Etkinlik günlüklerini bir olay hub'ına akışla aktarma

Microsoft Entra kiracınız her saniye büyük miktarda veri üretir. Kiracınızda yapılan oturum açma etkinliği ve değişiklik günlükleri, analiz edilmesi zor olabilecek kadar çok veri içerir. Güvenlik Bilgileri ve Olay Yönetimi (SIEM) araçlarıyla tümleştirme, ortamınızla ilgili içgörüler elde etmenize yardımcı olabilir.

Bu makalede, çeşitli SIEM araçlarından biriyle tümleştirmek için günlüklerinizi bir olay hub'ına nasıl akışla aktarabileceğiniz gösterilmektedir.

Önkoşullar

• Azure aboneliği. Azure aboneliğiniz yoksa ücretsiz deneme sürümüne kaydolabilirsiniz.
• Önceden kurulu bir Azure olay merkezi . Olay hub'ı oluşturmayı öğrenin.
• Güvenlik Yöneticisi, Microsoft Entra kiracısı için genel tanılama ayarları oluşturma erişimine sahiptir.
• Öznitelik Günlüğü Yöneticisi erişimi, özel güvenlik öznitelik günlükleri için tanılama ayarları oluşturmak için gereklidir.

Günlükleri olay hub'ına akışla aktarma

1. Microsoft Entra yönetim merkezinde en az Bir Güvenlik Yöneticisi olarak oturum açın.

2. Entra ID>İzleme ve sistem durumu>Tanılama ayarları'na göz atın. Dışa Aktarma Ayarları seçeneğini aynı zamanda Denetim Günlükleri veya Oturum Açmalar sayfasından da seçebilirsiniz.

3. Yeni tümleştirme oluşturmak için + Tanılama ayarı ekle'yi veya mevcut tümleştirme için Ayarı düzenle'yi seçin.

4. Tanılama ayarı adı girin. Mevcut bir tümleştirme üzerinde değişiklik yapıyorsanız, adını değiştiremezsiniz.

5. Yayın yapmak istediğiniz günlük kategorilerini seçin.

6. Olay hub'ına akışla aktar onay kutusunu seçin.

7. Günlükleri yönlendirmek istediğiniz Azure aboneliğini, Event Hubs ad alanını ve isteğe bağlı olay hub'ını seçin.

Hem abonelik hem de Event Hubs ad alanı, günlükleri yayınladığınız Microsoft Entra kiracısıyla ilişkilendirilmiş olmalıdır.

Azure olay hub'ı hazır olduktan sonra etkinlik günlükleriyle tümleştirmek istediğiniz SIEM aracına gidin. İşlem SIEM aracında tamamlanmıştır.

Şu anda Splunk, SumoLogic ve ArcSight'ı destekliyoruz. Başlamak için bir sekme seçin. Aracın belgelerine bakın.

Kıymık

Bu özelliği kullanmak için Microsoft Cloud Services için Splunk Eklentisi gerekir.

Microsoft Entra günlüklerini Splunk ile tümleştirme

1. Splunk örneğinizi açın ve Veri Özeti'ne tıklayın.

   

2. Kaynak türleri sekmesini ve ardından mscs:azure:eventhub'ı seçin

   

Sorguya body.records.category=AuditLogs ekleyin. Microsoft Entra etkinlik günlükleri aşağıdaki şekilde gösterilmiştir:

Splunk örneğinize bir eklenti yükleyemiyorsanız (örneğin, bir ara sunucu kullanıyorsanız veya Splunk Cloud'da çalıştırıyorsanız), bu olayları Splunk HTTP Olay Toplayıcısı'na iletebilirsiniz. Bunu yapmak için olay hub'ında yeni iletiler tarafından tetiklenen bu Azure işlevini kullanın.

SumoLogic (Manyetik Mantık)

Bu özelliği kullanmak için SumoLogic çoklu oturum açma özelliğinin etkinleştirildiği bir aboneliğe sahip olmanız gerekir.

Microsoft Entra günlüklerini SumoLogic ile tümleştirme

1. SumoLogic örneğinizi Microsoft Entra Id günlüklerini toplayacak şekilde yapılandırın.

2. Ortamınızın gerçek zamanlı analizini sağlayan önceden yapılandırılmış panoları kullanmak için Microsoft Entra SumoLogic uygulamasını yükleyin.

   

Yay Görüşü

Bu özelliği kullanmak için ArcSight Syslog NG Daemon SmartConnector (SmartConnector) veya ArcSight Load Balancer'ın yapılandırılmış bir örneğine ihtiyacınız vardır. Olaylar ArcSight Load Balancer'a gönderilirse, Load Balancer tarafından SmartConnector'a gönderilir.

Azure İzleyici Event Hubs için ArcSight SmartConnector yapılandırma kılavuzunu indirin ve açın. Bu kılavuz, Azure İzleyici için ArcSight SmartConnector'ı yüklemek ve yapılandırmak için ihtiyacınız olan adımları içerir.

Microsoft Entra günlüklerini ArcSight ile tümleştirme

1. ArcSight yapılandırma kılavuzunun Önkoşullar bölümündeki adımları tamamlayın. Bu bölüm aşağıdaki adımları içerir:

   • Bağlayıcıyı dağıtmak ve yapılandırmak için sahip rolüne sahip bir kullanıcı olduğundan emin olmak için Azure'da kullanıcı izinlerini ayarlayın.
   • Azure'dan erişilebilir olması için Syslog NG Daemon SmartConnector ile sunucuda bağlantı noktalarını açın.
   • Dağıtım bir PowerShell betiği çalıştırır, bu nedenle PowerShell'i bağlayıcıyı dağıtmak istediğiniz makinede betik çalıştırmak için etkinleştirmeniz gerekir.

2. Bağlayıcıyı dağıtmak için ArcSight yapılandırma kılavuzunun Bağlayıcıyı Dağıtma bölümündeki adımları izleyin. Bu bölümde bağlayıcıyı indirip ayıklama, uygulama özelliklerini yapılandırma ve ayıklanan klasörden dağıtım betiğini çalıştırma adımları gösterilmektedir.

3. Bağlayıcının ayarlandığından ve düzgün çalıştığından emin olmak için Azure'da Dağıtımı Doğrulama başlığındaki adımları kullanın. Aşağıdaki önkoşulları doğrulayın:

   • Gerekli Azure işlevleri Azure aboneliğinizde oluşturulur.
   • Microsoft Entra günlükleri doğru hedefe aktarılıyor.
   • Dağıtımınızdaki uygulama ayarları, Azure İşlev Uygulamaları'ndaki Uygulama Ayarları'nda kalıcı hale geldi.
   • Azure'da ArcSight için yeni bir kaynak grubu oluşturulur ve ArcSight bağlayıcısı için bir Microsoft Entra uygulaması ve CEF biçiminde eşlenen dosyaları içeren depolama hesapları oluşturulur.

4. ArcSight yapılandırma kılavuzunun Dağıtım Sonrası Yapılandırmaları bölümünde dağıtım sonrası adımları tamamlayın. Bu bölümde, işlev uygulamalarının zaman aşımı süresinden sonra boşta olmasını önlemek, olay hub'ından kaynak günlüklerinin akışını yapılandırmak ve SysLog NG Daemon SmartConnector anahtar deposu sertifikasını yeni oluşturulan depolama hesabıyla ilişkilendirmek üzere güncelleştirmek için App Service Planı'ndaysanız başka bir yapılandırmanın nasıl gerçekleştirileceğini açıklar.

5. Yapılandırma kılavuzunda ayrıca Azure'da bağlayıcı özelliklerinin nasıl özelleştirileceği ve bağlayıcının nasıl yükseltileceği ve kaldırılma adımları açıklanmaktadır. Olay yükü tek bir Syslog NG Daemon SmartConnector'ın işleyebileceğinden daha büyükse Azure Tüketim planına yükseltme ve ArcSight Load Balancer yapılandırma dahil olmak üzere performans iyileştirmeleriyle ilgili bir bölüm de vardır.

Etkinlik günlüğü tümleştirme seçenekleri ve dikkat edilmesi gerekenler

Geçerli SIEM'iniz henüz Azure İzleyici tanılamalarında desteklenmiyorsa Event Hubs API'sini kullanarak özel araçlar ayarlayabilirsiniz. Daha fazla bilgi edinmek için Olay hub'ından ileti almaya başlama kısmına bakın.

IBM QRadar , Microsoft Entra etkinlik günlükleriyle tümleştirmeye yönelik bir diğer seçenektir. DSM ve Azure Event Hubs Protokolü IBM desteğinden indirilebilir. Azure ile tümleştirme hakkında daha fazla bilgi için IBM QRadar Güvenlik Zekası Platformu 7.3.0 sitesine gidin.

Belirli oturum açma kategorileri, kiracınızın yapılandırması doğrultusunda büyük miktarda log verisi içerebilir. Genel olarak, etkileşimli olmayan kullanıcı oturum açma işlemleri ve hizmet sorumlusu oturum açma işlemleri, etkileşimli kullanıcı oturum açmalarından 5-10 kat daha büyük olabilir.

Sonraki adımlar

• Azure İzleyici günlükleriyle Microsoft Entra etkinlik günlüklerini analiz etme
• Microsoft Entra etkinlik günlüklerine erişmek için Microsoft Graph kullanma