Cara mengalirkan log aktivitas ke pusat aktivitas

Penyewa Microsoft Entra Anda menghasilkan data dalam jumlah besar setiap detik. Aktivitas masuk dan log perubahan yang dilakukan di penyewa Anda menambahkan hingga banyak data yang dapat sulit dianalisis. Mengintegrasikan dengan alat Security Information and Event Management (SIEM) dapat membantu Anda mendapatkan wawasan tentang lingkungan Anda.

Artikel ini menunjukkan bagaimana Anda dapat mengalirkan log Anda ke pusat aktivitas, untuk diintegrasikan dengan salah satu dari beberapa alat SIEM.

Prasyarat

• Untuk mengalirkan log ke alat SIEM, Anda harus terlebih dahulu membuat hub peristiwa Azure. Pelajari cara membuat pusat aktivitas.

• Setelah Anda memiliki pusat aktivitas yang berisi log aktivitas Microsoft Entra, Anda dapat menyiapkan integrasi alat SIEM menggunakan pengaturan diagnostik Microsoft Entra.

Mengalirkan log pusat aktivitas

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Keamanan.

2. Telusuri pengaturan Pemantauan Identitas>& Diagnostik kesehatan.> Anda juga dapat memilih Ekspor Pengaturan dari halaman Log Audit atau Masuk.

3. Pilih + Tambahkan pengaturan diagnostik untuk membuat integrasi baru atau pilih Edit pengaturan untuk integrasi yang sudah ada.

4. Masukkan nama pengaturan Diagnostik. Jika Anda mengedit integrasi yang sudah ada, Anda tidak dapat mengubah namanya.

5. Pilih kategori log yang ingin Anda streaming.

6. Pilih kotak centang Streaming ke pusat aktivitas.

7. Pilih langganan Azure, namespace layanan Azure Event Hubs, dan hub peristiwa opsional tempat Anda ingin merutekan log.

Namespace layanan langganan dan Azure Event Hubs harus dikaitkan dengan penyewa Microsoft Entra dari tempat Anda melakukan streaming log.

Setelah Anda menyiapkan hub peristiwa Azure, navigasikan ke alat SIEM yang ingin Anda integrasikan dengan log aktivitas. Anda akan menyelesaikan proses di alat SIEM.

Saat ini kami mendukung Splunk, SumoLogic, dan ArcSight. Pilih tab untuk memulai. Lihat dokumentasi alat.

Splunk

Untuk menggunakan fitur ini, Anda memerlukan Add-on Splunk untuk Microsoft Cloud Services.

Mengintegrasikan log Microsoft Entra dengan Splunk

1. Buka instans Splunk Anda dan pilih Ringkasan Data.

   

2. Pilih tab Sourcetypes, lalu pilih mscs:azure:eventhub

   

Tambahkan body.records.category=AuditLogs ke pencarian. Log aktivitas Microsoft Entra ditampilkan dalam gambar berikut:

Jika Anda tidak dapat menginstal add-on di instans Splunk Anda (misalnya, jika Anda menggunakan proksi atau berjalan di Splunk Cloud), Anda dapat meneruskan peristiwa ini ke Splunk HTTP Event Collector. Untuk melakukannya, gunakan fungsi Azure ini, yang dipicu oleh pesan baru di hub peristiwa.

SumoLogic

Untuk menggunakan fitur ini, Anda memerlukan langganan akses menyeluruh SumoLogic yang diaktifkan.

Mengintegrasikan log Microsoft Entra dengan SumoLogic

1. Konfigurasikan instans SumoLogic Anda untuk mengumpulkan log untuk ID Microsoft Entra.

2. Instal aplikasi Microsoft Entra SumoLogic untuk menggunakan dasbor yang telah dikonfigurasi sebelumnya yang menyediakan analisis real time lingkungan Anda.

   

ArcSight

Untuk menggunakan fitur ini, Anda memerlukan instans ArcSight Syslog NG Daemon Smart Koneksi or (Smart Koneksi or) atau ArcSight Load Balancer yang dikonfigurasi. Jika peristiwa dikirim ke ArcSight Load Balancer, peristiwa dikirim ke Smart Koneksi or oleh Load Balancer.

Unduh dan buka panduan konfigurasi untuk ArcSight Smart Koneksi or untuk Azure Monitor Event Hubs. Panduan ini berisi langkah-langkah yang Anda butuhkan untuk menginstal dan mengonfigurasi ArcSight SmartConnector untuk Azure Monitor.

Mengintegrasikan log Microsoft Entra dengan ArcSight

1. Selesaikan langkah-langkah di bagian Prasyarat dari panduan konfigurasi ArcSight. Bagian ini melibatkan langkah-langkah berikut:

   • Atur izin pengguna di Azure untuk memastikan ada pengguna dengan peran pemilik untuk menyebarkan dan mengonfigurasi konektor.
   • Buka port di server dengan Syslog NG Daemon Smart Koneksi or sehingga dapat diakses dari Azure.
   • Penyebaran menjalankan skrip PowerShell, jadi Anda harus mengaktifkan PowerShell untuk menjalankan skrip pada komputer tempat Anda ingin menyebarkan konektor.

2. Ikuti langkah-langkah di bagian Menyebarkan Koneksi or dari panduan konfigurasi ArcSight untuk menyebarkan konektor. Bagian ini memandu Anda memahami cara mengunduh dan mengekstrak konektor, serta mengonfigurasi properti aplikasi dan menjalankan skrip penyebaran dari folder yang diekstrak.

3. Gunakan langkah-langkah dalam Memverifikasi Penyebaran di Azure untuk memastikan konektor disiapkan dan berfungsi dengan benar. Pastikan prasyarat berikut:

   • Fungsi Azure yang diperlukan dibuat di langganan Azure Anda.
   • Log Microsoft Entra dialirkan ke tujuan yang benar.
   • Pengaturan aplikasi dari penyebaran Anda tetap ada di Pengaturan Aplikasi di Aplikasi Fungsi Azure.
   • Grup sumber daya baru untuk ArcSight dibuat di Azure, dengan aplikasi Microsoft Entra untuk konektor ArcSight dan akun penyimpanan yang berisi file yang dipetakan dalam format CEF.

4. Selesaikan langkah-langkah pasca-penyebaran di Konfigurasi Pasca-Penyebaran panduan konfigurasi ArcSight. Bagian ini menjelaskan cara melakukan konfigurasi lain jika Anda menggunakan Paket App Service untuk mencegah aplikasi fungsi menganggur setelah periode batas waktu, mengonfigurasi streaming log sumber daya dari pusat aktivitas, dan memperbarui sertifikat keystore SysLog NG Daemon Smart Koneksi or untuk mengaitkannya dengan akun penyimpanan yang baru dibuat.

5. Panduan konfigurasi juga menjelaskan cara menyesuaikan properti konektor di Azure, serta cara meningkatkan dan menghapus instalan konektor. Ada juga bagian tentang peningkatan performa, termasuk peningkatan ke paket Konsumsi Azure dan mengonfigurasi Load Balancer ArcSight jika beban peristiwa lebih besar dari yang dapat ditangani oleh satu Syslog NG Daemon Smart Koneksi or.

Opsi dan pertimbangan integrasi log aktivitas

Jika SIEM Anda saat ini belum didukung di diagnostik Azure Monitor, Anda dapat menyiapkan alat kustom dengan menggunakan API Azure Event Hubs. Untuk mempelajari selengkapnya, lihat Mulai menerima pesan dari pusat aktivitas.

IBM QRadar adalah opsi lain untuk mengintegrasikan dengan log aktivitas Microsoft Entra. Protokol DSM dan Azure Event Hubs tersedia untuk diunduh di dukungan IBM. Untuk informasi selengkapnya tentang integrasi dengan Microsoft Azure, buka situs IBM QRadar Security Intelligence Platform 7.3.0.

Beberapa kategori masuk berisi data log dalam jumlah besar, tergantung pada konfigurasi penyewa Anda. Secara umum, rincian masuk pengguna non-interaktif dan rincian masuk perwakilan layanan bisa 5 hingga 10 kali lebih besar dari rincian masuk pengguna interaktif.

Langkah berikutnya

• Menganalisis log aktivitas Microsoft Entra dengan log Azure Monitor
• Menggunakan Microsoft Graph untuk mengakses log aktivitas Microsoft Entra