如何將活動記錄串流至事件中樞

您的 Microsoft Entra 租戶每秒會產生大數據。 在您租戶中進行的登入活動及變更記錄累積了如此多的數據，導致難以分析。 整合安全性資訊與事件管理 (SIEM) 工具可協助您深入了解環境。

本文說明如何將記錄串流至事件中樞，與數個 SIEM 工具之一整合。

必要條件

• Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶，您可以 註冊免費試用。
• 已設定的 Azure 事件中樞 。 瞭解如何 建立事件中樞。
• 安全性系統管理員 擁有建立 Microsoft Entra 租戶的一般診斷設定的權限。
• 屬性記錄系統管理員 存取權，以建立 自定義安全性屬性 記錄的診斷設定。

將記錄串流至事件中樞

1. 至少以安全性系統管理員的身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 Entra ID>監視與健康情況>診斷設定。 您也可以從 [稽核記錄] 或 [登入] 頁面選取 [匯出設定]。

3. 選取 [+ 新增診斷設定] 以建立新的整合，或為現有的整合，選取 [編輯設定]。

4. 輸入 [診斷設定名稱]。 若要編輯現有的整合，則無法變更名稱。

5. 選取您想要串流的記錄類別。

6. 選取 [串流至事件中樞] 核取方塊。

7. 選取用來路由傳送記錄的 Azure 訂用帳戶、事件中樞命名空間和選擇性的事件中樞。

訂用帳戶和事件中樞命名空間必須皆與您從中串流記錄的 Microsoft Entra 租用戶相關聯。

準備好 Azure 事件中樞之後，請瀏覽至您想要整合活動記錄的 SIEM 工具。 此程序在 SIEM 工具中完成。

我們目前支援 Splunk、SumoLogic 和 ArcSight。 選擇標籤以開始。 請參閱工具文件。

Splunk

若要使用這項功能，您需要 Microsoft雲端服務的Splunk附加元件。

整合 Microsoft Entra 日誌與 Splunk

1. 開啟您的 Splunk 執行個體，並選取 [資料摘要]。

   

2. 選取 [來源類型] 頁籤，然後選取 mscs:azure:eventhub

   

將 body.records.category=AuditLogs 附加至搜尋。 下圖顯示 Microsoft Entra 活動記錄：

如果您無法在 Splunk 執行個體中安裝附加元件 (例如，如果您使用 Proxy，或在 Splunk Cloud 上執行)，您可以將這些事件轉送至 Splunk HTTP 事件收集器。 若要這樣做，請使用此 Azure 函式，此函式是由事件中樞中的新訊息所觸發。

SumoLogic

若要使用此功能，您需要已啟用 SumoLogic 單一登入的訂用帳戶。

整合 Microsoft Entra 日誌與 SumoLogic

1. 設定 SumoLogic 實例以 收集Microsoft Entra 標識碼的記錄。

2. 安裝 Microsoft Entra SumoLogic 應用程式 ，以使用預先設定的儀錶板，提供您環境的即時分析。

   

ArcSight

若要使用此功能，您需要已設定的 ArcSight Syslog NG Daemon SmartConnector (SmartConnector) 或 ArcSight Load Balancer 執行個體。 如果事件傳送到 ArcSight Load Balancer，Load Balancer 會將事件傳送至 SmartConnector。

下載並開啟 適用於 Azure 監視器事件中樞的 ArcSight SmartConnector 設定指南。 本指南包含所需步驟，可用來安裝和設定適用於 Azure 監視器的 ArcSight SmartConnector。

整合 Microsoft Entra 記錄與 ArcSight

1. 完成 ArcSight 設定指南的必要 條件 一節中的步驟。 本節包含下列步驟：

   • 在 Azure 中設定用戶權力，以確保有擁有 者 角色的使用者可部署及設定連接器。
   • 在具有 Syslog NG Daemon SmartConnector 的伺服器上開啟連接埠，以便從 Azure 存取。
   • 部署作業會執行 PowerShell 指令碼，因此您必須啟用 PowerShell，在您要部署連接器的電腦上執行指令碼。

2. 請遵循 ArcSight 設定指南的 部署連接器 一節中的步驟來部署連接器。 本節會引導您了解如何下載及解壓縮連接器、設定應用程式屬性，以及從解壓縮的資料夾執行部署指令碼。

3. 使用驗證 Azure 中的部署 中的步驟，確定連接器已正確設定並正常運作。 確認下列必要條件：

   • 已在 Azure 訂用帳戶中建立必要的 Azure 函式。
   • Microsoft Entra 記錄已串流至正確的目的地。
   • 部署中的應用程式設定會保存在 Azure 函式應用程式中的應用程式設定內。
   • 使用適用於 ArcSight 連接器的 Microsoft Entra 應用程式，以及含有 CEF 格式對應檔案的儲存體帳戶，在 Azure 中為 ArcSight 建立新的資源群組。

4. 完成 ArcSight 設定指南中 部署後設定 的步驟。 本節說明當您使用 App Service 方案時如何執行其他設定，以防止函式應用程式在逾時期間過後進入閒置狀態、設定串流來自事件中樞的資源記錄，以及更新 SysLog NG Daemon SmartConnector 金鑰儲存區憑證，使其與新建立的儲存體帳戶相關聯。

5. 設定指南也會說明如何在 Azure 中自訂連接器屬性，以及如何升級和解除安裝連接器。 此外，還有一節說明效能改進，包括升級至 Azure 使用量方案，以及配置 ArcSight Load Balancer，如果事件負載超過單一 Syslog NG Daemon SmartConnector 能處理的事件負載。

活動記錄整合選項和考量

如果 Azure 監視器診斷尚未支援您目前的 SIEM，您可以使用事件中樞 API 來設定 自訂工具 。 若要深入瞭解，請參閱 開始接收事件中樞訊息。

IBM QRadar 是與 Microsoft Entra 活動記錄整合的另一個選項。 DSM 和 Azure 事件中樞通訊協定可供 IBM 支援下載。 如需與 Azure 整合的詳細資訊，請移至 IBM QRadar Security Intelligence Platform 7.3.0 網站。

某些登入類別包含大量記錄資料，視租用戶的設定而定。 一般情況下，非互動式使用者登入和服務主體登入可以是大於互動式使用者登入的 5 到 10 倍。

下一步

• 使用 Azure 監視器記錄分析Microsoft Entra 活動記錄
• 使用 Microsoft Graph 來存取 Microsoft Entra 活動記錄