Så här strömmar du aktivitetsloggar till en händelsehubb

Din Microsoft Entra-klientorganisation producerar stora mängder data varje sekund. Inloggningsaktiviteten och loggarna för ändringar som gjorts i klientorganisationen ger en mängd data som kan vara svåra att analysera. Genom att integrera med SIEM-verktyg (Security Information and Event Management) kan du få insikter om din miljö.

Den här artikeln visar hur du kan strömma dina loggar till en händelsehubb för att integrera med något av flera SIEM-verktyg.

Förutsättningar

  • Om du vill strömma loggar till ett SIEM-verktyg måste du först skapa en Azure-händelsehubb. Lär dig hur du skapar en händelsehubb.

  • När du har en händelsehubb som innehåller Microsoft Entra-aktivitetsloggar kan du konfigurera SIEM-verktygsintegrering med hjälp av diagnostikinställningarna för Microsoft Entra.

Strömma loggar till en händelsehubb

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

  1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.

  2. Bläddra till Inställningar för identitetsövervakning>och hälsodiagnostik.> Du kan också välja Exportera inställningar från sidan Granskningsloggar eller Inloggningar .

  3. Välj + Lägg till diagnostikinställning för att skapa en ny integrering eller välj Redigera inställning för en befintlig integrering.

  4. Ange ett namn på diagnostikinställningen. Om du redigerar en befintlig integrering kan du inte ändra namnet.

  5. Välj de loggkategorier som du vill strömma.

  1. Markera kryssrutan Strömma till en händelsehubb .

  2. Välj Azure-prenumerationen, Event Hubs-namnområdet och valfri händelsehubb där du vill dirigera loggarna.

Både prenumerationen och Event Hubs-namnområdet måste vara associerade med Microsoft Entra-klientorganisationen där du strömmar loggarna.

När du har azure-händelsehubben klar går du till det SIEM-verktyg som du vill integrera med aktivitetsloggarna. Processen är klar i SIEM-verktyget.

Vi stöder för närvarande Splunk, SumoLogic och ArcSight. Välj en flik för att komma igång. Se verktygets dokumentation.

Om du vill använda den här funktionen behöver du Splunk-tillägget för Microsoft Cloud Services.

Integrera Microsoft Entra-loggar med Splunk

  1. Öppna din Splunk-instans och välj Datasammanfattning.

    Knappen

  2. Välj fliken Sourcetypes och välj sedan mscs:azure:eventhub

    Fliken Källtyper för datasammanfattning

Lägg till body.records.category=AuditLogs i sökningen. Microsoft Entra-aktivitetsloggarna visas i följande bild:

Aktivitetsloggar

Om du inte kan installera ett tillägg i din Splunk-instans (till exempel om du använder en proxy eller körs i Splunk Cloud) kan du vidarebefordra dessa händelser till Splunk HTTP-händelseinsamlaren. Det gör du genom att använda den här Azure-funktionen, som utlöses av nya meddelanden i händelsehubben.

Integreringsalternativ och överväganden för aktivitetsloggar

Om din aktuella SIEM inte stöds i Azure Monitor-diagnostik ännu kan du konfigurera anpassade verktyg med hjälp av Event Hubs-API:et. Mer information finns i Komma igång med att ta emot meddelanden från en händelsehubb.

IBM QRadar är ett annat alternativ för att integrera med Microsoft Entra-aktivitetsloggar. DSM och Azure Event Hubs Protocol är tillgängliga för nedladdning på IBM-support. Mer information om integrering med Azure finns på webbplatsen IBM QRadar Security Intelligence Platform 7.3.0 .

Vissa inloggningskategorier innehåller stora mängder loggdata, beroende på klientorganisationens konfiguration. I allmänhet kan inloggningar för icke-interaktiva användare och inloggningar med tjänstens huvudnamn vara 5 till 10 gånger större än de interaktiva användarinloggningarna.

Nästa steg