Etkinlik günlüklerini bir olay hub'ına akışla aktarma

Microsoft Entra kiracınız her saniye büyük miktarda veri üretir. Kiracınızda yapılan oturum açma etkinliği ve değişiklik günlükleri, analiz edilmesi zor olabilecek birçok veriye eklenir. Güvenlik Bilgileri ve Olay Yönetimi (SIEM) araçlarıyla tümleştirme, ortamınızla ilgili içgörüler elde etmenize yardımcı olabilir.

Bu makalede, çeşitli SIEM araçlarından biriyle tümleştirmek için günlüklerinizi bir olay hub'ına nasıl akışla aktarabileceğiniz gösterilmektedir.

Önkoşullar

• Günlükleri SIEM aracına akışla aktarabilmek için önce bir Azure olay hub'ı oluşturmanız gerekir. Olay hub'ı oluşturma hakkında bilgi edinin.

• Microsoft Entra etkinlik günlüklerini içeren bir olay hub'ına sahip olduktan sonra, Microsoft Entra tanılama ayarlarını kullanarak SIEM aracı tümleştirmesini ayarlayabilirsiniz.

Günlükleri olay hub'ına akışla aktarma

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

1. Microsoft Entra yönetim merkezinde en az Bir Güvenlik Yönetici istratörü olarak oturum açın.

2. Kimlik>İzleme ve sistem durumu>Tanılama ayarları'na göz atın. Denetim Günlükleri veya Oturum Açmalar sayfasından Ayarlar dışarı aktar'ı da seçebilirsiniz.

3. Yeni tümleştirme oluşturmak için + Tanılama ayarı ekle'yi veya mevcut tümleştirme için Ayarı düzenle'yi seçin.

4. Bir Tanılama ayarı adı girin. Mevcut tümleştirmeyi düzenliyorsanız adı değiştiremezsiniz.

5. Akışla yayınlamak istediğiniz günlük kategorilerini seçin.

6. Olay hub'ına akışla aktar onay kutusunu seçin.

7. Günlükleri yönlendirmek istediğiniz Azure aboneliğini, Event Hubs ad alanını ve isteğe bağlı olay hub'ını seçin.

Hem abonelik hem de Event Hubs ad alanı, günlükleri akışla aktardığınız Microsoft Entra kiracısıyla ilişkilendirilmelidir.

Azure olay hub'ı hazır olduktan sonra etkinlik günlükleriyle tümleştirmek istediğiniz SIEM aracına gidin. SIEM aracında işlemi tamamlayacaksınız.

Şu anda Splunk, SumoLogic ve ArcSight'ı destekliyoruz. Başlamak için bir sekme seçin. Aracın belgelerine bakın.

Splunk

Bu özelliği kullanmak için Microsoft Cloud Services için Splunk Eklentisi gerekir.

Microsoft Entra günlüklerini Splunk ile tümleştirme

1. Splunk örneğinizi açın ve Veri Özeti'ne tıklayın.

   

2. Kaynak türleri sekmesini ve ardından mscs:azure:eventhub'ı seçin

   

Aramaya body.records.category=AuditLogs yazın. Microsoft Entra etkinlik günlükleri aşağıdaki şekilde gösterilmiştir:

Splunk örneğinize bir eklenti yükleyemiyorsanız (örneğin, bir ara sunucu kullanıyorsanız veya Splunk Cloud'da çalıştırıyorsanız), bu olayları Splunk HTTP Olay Toplayıcısı'na iletebilirsiniz. Bunu yapmak için olay hub'ında yeni iletiler tarafından tetiklenen bu Azure işlevini kullanın.

SumoLogic

Bu özelliği kullanmak için SumoLogic çoklu oturum açma özelliğinin etkinleştirildiği bir aboneliğe sahip olmanız gerekir.

Microsoft Entra günlüklerini SumoLogic ile tümleştirme

1. SumoLogic örneğinizi Microsoft Entra Id günlüklerini toplayacak şekilde yapılandırın.

2. Ortamınızın gerçek zamanlı analizini sağlayan önceden yapılandırılmış panoları kullanmak için Microsoft Entra SumoLogic uygulamasını yükleyin.

   

ArcSight

Bu özelliği kullanmak için ArcSight Syslog NG Daemon Smart Bağlan or (Smart Bağlan or) veya ArcSight Load Balancer'ın yapılandırılmış bir örneğine ihtiyacınız vardır. Olaylar ArcSight Load Balancer'a gönderilirse, Load Balancer tarafından Smart Bağlan or öğesine gönderilir.

ArcSight Smart Bağlan veya Azure İzleyici Event Hubs için yapılandırma kılavuzunu indirin ve açın. Bu kılavuz, ArcSight Smart Bağlan or for Azure İzleyici'yi yüklemek ve yapılandırmak için ihtiyacınız olan adımları içerir.

Microsoft Entra günlüklerini ArcSight ile tümleştirme

1. ArcSight yapılandırma kılavuzunun Önkoşullar bölümündeki adımları tamamlayın. Bu bölüm aşağıdaki adımları içerir:

   • Bağlayıcıyı dağıtmak ve yapılandırmak için sahip rolüne sahip bir kullanıcı olduğundan emin olmak için Azure'da kullanıcı izinlerini ayarlayın.
   • Azure'dan erişilebilir olması için Syslog NG Daemon Smart Bağlan or ile sunucudaki bağlantı noktalarını açın.
   • Dağıtım bir PowerShell betiği çalıştırır, bu nedenle PowerShell'i bağlayıcıyı dağıtmak istediğiniz makinede betik çalıştırmak için etkinleştirmeniz gerekir.

2. Bağlayıcıyı dağıtmak için ArcSight yapılandırma kılavuzunun Bağlan dağıtma bölümündeki adımları izleyin. Bu bölümde bağlayıcıyı indirip ayıklama, uygulama özelliklerini yapılandırma ve ayıklanan klasörden dağıtım betiğini çalıştırma adımları gösterilmektedir.

3. Bağlayıcının ayarlandığından ve düzgün çalıştığından emin olmak için Azure'da Dağıtımı Doğrulama başlığındaki adımları kullanın. Aşağıdaki önkoşulları doğrulayın:

   • Gerekli Azure işlevleri Azure aboneliğinizde oluşturulur.
   • Microsoft Entra günlükleri doğru hedefe akışla aktarılır.
   • Dağıtımınızdaki uygulama ayarları Azure İşlev Uygulamaları'ndaki Uygulama Ayarlar kalıcı hale geldi.
   • Azure'da ArcSight için yeni bir kaynak grubu oluşturulur ve ArcSight bağlayıcısı için bir Microsoft Entra uygulaması ve CEF biçiminde eşlenen dosyaları içeren depolama hesapları oluşturulur.

4. ArcSight yapılandırma kılavuzunun Dağıtım Sonrası Yapılandırmaları bölümünde dağıtım sonrası adımları tamamlayın. Bu bölümde, işlev uygulamalarının zaman aşımı süresinden sonra boşta kalmalarını önlemek, olay hub'ından kaynak günlüklerinin akışını yapılandırmak ve SysLog NG Daemon Smart Bağlan or anahtar deposu sertifikasını yeni oluşturulan depolama hesabıyla ilişkilendirmek üzere güncelleştirmek için App Service Planı'ndaysanız başka bir yapılandırmanın nasıl gerçekleştirileceğini açıklar.

5. Yapılandırma kılavuzunda ayrıca Azure'da bağlayıcı özelliklerinin nasıl özelleştirileceği ve bağlayıcının nasıl yükseltileceği ve kaldırılma adımları açıklanmaktadır. Ayrıca, azure tüketim planına yükseltme ve olay yükü tek bir Syslog NG Daemon Smart Bağlan or'un işleyebileceğinden daha büyükse ArcSight Load Balancer yapılandırma gibi performans iyileştirmeleri hakkında bir bölüm vardır.

Etkinlik günlüğü tümleştirme seçenekleri ve dikkat edilmesi gerekenler

Geçerli SIEM'iniz henüz Azure İzleyici tanılamalarında desteklenmiyorsa Event Hubs API'sini kullanarak özel araçlar ayarlayabilirsiniz. Daha fazla bilgi için bkz. Bir olay hub'ındaki verileri almaya başlama.

IBM QRadar , Microsoft Entra etkinlik günlükleriyle tümleştirmeye yönelik bir diğer seçenektir. DSM ve Azure Event Hubs Protokolü IBM desteğinden indirilebilir. Azure tümleştirmesi hakkında daha fazla bilgi için IBM QRadar Security Intelligence Platform 7.3.0 sitesini ziyaret edin.

Bazı oturum açma kategorileri, kiracınızın yapılandırmasına bağlı olarak büyük miktarda günlük verileri içerir. Genel olarak, etkileşimli olmayan kullanıcı oturum açma işlemleri ve hizmet sorumlusu oturum açma işlemleri, etkileşimli kullanıcı oturum açmalarından 5-10 kat daha büyük olabilir.

Sonraki adımlar

• Azure İzleyici günlükleriyle Microsoft Entra etkinlik günlüklerini analiz etme
• Microsoft Entra etkinlik günlüklerine erişmek için Microsoft Graph kullanma