Diffusion en continu des journaux d’activité vers un Event Hub

Votre locataire Microsoft Entra produit de grandes quantités de données chaque seconde. L’activité de connexion et les journaux des modifications apportées à votre locataire s’ajoutent à un grand nombre de données qui peuvent être difficiles à analyser. L’intégration dans des outils SIEM (Security Information and Event Management) peut vous aider à obtenir des insights sur votre environnement.

Cet article explique comment diffuser en continu vos journaux vers un Event Hub pour les intégrer dans l’un des outils SIEM.

Prérequis

• Pour diffuser en continu des journaux vers un outil SIEM, vous devez d’abord créer un Azure Event Hub. Découvrez comment créer un hub d’événements.

• Une fois que vous disposez d’un Event Hub qui contient les journaux d’activité Microsoft Entra, vous pouvez configurer l’intégration de l’outil SIEM dans Paramètres des diagnostics Microsoft Entra.

Transmettre en continu des journaux d’activité vers un hub d’événements

Conseil

Les étapes de cet article peuvent varier légèrement en fonction du portail à partir duquel vous démarrez.

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.

2. Accédez à Identité>Surveillance et intégrité>Paramètres de diagnostic. Vous pouvez également sélectionner Exporter les paramètres à partir de la page Journaux d’audit ou Connexion.

3. Sélectionnez + Ajouter un paramètre de diagnostic pour créer une intégration ou sélectionnez Modifier le paramètre pour une intégration existante.

4. Entrez un nom dans Nom du paramètre de diagnostic. Si vous modifiez une intégration existante, vous ne pouvez pas modifier le nom.

5. Sélectionnez les catégories de journaux que vous souhaitez diffuser en continu.

6. Cochez la case Diffuser vers Event Hub.

7. Sélectionnez l’abonnement Azure, l’espace de noms Event Hubs et un Event Hub facultatif où vous souhaitez acheminer les journaux.

L’abonnement et l’espace de noms Event Hubs doivent tous deux être associés au locataire Microsoft Entra à partir duquel les journaux sont diffusés en continu.

Une fois l’Azure Event Hub prêt, accédez à l’outil SIEM que vous souhaitez intégrer dans les journaux d’activité. Vous allez terminer le processus dans l’outil SIEM.

Pour le moment, nous prenons en charge Splunk, SumoLogic et ArcSight. Sélectionnez un onglet ci-dessous pour commencer. Reportez-vous à la documentation de l’outil.

Splunk

Pour utiliser cette fonctionnalité, vous avez besoin du module complémentaire Splunk pour les services de cloud computing Microsoft.

Intégrer les journaux Microsoft Entra à Splunk

1. Ouvrez l’instance Splunk, puis sélectionnez Data Summary.

   

2. Sélectionnez l’onglet Sourcetypes, puis mscs:azure:eventhub

   

Ajoutez body.records.category=AuditLogs à la recherche. Les journaux d’activité de Microsoft Entra sont présentés dans la figure suivante :

Si vous ne pouvez pas installer de module complémentaire dans votre instance Splunk (par exemple, si vous utilisez un proxy ou si vous exécutez sur Splunk Cloud), vous pouvez transférer ces événements vers le collecteur d’événements Splunk HTTP. Pour ce faire, utilisez cette fonction Azure déclenchée par de nouveaux messages dans le hub d’événements.

sumologic

Pour utiliser cette fonctionnalité, vous avez besoin d’un abonnement SumoLogic pour lequel l’authentification unique est activée.

Intégrer les journaux Microsoft Entra à SumoLogic

1. Configurez votre instance SumoLogic pour collecter des journaux d’activité pour Microsoft Entra ID.

2. Installez l'application Microsoft Entra SumoLogic pour utiliser les tableaux de bord préconfigurés qui fournissent une analyse en temps réel de votre environnement.

   

ArcSight

Pour utiliser cette fonctionnalité, vous avez besoin d’une instance configurée d’ArcSight Syslog NG Daemon SmartConnector (SmartConnector) ou d’ArcSight Load Balancer. Si les événements sont envoyés à ArcSight Load Balancer, ils sont envoyés SmartConnector par l’équilibreur de charge.

Téléchargez et ouvrez le guide de configuration d’ArcSight SmartConnector pour l’Event Hubs Azure Monitor. Ce guide décrit les étapes à suivre pour installer et configurer ArcSight SmartConnector pour Azure Monitor.

Intégrer les journaux Microsoft Entra à ArcSight

1. Suivez les étapes de la section Conditions préalables du guide de configuration d’ArcSight. Cette section comprend les étapes suivantes :

   • Définissez les autorisations utilisateur dans Azure, afin de vous assurer qu’un utilisateur dispose du rôle propriétaire pour déployer et configurer le connecteur.
   • Ouvrez les ports sur le serveur avec Syslog NG Daemon SmartConnector, afin qu’il soit accessible à partir d’Azure.
   • Le déploiement exécute un script PowerShell, vous devez donc autoriser PowerShell à exécuter des scripts sur l’ordinateur dans lequel vous souhaitez déployer le connecteur.

2. Suivez les étapes de la section Déploiement du connecteur du guide de configuration d’ArcSight pour déployer le connecteur. Cette section vous explique comment télécharger et extraire le connecteur, configurer les propriétés de l’application et exécuter le script de déploiement dans le dossier extrait.

3. Utilisez les étapes décrites dans Vérification du déploiement dans Azure pour vous assurer que le connecteur est configuré et fonctionne correctement. Vérifier les conditions préalables :

   • Les fonctions Azure requises sont créées dans votre abonnement Azure.
   • Les journaux d’activité Microsoft Entra sont diffusés en continu vers la destination correcte.
   • Les paramètres d’application de votre déploiement sont conservés dans les paramètres d’application d’Azure Function Apps.
   • Un nouveau groupe de ressources pour ArcSight est créé dans Azure, avec une application Microsoft Entra pour le connecteur ArcSight et des comptes de stockage contenant les fichiers mappés au format CEF.

4. Effectuez les étapes post-déploiement décrites dans la section Configurations post-déploiement du guide de configuration d’ArcSight. Cette section explique comment effectuer une autre configuration si vous utilisez un plan App Service pour empêcher que les applications de fonction deviennent inactives après un certain délai d’attente, configurer la diffusion en continu des journaux de ressources à partir du hub d’événements et mettre à jour le certificat de magasins de clés SysLog NG Daemon SmartConnector pour l’associer avec le compte de stockage nouvellement créé.

5. Le guide de configuration explique également comment personnaliser les propriétés du connecteur dans Azure, et comment le mettre à niveau et le désinstaller. Il contient également une section sur les améliorations des performances, notamment sur la mise à niveau vers un plan de consommation Azure et la configuration d’ArcSight Load Balancer si la charge de l’événement est supérieure à ce qu’un seul Syslog NG Daemon SmartConnector peut gérer.

Options et considérations relatives à l’intégration des journaux d’activité

Si votre outil SIEM actuel n’est pas encore pris en charge dans les diagnostics d’Azure Monitor, vous pouvez configurer des outils personnalisés à l’aide de l’API Event Hubs. Pour plus d’informations, consultez la section Prise en main de la réception des messages à partir d’un hub d’événements.

IBM QRadar est une autre option pour l’intégration dans les journaux d’activité Microsoft Entra. Vous pouvez télécharger le module DSM et le protocole Azure Event Hubs depuis l’adresse du service d’assistance d’IBM. Pour plus d’informations sur l’intégration avec Azure, accédez au site IBM QRadar Security Intelligence Platform 7.3.0.

Certaines catégories de connexion contiennent de grandes quantités de données de journal en fonction de la configuration de votre locataire. En général, les connexions utilisateur non interactives et les connexions de principal du service peuvent être 5 à 10 fois plus volumineuses que les connexions utilisateur interactives.

Étapes suivantes

• Analysez Microsoft Entra journaux d’activité avec les journaux Azure Monitor
• Utilisation de Microsoft Graph pour accéder aux journaux d’activité Microsoft Entra