrera Microsoft Entra-loggar med ArcSight

1. Slutför stegen i avsnittet Krav i ArcSight-konfigurationsguiden . Det här avsnittet innehåller följande steg:

   • Ange användarbehörigheter i Azure för att säkerställa att det finns en användare med ägarrollen som ska distribuera och konfigurera anslutningsappen.
   • Öppna portar på servern med Syslog NG Daemon Smart Anslut eller så att den är tillgänglig från Azure.
   • Distributionen kör ett PowerShell-skript, så du måste aktivera PowerShell för att köra skript på den dator där du vill distribuera anslutningsappen.

2. Följ stegen i avsnittet Distribuera Anslut eller i Konfigurationsguiden för ArcSight för att distribuera anslutningsappen. Det här avsnittet beskriver hur du laddar ned och extraherar anslutningsappen, konfigurerar programegenskaper och kör distributionsskriptet från den extraherade mappen.

3. Använd stegen i Verifiera distributionen i Azure för att kontrollera att anslutningsappen är konfigurerad och fungerar korrekt. Kontrollera följande krav:

   • De nödvändiga Azure-funktionerna skapas i din Azure-prenumeration.
   • Microsoft Entra-loggarna strömmas till rätt mål.
   • Programinställningarna från distributionen sparas i Program Inställningar i Azure Function Apps.
   • En ny resursgrupp för ArcSight skapas i Azure med ett Microsoft Entra-program för ArcSight-anslutningsappen och lagringskonton som innehåller de mappade filerna i CEF-format.

4. Slutför stegen efter distributionen i konfigurationsguiden för ArcSight efter distributionen. I det här avsnittet beskrivs hur du utför en annan konfiguration om du använder en App Service-plan för att förhindra att funktionsapparna går inaktiva efter en tidsgräns, konfigurerar strömning av resursloggar från händelsehubben och uppdaterar SysLog NG Daemon Smart Anslut eller keystore-certifikatet för att associera det med det nyligen skapade lagringskontot.

5. Konfigurationsguiden förklarar också hur du anpassar anslutningsegenskaperna i Azure och hur du uppgraderar och avinstallerar anslutningsappen. Det finns också ett avsnitt om prestandaförbättringar, inklusive uppgradering till en Azure Consumption-plan och konfiguration av en ArcSight Load Balancer om händelsebelastningen är större än vad en enda Syslog NG Daemon Smart Anslut or kan hantera.

Integreringsalternativ och överväganden för aktivitetsloggar

Om din aktuella SIEM inte stöds i Azure Monitor-diagnostik ännu kan du konfigurera anpassade verktyg med hjälp av Event Hubs-API:et. Mer information finns på sidan om att komma igång med att ta emot meddelanden från en händelsehubb.

IBM QRadar är ett annat alternativ för att integrera med Microsoft Entra-aktivitetsloggar. DSM och Azure Event Hubs Protocol är tillgängliga för nedladdning på IBM-support. Mer information om integrering med Azure finns på sidan IBM QRadar Security Intelligence Platform 7.3.0.

Vissa inloggningskategorier innehåller stora mängder loggdata, beroende på klientorganisationens konfiguration. I allmänhet kan inloggningar för icke-interaktiva användare och inloggningar med tjänstens huvudnamn vara 5 till 10 gånger större än de interaktiva användarinloggningarna.

Nästa steg

• Analysera Microsoft Entra-aktivitetsloggar med Azure Monitor-loggar
• Använda Microsoft Graph för att komma åt Microsoft Entra-aktivitetsloggar