如何將活動記錄串流至事件中樞

您的 Microsoft Entra 租使用者每秒會產生大量數據。 您租使用者中所做的變更登入活動和記錄，最多可加到許多難以分析的數據。 與安全性資訊和事件管理 （SIEM） 工具整合可協助您深入了解環境。

本文說明如何將記錄串流至事件中樞，以與數個SIEM工具之整合。

必要條件

• 若要將記錄串流至 SIEM 工具，您必須先建立 Azure 事件中樞。 瞭解如何 建立事件中樞。

• 一旦您有包含 Microsoft Entra 活動記錄的事件中樞，您就可以使用 Microsoft Entra 診斷設定來設定 SIEM 工具整合。

將記錄串流至事件中樞

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

1. 以至少安全性 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [身分>識別監視與健康情況>診斷設定]。 您也可以從 [稽核記錄] 或 [登入] 頁面選取 [匯出 設定]。

3. 選取 [+ 新增診斷設定 ] 以建立新的整合，或選取 現有整合的 [編輯] 設定 。

4. 輸入診斷 設定名稱。 如果您要編輯現有的整合，則無法變更名稱。

5. 選取您想要串流的記錄類別。

6. 選取 [串流至事件中 樞 ] 複選框。

7. 選取您想要路由記錄的 Azure 訂用帳戶、事件中樞命名空間和選擇性事件中樞。

訂用帳戶和事件中樞命名空間必須與您串流記錄的 Microsoft Entra 租使用者相關聯。

準備好 Azure 事件中樞之後，請流覽至您想要與活動記錄整合的 SIEM 工具。 您將完成 SIEM 工具中的程式。

我們目前支援 Splunk、SumoLogic 和 ArcSight。 選取索引標籤以開始使用。 請參閱工具的檔。

Splunk

若要使用這項功能，您需要 Microsoft 雲端服務 的 Splunk 附加元件。

整合 Microsoft Entra 記錄與 Splunk

1. 開啟您的 Splunk 實例，然後選取 [數據摘要]。

   

2. 選取 [ 來源類型] 索引 卷標，然後選取 mscs：azure：eventhub

   

將 body.records.category=AuditLogs 附加至搜尋。 下圖顯示 Microsoft Entra 活動記錄：

如果您無法在 Splunk 實例中安裝附加元件（例如，如果您使用 Proxy 或在 Splunk Cloud 上執行），您可以將這些事件轉送至 Splunk HTTP 事件收集器。 若要這樣做，請使用此 Azure 函式，此函式是由事件中樞中的新訊息所觸發。

SumoLogic

若要使用此功能，您需要已啟用 SumoLogic 單一登錄的訂用帳戶。

整合 Microsoft Entra 記錄與 SumoLogic

1. 設定 SumoLogic 實例以 收集 Microsoft Entra ID 的記錄。

2. 安裝 Microsoft Entra SumoLogic 應用程式 ，以使用預先設定的儀錶板，提供您環境的即時分析。

   

ArcSight

若要使用此功能，您需要已設定的 ArcSight Syslog NG 精靈 Smart 連線 or （Smart 連線 or） 或 ArcSight Load Balancer 實例。 如果事件傳送至 ArcSight Load Balancer，則會由 Load Balancer 傳送至 Smart 連線 or。

下載並開啟適用於 Azure 監視器事件中樞的 ArcSight Smart 連線 or 設定指南。 本指南包含安裝和設定適用於 Azure 監視器的 ArcSight Smart 連線 or 所需的步驟。

整合 Microsoft Entra 記錄與 ArcSight

1. 完成 ArcSight 設定指南的必要條件一節中的步驟。 本節包含下列步驟：

   • 在 Azure 中設定用戶權力，以確保有擁有 者 角色的使用者可部署及設定連接器。
   • 使用 Syslog NG 精靈 Smart 連線 或開啟伺服器上的埠，使其可從 Azure 存取。
   • 部署會執行 PowerShell 腳本，因此您必須讓 PowerShell 在您要部署連接器的電腦上執行腳本。

2. 請遵循 ArcSight 設定指南的部署 連線 or 一節中的步驟來部署連接器。 本節將逐步引導您瞭解如何下載和擷取連接器、設定應用程式屬性，以及從解壓縮的資料夾執行部署腳本。

3. 使用驗證 Azure 中的部署中的步驟，確定連接器已正確設定並正常運作。 確認下列必要條件：

   • 必要的 Azure 函式會在您的 Azure 訂用帳戶中建立。
   • Microsoft Entra 記錄會串流至正確的目的地。
   • 部署中的應用程式設定會保存在 Azure Function Apps 中的應用程式 設定 中。
   • ArcSight 的新資源群組是在 Azure 中建立的，其中包含 ArcSight 連接器和記憶體帳戶的 Microsoft Entra 應用程式，其中包含 CEF 格式的對應檔案。

4. 完成 ArcSight 設定指南的部署後設定中的 部署 後步驟。 本節說明如果您在 App Service 方案中執行另一個設定，以防止函式應用程式在逾時期間後閒置、設定事件中樞的資源記錄串流，以及更新 SysLog NG 精靈 Smart 連線 or 密鑰存放區憑證，使其與新建立的記憶體帳戶產生關聯。

5. 組態指南也會說明如何在 Azure 中自定義連接器屬性，以及如何升級和卸載連接器。 此外，還有一個關於效能改進的區段，包括升級至 Azure 使用量方案，以及如果事件負載大於單一 Syslog NG 精靈 Smart 連線 or 可以處理的事件負載，則設定 ArcSight Load Balancer。

活動記錄整合選項和考慮

如果 Azure 監視器診斷尚未支援您目前的 SIEM，您可以使用事件中樞 API 來設定 自訂工具 。 若要深入瞭解，請參閱 開始使用從事件中樞接收訊息。

IBM QRadar 是與 Microsoft Entra 活動記錄整合的另一個選項。 DSM 和 Azure 事件中樞 通訊協定可供 IBM 支援下載。 如需與 Azure 整合的詳細資訊，請移至 IBM QRadar Security Intelligence Platform 7.3.0 網站。

根據租用戶的設定，某些登入類別包含大量的記錄數據。 一般而言，非互動式使用者登入和服務主體登入的次數可以大於互動式使用者登入的 5 到 10 倍。

下一步

• 使用 Azure 監視器記錄分析 Microsoft Entra 活動記錄
• 使用 Microsoft Graph 存取 Microsoft Entra 活動記錄