如何将活动日志流式传输到事件中心
Microsoft Entra 租户每秒钟产生海量数据。 租户中发生的登录活动和更改日志加起来会生成大量数据,这些数据可能难以分析。 与安全信息和事件管理 (SIEM) 工具集成有助于深入了解环境。
本文展示了如何将日志流式传输到事件中心,从而与多个 SIEM 工具之一集成。
先决条件
要将日志流式传输到 SIEM 工具,首先需要创建Azure 事件中心。 了解如何创建事件中心。
拥有包含 Microsoft Entra 活动日志的事件中心后,可以使用“Microsoft Entra 诊断设置”设置 SIEM 工具集成。
将日志流式传输到事件中心
提示
本文中的步骤可能因开始使用的门户而略有不同。
至少以安全管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“监视和运行状况”>“诊断设置”。 还可以从“审核日志”或“登录”页中选择“导出设置”。
选择“+ 添加诊断设置”以创建新的集成,或选择现有集成的“编辑设置”。
输入一个诊断设置名称。 如果要编辑现有集成,则无法更改名称。
选择要流式传输的日志类别。
选择“流式传输到事件中心”复选框。
选择要在其中路由日志的 Azure 订阅、事件中心命名空间和可选事件中心。
订阅和事件中心命名空间必须都与从其流式传输日志的 Microsoft Entra 租户相关联。
准备好 Azure 事件中心后,导航到要与活动日志集成的 SIEM 工具。 该过程在 SIEM 工具中完成。
目前支持 Splunk、SumoLogic 和 ArcSight。 选择一个选项卡开始。 请参阅该工具的文档。
要使用此功能,需要适用于 Microsoft 云服务的 Splunk 加载项。
将 Microsoft Entra 日志与 Splunk 集成
打开 Splunk 实例,并选择“数据摘要”。
选择“Sourcetypes”选项卡,然后选择“mscs:azure:eventhub”
将“body.records.category=AuditLogs”追加到搜索中。 Microsoft Entra 活动日志将如下图中所示:
如果无法在 Splunk 实例中安装加载项(例如,如果使用代理或在 Splunk Cloud 上运行),则可以将这些事件转发到 Splunk HTTP 事件收集器。 为此,请使用此 Azure 函数,该函数通过事件中心中的新消息触发。
活动日志集成选项和注意事项
如果当前的 SIEM 在 Azure Monitor 诊断中不受支持,可以使用事件中心 API 设置自定义工具。 有关详细信息,请参阅从事件中心接收消息入门。
IBM QRadar是与 Microsoft Entra 活动日志集成的另一个选项。 DSM 和 Azure 事件中心协议可以从IBM 支持站点下载。 若要详细了解如何与 Azure 集成,请访问 IBM QRadar Security Intelligence Platform 7.3.0 站点。
某些登录类别包含大量日志数据,具体取决于租户的配置。 通常,非交互式用户登录和服务主体登录可以比交互式用户登录大 5 到 10 倍。