Como transmitir logs de atividades para um hub de eventos
Seu locatário do Microsoft Entra produz grandes quantidades de dados a cada segundo. As atividades de login e os logs de alterações feitas em seu locatário somam muitos dados que podem ser difíceis de analisar. A integração com as ferramentas de SIEM (gerenciamento de eventos e informações de segurança) pode ajudá-lo a obter informações sobre seu ambiente.
Este artigo mostra como você pode transmitir os logs para um hub de eventos para integrá-los a uma das várias ferramentas de SIEM.
Pré-requisitos
Para transmitir logs para uma ferramenta de SIEM, primeiro você precisa criar um hub de eventos do Azure. Saiba como criar um hub de eventos.
Quando você tiver um hub de eventos que contenha logs de atividades do Microsoft Entra, poderá configurar a integração da ferramenta SIEM usando as configurações de diagnóstico do Microsoft Entra.
Transmitir logs para um hub de eventos
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.
Navegue até Identidade>Monitoramento e integridade>Configurações de diagnóstico. Você também pode selecionar Exportar Configurações na página Logs de Auditoria ou Entradas.
Selecione + Adicionar configuração de diagnóstico para criar uma nova integração ou selecione Editar configuração para uma integração atual.
Insira um Nome da configuração de diagnóstico. Se você estiver editando uma integração existente, não poderá alterar o nome.
Selecione as categorias de log que deseja transmitir.
Marque a caixa de seleção Transmitir para um hub de eventos.
Selecione a assinatura do Azure, o namespace dos Hubs de Eventos e o hub de eventos opcional para onde você deseja rotear os logs.
A assinatura e o namespace dos Hubs de Eventos devem estar associados ao locatário do Microsoft Entra de onde você está transmitindo os logs.
Depois de preparar o hub de eventos do Azure, navegue até a ferramenta de SIEM que você deseja integrar com os logs de atividades. Você concluirá o processo na ferramenta de SIEM.
Atualmente, damos suporte ao Splunk, SumoLogic e ArcSight. Selecione uma guia abaixo para começar. Consulte a documentação da ferramenta.
Para usar esse recurso, você precisa do complemento Splunk para os Serviços de Nuvem da Microsoft.
Integrar logs do Microsoft Entra ID ao Splunk
Abra sua instância do Splunk e selecione Resumo dos Dados.
Primeiro selecione a guia Sourcetypes e depois mscs:azure:eventhub
Acrescente body.records.category=AuditLogs à pesquisa. Você verá que os logs de atividade do Microsoft Entra são mostrados na figura a seguir:
Se você não puder instalar um complemento em sua instância do Splunk (por exemplo, se estiver usando um proxy ou em execução no Splunk Cloud), poderá encaminhar esses eventos para o Coletor de Eventos HTTP. Para fazer isso, use esta função do Azure, que é disparada por novas mensagens no hub de eventos.
Opções e considerações sobre a integração do log de atividades
Se o SIEM atual ainda não tiver suporte no diagnóstico do Azure Monitor, você poderá configurar as ferramentas personalizadas usando a API dos Hubs de Eventos. Para obter mais informações, consulte a Introdução ao recebimento de mensagens de um hub de eventos.
O IBM QRadar é outra opção para integração com os logs de atividades do Microsoft Entra. O DSM e o Protocolo dos Hubs de Eventos do Azure estão disponíveis para download no Suporte da IBM. Para obter mais informações sobre a integração com o Azure, acesse o site da Plataforma de Inteligência de Segurança da IBM QRadar 7.3.0.
Algumas categorias de entrada contêm grandes volumes de dados de log, dependendo da configuração do locatário. Em geral, as entradas de usuário não interativas e as entradas de entidade de serviço podem ser de 5 a 10 vezes maiores que as entradas de usuário interativas.