Samouczek: przesyłanie strumieniowe dzienników Azure Active Directory do centrum zdarzeń platformy Azure

W tym samouczku przedstawiono informacje na temat sposobu konfigurowania ustawień diagnostycznych usługi Azure Monitor w celu strumieniowego przesyłania dzienników usługi Azure Active Directory (Azure AD) do centrum zdarzeń platformy Azure. Ten mechanizm służy do integrowania dzienników z narzędziami do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) innych firm, takimi jak Splunk i QRadar.

Wymagania wstępne

Do korzystania z tej funkcji są potrzebne następujące elementy:

  • Subskrypcja platformy Azure. Jeśli nie masz subskrypcji platformy Azure, możesz skorzystać z bezpłatnej wersji próbnej.
  • Dzierżawa usługi Azure AD.
  • Użytkownik będący administratorem globalnym lub administratorem zabezpieczeń dla tej dzierżawy usługi Azure AD.
  • Przestrzeń nazw usługi Event Hubs i centrum zdarzeń w ramach subskrypcji platformy Azure. Dowiedz się, jak utworzyć centrum zdarzeń.

Przesyłanie strumieniowe dzienników do centrum zdarzeń

  1. Zaloguj się w witrynie Azure Portal.

  2. Wybierz pozycję Azure Active Directory>Dzienniki inspekcji.

  3. Wybierz pozycję Eksportuj ustawienia danych.

  4. W okienku Ustawienia diagnostyczne wykonaj jedną z następujących czynności:

    • Aby zmienić istniejące ustawienia, wybierz polecenie Edytuj ustawienie.
    • Aby dodać nowe ustawienie, wybierz polecenie Dodaj ustawienia diagnostyki.
      Możesz mieć maksymalnie trzy ustawienia.
  5. Zaznacz pole wyboru Przesyłaj strumieniowo do centrum zdarzeń i wybierz pozycję Centrum zdarzeń/Konfigurowanie.

    Export settings

    1. Wybierz subskrypcję platformy Azure i przestrzeń nazw usługi Event Hubs, do której chcesz kierować dzienniki.
      Subskrypcja i przestrzeń nazw usługi Event Hubs muszą być skojarzone z dzierżawą usługi Azure AD, z której są przesyłane strumieniowo dzienniki. Możesz również określić centrum zdarzeń w przestrzeni nazw usługi Event Hubs, do której mają być wysyłane dzienniki. Jeśli nie określono żadnego centrum zdarzeń, centrum zdarzeń zostanie utworzone w przestrzeni nazw z domyślną nazwą insights-logs-audit.

    2. Wybierz dowolną kombinację następujących elementów:

      • Aby wysłać dzienniki inspekcji do centrum zdarzeń, zaznacz pole wyboru AuditLogs (Dzienniki inspekcji ).
      • Aby wysłać dzienniki logowania interakcyjnego użytkownika do centrum zdarzeń, zaznacz pole wyboru SignInLogs .
      • Aby wysłać nieinterakcyjne dzienniki logowania użytkownika do centrum zdarzeń, zaznacz pole wyboru NonInteractiveUserSignInLogs .
      • Aby wysłać dzienniki logowania jednostki usługi do centrum zdarzeń, zaznacz pole wyboru ServicePrincipalSignInLogs .
      • Aby wysłać dzienniki logowania tożsamości zarządzanej do centrum zdarzeń, zaznacz pole wyboru ManagedIdentitySignInLogs .
      • Aby wysłać dzienniki aprowizacji do centrum zdarzeń, zaznacz pole wyboru ProvisioningLogs (Dzienniki aprowizacji ).
      • Aby wysyłać logowania wysyłane do usługi Azure AD przez agenta usług AD FS Połączenie Health, zaznacz pole wyboru ADFSSignInLogs.
      • Aby wysłać ryzykowne informacje o użytkowniku, zaznacz pole wyboru RiskyUsers .
      • Aby wysłać informacje o zdarzeniach o podwyższonym ryzyku użytkownika, zaznacz pole wyboru UserRiskEvents .

      Uwaga

      Niektóre kategorie logowania zawierają duże ilości danych dziennika w zależności od konfiguracji dzierżawy. Ogólnie rzecz biorąc, logowania użytkownika nieinterakcyjnego i logowania jednostki usługi mogą być od 5 do 10 razy większe niż logowania użytkowników interakcyjnych.

    3. Wybierz pozycję Zapisz, aby zapisać ustawienie.

  6. Po około 15 minutach sprawdź, czy zdarzenia są wyświetlane w centrum zdarzeń. Aby to zrobić, przejdź do centrum zdarzeń w portalu i sprawdź, czy liczba komunikatów przychodzących jest większa od zera.

    Audit logs

Uzyskiwanie dostępu do danych w centrum zdarzeń

Po wyświetleniu danych w centrum zdarzeń możesz uzyskać dostęp do danych i odczytać je na dwa sposoby:

Następne kroki