Självstudie: Strömma Azure Active Directory till en Azure-händelsehubb

I den här självstudien får du lära dig hur du konfigurerar Azure Monitor-diagnostikinställningar för att strömma Azure Active Directory-loggar (Azure AD) till en Azure-händelsehubb. Använd den här mekanismen för att integrera dina loggar med SIEM-verktyg (Säkerhetsinformation och händelsehantering) från tredje part, till exempel Splunk och QRadar.

Krav

För att använda funktionen behöver du:

  • En Azure-prenumeration. Om du inte har en Azure-prenumeration kan du registrera dig för en kostnadsfri utvärdering.
  • En Azure AD-klientorganisation.
  • En användare som är global administratör eller säkerhetsadministratör för Azure AD-klientorganisationen.
  • En Event Hubs-namnrymd och en händelsehubb i din Azure-prenumeration. Lär dig att skapa en händelsehubb.

Strömma loggar till en händelsehubb

  1. Logga in på Azure-portalen.

  2. Välj Azure Active DirectoryGranskningsloggar.

  3. Välj Inställningar för exportera data.

  4. I fönsterrutan Diagnostikinställningar gör du något av följande:

    • Om du vill ändra befintliga inställningar väljer du Redigera inställning.
    • Om du vill lägga till nya inställningar väljer du Add diagnostics setting (Lägg till diagnostikinställning).
      Du kan ha upp till tre inställningar.
  5. Markera kryssrutan Strömma till en händelsehubb och välj sedan Event Hub/Configure (Händelsehubb/Konfigurera).

    Export settings

    1. Välj Azure-prenumerationen och den Event Hubs-namnrymd som du vill dirigera loggarna till.
      Både prenumerationen och Event Hubs-namnrymden måste vara associerade med den Azure AD-klientorganisation som loggarna strömmar från. Du kan även ange en händelsehubb i Event Hubs-namnrymden som loggar ska skickas till. Om ingen händelsehubb anges skapas en händelsehubb i namnrymden med standardnamnet insights-logs-audit.

    2. Välj en kombination av följande objekt:

      • Om du vill skicka granskningsloggar till händelsehubben markerar du kryssrutan AuditLogs (Granskningsloggar).
      • Om du vill skicka loggar för interaktiv användarinloggning till händelsehubben markerar du kryssrutan SignInLogs (Inloggningsloggar).
      • Om du vill skicka inloggningsloggar för icke-interaktiva användare till händelsehubben markerar du kryssrutan NonInteractiveUserSignInLogs.
      • Om du vill skicka inloggningsloggar för tjänstens huvudnamn till händelsehubben markerar du kryssrutan ServicePrincipalSignInLogs.
      • Om du vill skicka inloggningsloggar för hanterad identitet till händelsehubben markerar du kryssrutan ManagedIdentitySignInLogs.
      • Om du vill skicka etableringsloggar till händelsehubben markerar du kryssrutan ProvisioningLogs.
      • Om du vill skicka inloggningar som skickas till Azure AD av en AD FS Anslut Health-agent markerar du kryssrutan ADFSSignInLogs.
      • Om du vill skicka information om riskfyllda användare markerar du kryssrutan RiskyUsers.
      • Om du vill skicka information om användarriskhändelser markerar du kryssrutan UserRiskEvents.

      Anteckning

      Vissa inloggningskategorier innehåller stora mängder loggdata beroende på klientorganisationens konfiguration. I allmänhet kan inloggningar för icke-interaktiva användare och inloggningar med tjänstens huvudnamn vara mellan 5 och 10 gånger större än inloggningarna för interaktiva användare.

    3. Spara inställningen genom att välja Spara.

  6. Efter ungefär 15 minuter kontrollerar du att händelserna visas i din händelsehubb. För att göra detta går du till händelsehubben från portalen och kontrollerar att antalet inkommande meddelanden är större än noll.

    Audit logs

Komma åt data från din händelsehubb

När data visas i händelsehubben kan du komma åt och läsa data på två sätt:

Nästa steg