アクティビティ ログをイベント ハブにストリーミングする方法

Microsoft Entra テナントでは、毎秒大量のデータが生成されます。 サインイン アクティビティとテナント内で行われた変更のログは、蓄積して分析が困難な程多くのデータとなります。 セキュリティ情報イベント管理 (SIEM) ツールとの統合は、環境に関する分析情報を得るのに役立ちます。

この記事では、ログをイベント ハブにストリーミングして、いくつかの SIEM ツールのいずれかと統合する方法について説明します。

前提条件

  • SIEM ツールにログをストリーミングするには、まず Azure イベント ハブを作成する必要があります。 イベント ハブの作成方法に関するページを参照してください。

  • Microsoft Entra アクティビティ ログを含むイベント ハブを作成したら、Microsoft Entra 診断設定を使用して SIEM ツール統合を設定できます。

イベント ハブにログをストリーム配信する

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

  1. セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [Identity] (ID)>[監視と正常性]>[診断設定] の順に移動します。 [監査ログ] または [サインイン] ページから [エクスポート設定] を選ぶこともできます。

  3. [+ 診断設定の追加] を選んで新しい統合を作成するか、既存の統合の [設定の編集] を選びます。

  4. 診断設定の名前を入力します。 既存の統合を編集する場合、名前を変更することはできません。

  5. ストリーミングするログ カテゴリを選択します。

  1. [イベント ハブへのストリーム] チェック ボックスをオンにします。

  2. ログをルーティングしたい Azure サブスクリプション、Event Hubs 名前空間、およびオプションのイベント ハブを選択します。

サブスクリプションと Event Hubs 名前空間は両方とも、ログのストリーミング元である Microsoft Entra テナントと関連付けられている必要があります。

Azure イベント ハブの準備ができたら、アクティビティ ログと統合したい SIEM ツールに移動します。 SIEM ツールでのプロセスを完了します。

現在、Splunk、SumoLogic、ArcSight がサポートされています。 タブを選択して作業を開始します。 ツールのドキュメントを参照してください。

この機能を使用するには、Splunk Add-on for Microsoft Cloud Services が必要です。

Microsoft Entra ログを Splunk と統合する

  1. Splunk インスタンスを開き、[データの概要] を選択します。

    The

  2. [Sourcetypes](ソース タイプ) タブを選択し、mscs:azure:eventhub を選択します

    The Data Summary Sourcetypes tab

検索に body.records.category=AuditLogs を追加します。 次の図のような Microsoft Entra アクティビティ ログが表示されます。

Activity logs

アドオンを Splunk インスタンスにインストールできない場合 (たとえば、プロキシを使用している場合、Splunk Cloud で実行している場合など)、Splunk HTTP Event Collector にこれらのイベントを転送できます。 そのためには、イベント ハブの新しいメッセージによってトリガーされるこの Azure 関数を使います。

アクティビティ ログの統合オプションと考慮事項

現在お使いの SIEM が Azure Monitor 診断でまだサポートされていない場合は、Event Hubs API を使用することでカスタム ツールを設定できます。 詳しくは、イベント ハブからメッセージ受信を開始する方法に関するページをご覧ください。

IBM QRadar は、Microsoft Entra アクティビティ ログと統合するためのもう 1 つの選択肢です。 DSM および Azure Event Hubs Protocol は、IBM サポートからダウンロードすることができます。 Azure との統合について詳しくは、IBM QRadar Security Intelligence Platform 7.3.0 のサイトをご覧ください。

一部のサインイン カテゴリには、テナントの構成に応じて大量のログ データが含まれています。 一般的に、非対話型のユーザー サインインとサービス プリンシパルのサインインは、対話型のユーザー サインインの 5 倍から 10 倍の大きさになることがあります。

次のステップ