Como transmitir logs de atividades para um hub de eventos

Seu locatário do Microsoft Entra produz grandes quantidades de dados a cada segundo. A atividade de início de sessão e os registos das alterações efetuadas no seu inquilino somam muitos dados que podem ser difíceis de analisar. A integração com ferramentas de gerenciamento de eventos e informações de segurança (SIEM) pode ajudá-lo a obter informações sobre seu ambiente.

Este artigo mostra como você pode transmitir seus logs para um hub de eventos, para integrar com uma das várias ferramentas SIEM.

Pré-requisitos

  • Para transmitir logs para uma ferramenta SIEM, primeiro você precisa criar um hub de eventos do Azure. Saiba como criar um hub de eventos.

  • Depois de ter um hub de eventos que contenha logs de atividades do Microsoft Entra, você pode configurar a integração da ferramenta SIEM usando as configurações de diagnóstico do Microsoft Entra.

Transmitir logs para um hub de eventos

Dica

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

  2. Navegue até Monitoramento de identidade>& configurações de diagnóstico de integridade>. Você também pode selecionar Configurações de exportação na página Logs de auditoria ou Entradas .

  3. Selecione + Adicionar configuração de diagnóstico para criar uma nova integração ou selecione Editar configuração para uma integração existente.

  4. Insira um nome de configuração de diagnóstico. Se você estiver editando uma integração existente, não poderá alterar o nome.

  5. Selecione as categorias de log que você deseja transmitir.

  1. Marque a caixa de seleção Transmitir para um hub de eventos.

  2. Selecione a assinatura do Azure, o namespace dos Hubs de Eventos e o hub de eventos opcional para onde você deseja rotear os logs.

A assinatura e o namespace Hubs de Eventos devem estar associados ao locatário do Microsoft Entra de onde você está transmitindo os logs.

Depois de ter o hub de eventos do Azure pronto, navegue até a ferramenta SIEM que deseja integrar com os logs de atividades. O processo é concluído na ferramenta SIEM.

Atualmente, suportamos Splunk, SumoLogic e ArcSight. Selecione uma guia para começar. Consulte a documentação da ferramenta.

Para usar esse recurso, você precisa do complemento Splunk para Microsoft Cloud Services.

Integre logs do Microsoft Entra com o Splunk

  1. Abra sua instância do Splunk e selecione Resumo de dados.

    O botão

  2. Selecione a guia Sourcetypes e, em seguida, selecione mscs:azure:eventhub

    A guia Tipos de origem de resumo de dados

Anexe body.records.category=AuditLogs à pesquisa. Os logs de atividade do Microsoft Entra são mostrados na figura a seguir:

Registos de atividades

Se não for possível instalar um complemento em sua instância do Splunk (por exemplo, se estiver usando um proxy ou executando no Splunk Cloud), você poderá encaminhar esses eventos para o Coletor de Eventos HTTP do Splunk. Para fazer isso, use essa função do Azure, que é acionada por novas mensagens no hub de eventos.

Opções e considerações sobre a integração do log de atividades

Se o seu SIEM atual ainda não tiver suporte no diagnóstico do Azure Monitor, você poderá configurar ferramentas personalizadas usando a API de Hubs de Eventos. Para saber mais, consulte Introdução ao recebimento de mensagens de um hub de eventos.

O IBM QRadar é outra opção para integração com logs de atividade do Microsoft Entra. O DSM e o Azure Event Hubs Protocol estão disponíveis para download no suporte da IBM. Para obter mais informações sobre a integração com o Azure, vá para o site IBM QRadar Security Intelligence Platform 7.3.0 .

Algumas categorias de início de sessão contêm grandes quantidades de dados de registo, dependendo da configuração do seu inquilino. Em geral, os logins de usuário não interativos e os logins de entidade de serviço podem ser de 5 a 10 vezes maiores do que os logins de usuário interativos.

Próximos passos