Поделиться через


Потоковая передача журналов действий в концентратор событий

Клиент Microsoft Entra создает большие объемы данных каждые секунды. Действия входа и журналы изменений, внесенных в клиенте, добавляются в множество данных, которые могут быть трудно проанализировать. Интеграция с средствами управления сведениями и событиями безопасности (SIEM) помогает получить аналитические сведения о вашей среде.

В этой статье показано, как передавать журналы в концентратор событий для интеграции с одним из нескольких средств SIEM.

Необходимые условия

  • Для потоковой передачи журналов в средство SIEM сначала необходимо создать концентратор событий Azure. Узнайте, как создать концентратор событий.

  • После создания концентратора событий, содержащего журналы действий Microsoft Entra, можно настроить интеграцию средства SIEM с помощью параметров диагностики Microsoft Entra.

Потоковая передача журналов в концентратор событий

Кончик

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

  2. Перейдите к параметрам диагностики мониторинга удостоверений и работоспособности>>. Вы также можете выбрать параметры экспорта на странице "Журналы аудита" или "Вход".

  3. Выберите + Добавить параметр диагностики, чтобы создать новую интеграцию или выберите параметр "Изменить" для существующей интеграции.

  4. Введите имя параметра диагностики. Если вы редактировать существующую интеграцию, вы не можете изменить имя.

  5. Выберите категории журналов, которые требуется потоковой передачи.

  1. Установите флажок Stream в концентратор событий.

  2. Выберите подписку Azure, пространство имен Центров событий и необязательный концентратор событий, в котором требуется маршрутизировать журналы.

Пространство имен для подписок и Центров событий должно быть связано с клиентом Microsoft Entra, из которого выполняется потоковая передача журналов.

После готовности концентратора событий Azure перейдите к средству SIEM, которое вы хотите интегрировать с журналами действий. Процесс завершается в средстве SIEM.

В настоящее время мы поддерживаем Splunk, SumoLogic и ArcSight. Выберите вкладку, чтобы приступить к работе. Ознакомьтесь с документацией по инструменту.

Чтобы использовать эту функцию, вам потребуется надстройка Splunk для Microsoft Облачные службы.

Интеграция журналов Microsoft Entra с Splunk

  1. Откройте экземпляр Splunk и выберите "Сводка данных".

    Кнопка

  2. Перейдите на вкладку "Исходные типы" и выберите mscs:azure:eventhub

    Вкладка

Добавьте body.records.category=AuditLogs в поиск. Журналы действий Microsoft Entra показаны на следующем рисунке:

Журналы действий

Если вы не можете установить надстройку в экземпляре Splunk (например, если вы используете прокси-сервер или работаете в Splunk Cloud), вы можете перенаправить эти события в сборщик событий HTTP Splunk. Для этого используйте эту функцию Azure, которая активируется новыми сообщениями в концентраторе событий.

Параметры и рекомендации по интеграции журнала действий

Если текущий SIEM еще не поддерживается в Azure Monitor диагностика, можно настроить пользовательские средства с помощью API Центров событий. Дополнительные сведения см. в статье " Начало получения сообщений из концентратора событий".

IBM QRadar — это еще один вариант интеграции с журналами действий Microsoft Entra. Протокол DSM и Центры событий Azure доступен для скачивания в службу поддержки IBM. Дополнительные сведения об интеграции с Azure см. на сайте IBM QRadar Security Intelligence Platform 7.3.0 .

Некоторые категории входа содержат большие объемы данных журнала в зависимости от конфигурации клиента. Как правило, неинтерактивные входы пользователей и субъект-служба могут превышать 5–10 раз больше, чем интерактивные входы пользователей.

Дальнейшие действия