如何將活動記錄串流至事件中樞

您的Microsoft Entra租使用者每秒會產生大量資料。 在租使用者中所做的變更登入活動和記錄，會新增許多難以分析的資料。 與安全性資訊和事件管理 (SIEM) 工具整合，可協助您深入瞭解環境。

本文說明如何將記錄串流至事件中樞，以與數個 SIEM 工具之一整合。

必要條件

若要將記錄串流至 SIEM 工具，您必須先建立 Azure 事件中樞。

一旦您有包含Microsoft Entra活動記錄的事件中樞，您可以使用Microsoft Entra 診斷設定來設定 SIEM 工具整合。

將記錄串流至事件中樞

1. 至少以安全性系統管理員身分登入Microsoft Entra系統管理中心。

2. 流覽至[身分> 識別監視 & 健康情況>診斷設定]。 您也可以從 [稽核記錄] 或 [登入] 頁面選取 [匯出設定]。

3. 選取 [+ 新增診斷設定 ] 以建立新的整合，或選取現有整合的 [編輯設定 ]。

4. 輸入 診斷設定名稱。 如果您要編輯現有的整合，則無法變更名稱。

5. 選取您想要串流的記錄類別。

6. 選取 [串流至事件中樞] 核取方塊。

7. 選取您想要路由傳送記錄的 Azure 訂用帳戶、事件中樞命名空間和選擇性事件中樞。

訂用帳戶和事件中樞命名空間必須與您串流記錄的來源Microsoft Entra租使用者相關聯。

當您準備好 Azure 事件中樞之後，請流覽至您想要與活動記錄整合的 SIEM 工具。 您將完成 SIEM 工具中的程式。

我們目前支援 Splunk、SumoLogic 和 ArcSight。 選取下方的索引標籤以開始使用。 請參閱工具的檔。

Splunk

若要使用此功能，您需要適用于 Microsoft 雲端服務 的 Splunk 附加元件。

整合Microsoft Entra識別碼記錄與 Splunk

1. 開啟您的 Splunk 實例，然後選取 [資料摘要]。

   

2. 依序選取 [Sourcetypes] 索引標籤和 [mscs:azure:eventhub]

   

在搜尋添加 body.records.category=AuditLogs。 下圖顯示Microsoft Entra活動記錄：

如果您無法在 Splunk 執行個體中安裝附加元件 (例如，如果您使用 Proxy，或在 Splunk Cloud 上執行)，您可以將這些事件轉送至 Splunk HTTP 事件收集器。 若要這樣做，請使用此 Azure 函式 \(英文\)，事件中樞中的新訊息會觸發此函式。

sumologic

若要使用此功能，您需要已啟用 SumoLogic 單一登入的訂用帳戶。

整合Microsoft Entra識別碼記錄與 SumoLogic

1. 設定 SumoLogic 實例以收集Microsoft Entra識別碼的記錄。

2. 安裝Microsoft Entra SumoLogic 應用程式，以使用預先設定的儀表板來提供環境的即時分析。

   

ArcSight

若要使用此功能，您需要已設定的 ArcSight Syslog NG 精靈 SmartConnector 實例 (SmartConnector) 或 ArcSight Load Balancer。 如果事件傳送至 ArcSight Load Balancer，事件就會由 Load Balancer 傳送至 SmartConnector。

下載並開啟 適用于 Azure 監視器事件中樞的 ArcSight SmartConnector 組態指南。 本指南包含所需步驟，可用來安裝和設定適用於 Azure 監視器的 ArcSight SmartConnector。

整合Microsoft Entra識別碼記錄與 ArcSight

1. Complete the steps in the Prerequisites section of the ArcSight configuration guide. 本節包含下列步驟：

   • 在 Azure 中設定使用者權限，以確保有擁有 者 角色的使用者可部署和設定連接器。
   • 使用 Syslog NG 精靈 SmartConnector 開啟伺服器上的埠，以便從 Azure 存取。
   • 部署會執行 PowerShell 腳本，因此您必須讓 PowerShell 在您要部署連接器的電腦上執行腳本。

2. 請遵循 ArcSight 設定指南的 部署連接器 一節中的步驟來部署連接器。 本節會引導您了解如何下載及解壓縮連接器、設定應用程式屬性，以及從解壓縮的資料夾執行部署指令碼。

3. 使用確認 Azure 中的部署中的步驟，來確定連接器的設定和運作皆正常。 確認下列必要條件：

   • 已在 Azure 訂用帳戶中建立必要的 Azure 函式。
   • Microsoft Entra記錄會串流至正確的目的地。
   • 部署中的應用程式設定會保存在 Azure 函式應用程式中的應用程式設定內。
   • ArcSight 的新資源群組會在 Azure 中建立，並針對 ArcSight 連接器和儲存體帳戶建立Microsoft Entra應用程式，其中包含 CEF 格式的對應檔案。

4. 完成 ArcSight 設定的部署後設定指南中的部署 後 步驟。 本節說明如果您在App Service計畫上執行另一個設定，以防止函式應用程式在逾時期間後閒置、設定事件中樞的資源記錄串流，以及更新 SysLog NG 精靈 SmartConnector 金鑰存放區憑證，使其與新建立的儲存體帳戶產生關聯。

5. 設定指南也會說明如何在 Azure 中自訂連接器屬性，以及如何升級和解除安裝連接器。 此外還有一節說明效能改進，包括升級至Azure 使用量方案，以及設定 ArcSight Load Balancer，如果事件裝載大於單一 Syslog NG 精靈 SmartConnector 所能處理的內容。

活動記錄整合選項和考慮

如果您目前的 SIEM 尚未在 Azure 監視器診斷中受到支援，您可以使用事件中樞 API 來設定 自訂工具 。 若要深入了解，請參閱開始從事件中樞接收訊息。

IBM QRadar是與Microsoft Entra活動記錄整合的另一個選項。 DSM 和Azure 事件中樞通訊協定可供IBM 支援下載。 如需有關與 Azure 整合的詳細資訊，請移至 IBM QRadar Security Intelligence Platform 7.3.0 網站。

某些登入類別包含大量記錄資料，視租使用者的組態而定。 一般情況下，非互動式使用者登入和服務主體登入可以是大於互動式使用者登入的 5 到 10 倍。

下一步

• 使用 Azure 監視器記錄分析Microsoft Entra活動記錄
• 使用 Microsoft Graph 存取Microsoft Entra活動記錄