Zelfstudie: Azure Active Directory-logboeken streamen naar een Azure Event Hub

In deze zelfstudie leert u hoe u de diagnostische instellingen van Azure Monitor instelt voor het streamen van Azure AD-logboeken (Azure Active Directory) naar een Azure Event Hub. Gebruik dit mechanisme om uw logboeken te integreren met externe SIEM-hulpprogramma's (Security Information and Event Management), zoals Splunk en QRadar.

Vereisten

U hebt het volgende nodig om deze functie te gebruiken:

• Een Azure-abonnement. Als u nog geen Azure-abonnement hebt, kunt u zich registreren voor een gratis proefversie.
• Een Azure AD-tenant.
• Een gebruiker die een globale beheerder of beveiligingsbeheerder voor de Azure-tenant is.
• Een naamruimte van Event Hubs en een Event Hub in uw Azure-abonnement. Informatie over het maken van een Event Hub.

Logboeken streamen naar een Event Hub

1. Meld u aan bij Azure Portal.

2. Selecteer Azure ActiveDirectory-auditlogboeken>.

3. Selecteer Gegevensinstellingen exporteren.

4. In het deelvenster Diagnostische instellingen voert u een van de volgende handelingen uit:

   • Selecteer Instelling bewerken als u bestaande instellingen wilt wijzigen.
   • Selecteer Diagnostische instelling toevoegen als u nieuwe instellingen wilt toevoegen.
     Er zijn maximaal drie instellingen.

5. Schakel het selectievakje Streamen naar een Event Hub in en selecteer Event Hub/Configureren.

   

   1. Selecteer het Azure-abonnement en de Event Hubs-naamruimte waarnaar u de logboeken wilt routeren.
      Het abonnement en de Event Hubs-naamruimte moeten beide worden gekoppeld aan de Azure AD-tenant van waaruit de logboeken worden gestreamd. Ook kunt u een Event Hub opgeven in de Event Hubs-naamruimte waarnaar logboeken moeten worden verzonden. Als geen Event Hub wordt opgegeven, wordt er een in de naamruimte gemaakt. Deze krijgt de standaardnaam insights-logs-audit.

   2. Selecteer een combinatie van de volgende items:

      • Schakel het selectievakje AuditLogs in om auditlogboeken naar Event Hub te verzenden.
      • Als u interactieve aanmeldingslogboeken van gebruikers naar de Event Hub wilt verzenden, schakelt u het selectievakje SignInLogs in.
      • Als u niet-interactieve aanmeldingslogboeken van gebruikers naar de Event Hub wilt verzenden, schakelt u het selectievakje NonInteractiveUserSignInLogs in.
      • Als u aanmeldingslogboeken van de service-principal naar de Event Hub wilt verzenden, schakelt u het selectievakje ServicePrincipalSignInLogs in.
      • Als u aanmeldingslogboeken voor beheerde identiteiten naar de Event Hub wilt verzenden, schakelt u het selectievakje ManagedIdentitySignInLogs in.
      • Als u inrichtingslogboeken naar de Event Hub wilt verzenden, schakelt u het selectievakje ProvisioningLogs in.
      • Als u aanmeldingen wilt verzenden die zijn verzonden naar Azure AD door een AD FS Connect Health-agent, schakelt u het selectievakje ADFSSignInLogs in.
      • Als u riskante gebruikersgegevens wilt verzenden, schakelt u het selectievakje RiskyUsers in.
      • Als u informatie over gebruikersrisicogebeurtenissen wilt verzenden, schakelt u het selectievakje UserRiskEvents in.

      Notitie

      Sommige aanmeldingscategorieën bevatten grote hoeveelheden logboekgegevens, afhankelijk van de configuratie van uw tenant. Over het algemeen kunnen de aanmeldingen van niet-interactieve gebruikers en aanmeldingen van de service-principal 5 tot 10 keer groter zijn dan de interactieve gebruikersaanmelding.

   3. Selecteer Opslaan om de instelling op te slaan.

6. Controleer na circa vijftien minuten of er gebeurtenissen in uw Event Hub worden weergegeven. Ga hiervoor vanuit de portal naar de Event Hub en controleer of het aantal inkomende berichten groter is dan nul.

   

Gegevens openen vanuit de Event Hub

Nadat gegevens in de Event Hub worden weergegeven, kunt u de gegevens op twee manieren openen en lezen:

• Een ondersteund SIEM-hulpprogramma configureren. Als u gegevens vanuit de Event Hub wilt lezen, zijn voor de meeste hulpprogramma's de Event Hub-verbindingsreeks en bepaalde machtigingen voor uw Azure-abonnement vereist. Hulpprogramma's van derden met Azure Monitor-integratie omvatten, maar zijn niet beperkt tot:

  • ArcSight: Zie Azure Active Directory-logboeken integreren met ArcSight met Behulp van Azure Monitor voor meer informatie over het integreren van Azure AD-logboeken met ArcSight.

  • Splunk: zie Integrate Azure AD logs with Splunk by using Azure Monitor (Azure AD-logboeken integreren met Splunk met behulp van Azure Monitor) voor meer informatie over het integreren van Azure AD-logboeken met Splunk.

  • IBM QRadar: de DSM en Azure Event Hub Protocol kunnen worden gedownload op IBM support (Ondersteuning van IBM). Ga naar de site IBM QRadar Security Intelligence Platform 7.3.0 (Engelstalig) voor meer informatie over integratie met Azure.

  • Sumo Logic: zie Install the Azure AD app and view the dashboards (Azure AD-app installeren en dashboards weergeven) als u Sumo Logic wilt instellen om gegevens uit een Event Hub te gebruiken.

• Aangepaste tooling instellen. Als uw huidige SIEM nog niet in Azure Monitor Diagnostics wordt ondersteund, kunt u aangepaste tooling instellen met behulp van de Event Hub-API. Zie Berichten ontvangen vanuit een Event Hub voor meer informatie.

Volgende stappen

• Diagnostische instellingen maken om logboeken en metrische gegevens van het platform te verzenden naar verschillende bestemmingen
• Logboeken van Azure Active Directory integreren met ArcSight met behulp van Azure Monitor
• Integrate Azure AD logs with Splunk by using Azure Monitor (Azure AD-logboeken integreren met Splunk met behulp van Azure Monitor)
• Integrate Azure AD logs with SumoLogic by using Azure Monitor (Azure AD-logboeken integreren met SumoLogic met behulp van Azure Monitor)
• Azure AD-logboeken integreren met Elastic met behulp van een Event Hub
• Interpret audit logs schema in Azure Monitor (Auditlogboekenschema interpreteren in Azure Monitor)
• Interpret sign-in logs schema in Azure Monitor (Aanmeldingslogboekenschema interpreteren in Azure Monitor)