Zelfstudie: Azure Active Directory-logboeken streamen naar een Azure Event Hub

In deze zelfstudie leert u hoe u de diagnostische instellingen van Azure Monitor instelt voor het streamen van Azure AD-logboeken (Azure Active Directory) naar een Azure Event Hub. Gebruik dit mechanisme om uw logboeken te integreren met externe SIEM-hulpprogramma's (Security Information and Event Management), zoals Splunk en QRadar.

Vereisten

U hebt het volgende nodig om deze functie te gebruiken:

  • Een Azure-abonnement. Als u nog geen Azure-abonnement hebt, kunt u zich registreren voor een gratis proefversie.
  • Een Azure AD-tenant.
  • Een gebruiker die een globale beheerder of beveiligingsbeheerder voor de Azure-tenant is.
  • Een naamruimte van Event Hubs en een Event Hub in uw Azure-abonnement. Informatie over het maken van een Event Hub.

Logboeken streamen naar een Event Hub

  1. Meld u aan bij Azure Portal.

  2. Selecteer Azure ActiveDirectory-auditlogboeken>.

  3. Selecteer Gegevensinstellingen exporteren.

  4. In het deelvenster Diagnostische instellingen voert u een van de volgende handelingen uit:

    • Selecteer Instelling bewerken als u bestaande instellingen wilt wijzigen.
    • Selecteer Diagnostische instelling toevoegen als u nieuwe instellingen wilt toevoegen.
      Er zijn maximaal drie instellingen.
  5. Schakel het selectievakje Streamen naar een Event Hub in en selecteer Event Hub/Configureren.

    Export settings

    1. Selecteer het Azure-abonnement en de Event Hubs-naamruimte waarnaar u de logboeken wilt routeren.
      Het abonnement en de Event Hubs-naamruimte moeten beide worden gekoppeld aan de Azure AD-tenant van waaruit de logboeken worden gestreamd. Ook kunt u een Event Hub opgeven in de Event Hubs-naamruimte waarnaar logboeken moeten worden verzonden. Als geen Event Hub wordt opgegeven, wordt er een in de naamruimte gemaakt. Deze krijgt de standaardnaam insights-logs-audit.

    2. Selecteer een combinatie van de volgende items:

      • Schakel het selectievakje AuditLogs in om auditlogboeken naar Event Hub te verzenden.
      • Als u interactieve aanmeldingslogboeken van gebruikers naar de Event Hub wilt verzenden, schakelt u het selectievakje SignInLogs in.
      • Als u niet-interactieve aanmeldingslogboeken van gebruikers naar de Event Hub wilt verzenden, schakelt u het selectievakje NonInteractiveUserSignInLogs in.
      • Als u aanmeldingslogboeken van de service-principal naar de Event Hub wilt verzenden, schakelt u het selectievakje ServicePrincipalSignInLogs in.
      • Als u aanmeldingslogboeken voor beheerde identiteiten naar de Event Hub wilt verzenden, schakelt u het selectievakje ManagedIdentitySignInLogs in.
      • Als u inrichtingslogboeken naar de Event Hub wilt verzenden, schakelt u het selectievakje ProvisioningLogs in.
      • Als u aanmeldingen wilt verzenden die zijn verzonden naar Azure AD door een AD FS Connect Health-agent, schakelt u het selectievakje ADFSSignInLogs in.
      • Als u riskante gebruikersgegevens wilt verzenden, schakelt u het selectievakje RiskyUsers in.
      • Als u informatie over gebruikersrisicogebeurtenissen wilt verzenden, schakelt u het selectievakje UserRiskEvents in.

      Notitie

      Sommige aanmeldingscategorieƫn bevatten grote hoeveelheden logboekgegevens, afhankelijk van de configuratie van uw tenant. Over het algemeen kunnen de aanmeldingen van niet-interactieve gebruikers en aanmeldingen van de service-principal 5 tot 10 keer groter zijn dan de interactieve gebruikersaanmelding.

    3. Selecteer Opslaan om de instelling op te slaan.

  6. Controleer na circa vijftien minuten of er gebeurtenissen in uw Event Hub worden weergegeven. Ga hiervoor vanuit de portal naar de Event Hub en controleer of het aantal inkomende berichten groter is dan nul.

    Audit logs

Gegevens openen vanuit de Event Hub

Nadat gegevens in de Event Hub worden weergegeven, kunt u de gegevens op twee manieren openen en lezen:

Volgende stappen