如何將活動記錄串流至事件中樞
您的 Microsoft Entra 租使用者每秒會產生大量數據。 您租使用者中所做的變更登入活動和記錄,最多可加到許多難以分析的數據。 與安全性資訊和事件管理 (SIEM) 工具整合可協助您深入了解環境。
本文說明如何將記錄串流至事件中樞,以與數個SIEM工具之整合。
必要條件
若要將記錄串流至 SIEM 工具,您必須先建立 Azure 事件中樞。 瞭解如何 建立事件中樞。
一旦您有包含 Microsoft Entra 活動記錄的事件中樞,您就可以使用 Microsoft Entra 診斷設定來設定 SIEM 工具整合。
將記錄串流至事件中樞
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
以至少安全性 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別監視與健康情況>診斷設定]。 您也可以從 [稽核記錄] 或 [登入] 頁面選取 [匯出 設定]。
選取 [+ 新增診斷設定 ] 以建立新的整合,或選取 現有整合的 [編輯] 設定 。
輸入診斷 設定名稱。 如果您要編輯現有的整合,則無法變更名稱。
選取您想要串流的記錄類別。
選取 [串流至事件中 樞 ] 複選框。
選取您想要路由記錄的 Azure 訂用帳戶、事件中樞命名空間和選擇性事件中樞。
訂用帳戶和事件中樞命名空間必須與您串流記錄的 Microsoft Entra 租使用者相關聯。
準備好 Azure 事件中樞之後,請流覽至您想要與活動記錄整合的 SIEM 工具。 您將完成 SIEM 工具中的程式。
我們目前支援 Splunk、SumoLogic 和 ArcSight。 選取索引標籤以開始使用。 請參閱工具的檔。
若要使用這項功能,您需要 Microsoft 雲端服務 的 Splunk 附加元件。
整合 Microsoft Entra 記錄與 Splunk
開啟您的 Splunk 實例,然後選取 [數據摘要]。
選取 [ 來源類型] 索引 卷標,然後選取 mscs:azure:eventhub
將 body.records.category=AuditLogs 附加至搜尋。 下圖顯示 Microsoft Entra 活動記錄:
如果您無法在 Splunk 實例中安裝附加元件(例如,如果您使用 Proxy 或在 Splunk Cloud 上執行),您可以將這些事件轉送至 Splunk HTTP 事件收集器。 若要這樣做,請使用此 Azure 函式,此函式是由事件中樞中的新訊息所觸發。
活動記錄整合選項和考慮
如果 Azure 監視器診斷尚未支援您目前的 SIEM,您可以使用事件中樞 API 來設定 自訂工具 。 若要深入瞭解,請參閱 開始使用從事件中樞接收訊息。
IBM QRadar 是與 Microsoft Entra 活動記錄整合的另一個選項。 DSM 和 Azure 事件中樞 通訊協定可供 IBM 支援下載。 如需與 Azure 整合的詳細資訊,請移至 IBM QRadar Security Intelligence Platform 7.3.0 網站。
根據租用戶的設定,某些登入類別包含大量的記錄數據。 一般而言,非互動式使用者登入和服務主體登入的次數可以大於互動式使用者登入的 5 到 10 倍。