Integrace protokolů Azure Active Directory se službou ArcSight pomocí služby Azure Monitor

Micro Focus ArcSight je řešení pro správu bezpečnostních informací a událostí (SIEM), které pomáhá detekovat bezpečnostní hrozby ve vaší platformě a reagovat na ně. Teď můžete směrovat protokoly Azure Active Directory (Azure AD) do Služby ArcSight pomocí služby Azure Monitor pomocí konektoru ArcSight pro Azure AD. Tato funkce umožňuje monitorovat tenanta kvůli ohrožení zabezpečení pomocí ArcSightu.

V tomto článku se dozvíte, jak směrovat protokoly Azure AD do ArcSightu pomocí služby Azure Monitor.

Požadavky

Pokud chcete používat tuto funkci, potřebujete tyto položky:

  • Centrum událostí Azure, které obsahuje protokoly aktivit Azure AD. Zjistěte, jak streamovat protokoly aktivit do centra událostí.
  • Nakonfigurovaná instance služby ArcSight Syslog NG Daemon SmartConnector (SmartConnector) nebo ArcSight Load Balancer. Pokud se události odesílají do služby ArcSight Load Balancer, budou následně odeslány do funkce SmartConnector Load Balancer.

Stáhněte a otevřete průvodce konfigurací pro Službu ArcSight SmartConnector pro centrum událostí služby Azure Monitor. Tato příručka obsahuje kroky, které potřebujete k instalaci a konfiguraci ArcSight SmartConnectoru pro Azure Monitor.

Integrace protokolů Azure AD s ArcSightem

  1. Nejprve proveďte kroky v části Požadavky v průvodci konfigurací. Tato část obsahuje následující kroky:

    • Nastavte uživatelská oprávnění v Azure, abyste zajistili, že je uživatel s rolí vlastníka k nasazení a konfiguraci konektoru.
    • Otevřete porty na serveru pomocí nástroje Syslog NG Daemon SmartConnector, takže je přístupný z Azure.
    • Nasazení spustí Windows PowerShell skript, takže musíte povolit PowerShellu, aby spouštěl skripty na počítači, na kterém chcete konektor nasadit.
  2. Pokud chcete konektor nasadit, postupujte podle kroků v části Nasazení konektoru v průvodci konfigurací. Tato část vás provede stažením a extrahováním konektoru, konfigurací vlastností aplikace a spuštěním skriptu nasazení z extrahované složky.

  3. Pomocí kroků v ověření nasazení v Azure se ujistěte, že je konektor správně nastavený a funguje. Zkontrolujte:

    • Požadované funkce Azure se vytvoří ve vašem předplatném Azure.
    • Protokoly Azure AD se streamují do správného cíle.
    • Nastavení aplikace z vašeho nasazení se uchovávají v aplikaci Nastavení v aplikacích Azure Function Apps.
    • V Azure se vytvoří nová skupina prostředků pro ArcSight s aplikací Azure AD pro konektor ArcSight a účty úložiště obsahující mapované soubory ve formátu CEF.
  4. Nakonec dokončete kroky po nasazení v průvodci konfigurací po nasazení. Tato část vysvětluje, jak provést další konfiguraci, pokud používáte plán App Service, abyste zabránili nečinnosti aplikací funkcí po uplynutí časového limitu, nakonfigurujte streamování protokolů prostředků z centra událostí a aktualizujte certifikát úložiště klíčů SysLog NG Daemon SmartConnector tak, aby ho přidružil k nově vytvořenému účtu úložiště.

  5. Průvodce konfigurací také vysvětluje, jak přizpůsobit vlastnosti konektoru v Azure a jak upgradovat a odinstalovat konektor. Existuje také část týkající se vylepšení výkonu, včetně upgradu na plán Azure Consumption a konfigurace Load Balancer ArcSightu, pokud je zatížení události větší než to, co může zpracovat jeden démon Syslog NG SmartConnector.

Další kroky

Průvodce konfigurací pro ArcSight SmartConnector pro centrum událostí služby Azure Monitor