Streamování protokolů aktivit do centra událostí

Váš tenant Microsoft Entra vytváří velké objemy dat každou sekundu. Přihlašovací aktivita a protokoly změn provedených ve vašem tenantovi se sčítají do velkého množství dat, která je obtížné analyzovat. Integrace s nástroji SIEM (Security Information and Event Management) vám může pomoct získat přehled o vašem prostředí.

Tento článek ukazuje, jak můžete streamovat protokoly do centra událostí a integrovat je s jedním z několika nástrojů SIEM.

Požadavky

• Pokud chcete streamovat protokoly do nástroje SIEM, musíte nejprve vytvořit centrum událostí Azure. Informace o tom, jak vytvořit centrum událostí.

• Jakmile budete mít centrum událostí, které obsahuje protokoly aktivit Microsoft Entra, můžete nastavit integraci nástroje SIEM pomocí nastavení diagnostiky Microsoft Entra.

Streamování protokolů do centra událostí

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň bezpečnostní Správa istrator.

2. Přejděte do nastavení diagnostiky stavu a>monitorování identit>. Exportovat Nastavení můžete také vybrat na stránce Protokoly auditu nebo Přihlášení.

3. Vyberte + Přidat nastavení diagnostiky a vytvořte novou integraci nebo vyberte Upravit nastavení pro existující integraci.

4. Zadejte název nastavení diagnostiky. Pokud upravujete existující integraci, nemůžete název změnit.

5. Vyberte kategorie protokolů, které chcete streamovat.

6. Zaškrtněte políčko Stream do centra událostí.

7. Vyberte předplatné Azure, obor názvů služby Event Hubs a volitelné centrum událostí, do kterého chcete protokoly směrovat.

Předplatné i obor názvů služby Event Hubs musí být přidružené k tenantovi Microsoft Entra, ze kterého protokoly streamujete.

Jakmile budete mít centrum událostí Azure připravené, přejděte k nástroji SIEM, který chcete integrovat s protokoly aktivit. Proces dokončíte v nástroji SIEM.

V současné době podporujeme Splunk, SumoLogic a ArcSight. Začněte výběrem karty. Projděte si dokumentaci k nástroji.

Splunk

Pokud chcete tuto funkci použít, potřebujete doplněk Splunk pro cloudové služby Microsoftu.

Integrace protokolů Microsoft Entra s Splunk

1. Otevřete instanci Splunk a vyberte Souhrn dat.

   

2. Vyberte kartu Zdrojové typy a pak vyberte mscs:azure:eventhub.

   

Připojte body.records.category=AuditLogs k hledání. Protokoly aktivit Microsoft Entra se zobrazují na následujícím obrázku:

Pokud v instanci Splunk nemůžete nainstalovat doplněk (například pokud používáte proxy server nebo používáte Splunk Cloud), můžete tyto události předat kolektoru událostí SPlunk HTTP. K tomu použijte tuto funkci Azure, která se aktivuje novými zprávami v centru událostí.

SumoLogic

K použití této funkce potřebujete předplatné s povoleným jednotným přihlašováním SumoLogic.

Integrace protokolů Microsoft Entra s nástrojem SumoLogic

1. Nakonfigurujte instanci SumoLogic tak, aby shromažďuje protokoly pro ID Microsoft Entra.

2. Nainstalujte aplikaci Microsoft Entra SumoLogic tak, aby používala předkonfigurované řídicí panely, které poskytují analýzu prostředí v reálném čase.

   

ArcSight

Pokud chcete tuto funkci použít, potřebujete nakonfigurovanou instanci démona ArcSight Syslog NG Smart Připojení or (Smart Připojení or) nebo ArcSight Load Balancer. Pokud se události odesílají do Nástroje pro vyrovnávání zatížení ArcSight, odešlou se do nástroje Smart Připojení or službou Load Balancer.

Stáhněte a otevřete průvodce konfigurací pro ArcSight Smart Připojení or pro službu Azure Monitor Event Hubs. Tato příručka obsahuje kroky potřebné k instalaci a konfiguraci nástroje ArcSight Smart Připojení or pro Azure Monitor.

Integrace protokolů Microsoft Entra s ArcSightem

1. Proveďte kroky v části Požadavky průvodce konfigurací ArcSightu. Tato část obsahuje následující kroky:

   • Nastavte uživatelská oprávnění v Azure, abyste zajistili, že je uživatel s rolí vlastníka pro nasazení a konfiguraci konektoru.
   • Otevřete porty na serveru pomocí nástroje Syslog NG Daemon Smart Připojení or tak, aby byl přístupný z Azure.
   • Nasazení spustí skript PowerShellu, takže musíte povolit, aby PowerShell spouštěl skripty na počítači, na kterém chcete konektor nasadit.

2. Pokud chcete nasadit konektor, postupujte podle kroků v části Nasazení Připojení or v průvodci konfigurací ArcSight. Tato část vás provede stažením a extrahováním konektoru, konfigurací vlastností aplikace a spuštěním skriptu nasazení z extrahované složky.

3. Pomocí kroků v části Ověření nasazení v Azure se ujistěte, že je konektor správně nastavený a funguje. Ověřte následující požadavky:

   • Požadované funkce Azure se vytvoří ve vašem předplatném Azure.
   • Protokoly Microsoft Entra se streamují do správného cíle.
   • Nastavení aplikace z vašeho nasazení se uchovávají v aplikaci Nastavení v aplikacích Azure Functions.
   • V Azure se vytvoří nová skupina prostředků s aplikací Microsoft Entra pro konektor ArcSight a účty úložiště obsahující mapované soubory ve formátu CEF.

4. Dokončete kroky po nasazení v konfiguraci po nasazení průvodce konfigurací ArcSight. Tato část vysvětluje, jak provést jinou konfiguraci, pokud používáte plán služby App Service, abyste zabránili tomu, aby aplikace funkcí po uplynutí časového limitu nečinně po uplynutí časového limitu, nakonfigurovali streamování protokolů prostředků z centra událostí a aktualizovali certifikát úložiště klíčů SysLog NG Smart Připojení orujte certifikát úložiště klíčů, aby ho přidružil k nově vytvořenému účtu úložiště.

5. Průvodce konfigurací také vysvětluje, jak přizpůsobit vlastnosti konektoru v Azure a jak upgradovat a odinstalovat konektor. K dispozici je také část o vylepšení výkonu, včetně upgradu na plán Azure Consumption a konfigurace Load Balanceru ArcSight, pokud je zatížení události větší než to, co dokáže zpracovat jeden démon Syslog NG Připojení or.

Možnosti integrace protokolu aktivit a důležité informace

Pokud váš aktuální siEM ještě není v diagnostice služby Azure Monitor podporovaný, můžete pomocí rozhraní API služby Event Hubs nastavit vlastní nástroje . Další informace najdete v tématu Začínáme s přijímáním zpráv z centra událostí.

IBM QRadar je další možností integrace s protokoly aktivit Microsoft Entra. DsM a protokol Azure Event Hubs jsou k dispozici ke stažení na podporu IBM. Další informace o integraci s Azure najdete na webu IBM QRadar Security Intelligence Platform 7.3.0.

Některé kategorie přihlašování obsahují velké objemy dat protokolu v závislosti na konfiguraci vašeho tenanta. Obecně platí, že neinteraktivní přihlášení uživatelů a instanční objekty můžou být 5 až 10krát větší než interaktivní přihlášení uživatelů.

Další kroky

• Analýza protokolů aktivit Microsoft Entra pomocí protokolů služby Azure Monitor
• Použití Microsoft Graphu pro přístup k protokolům aktivit Microsoft Entra