Etkinlik günlüklerini bir olay hub'ına akışla aktarma
Microsoft Entra kiracınız her saniye büyük miktarda veri üretir. Kiracınızda yapılan oturum açma etkinliği ve değişiklik günlükleri, analiz edilmesi zor olabilecek birçok veriye eklenir. Güvenlik Bilgileri ve Olay Yönetimi (SIEM) araçlarıyla tümleştirme, ortamınızla ilgili içgörüler elde etmenize yardımcı olabilir.
Bu makalede, çeşitli SIEM araçlarından biriyle tümleştirmek için günlüklerinizi bir olay hub'ına nasıl akışla aktarabileceğiniz gösterilmektedir.
Önkoşullar
Günlükleri SIEM aracına akışla aktarabilmek için önce bir Azure olay hub'ı oluşturmanız gerekir. Olay hub'ı oluşturmayı öğrenin.
Microsoft Entra etkinlik günlüklerini içeren bir olay hub'ına sahip olduktan sonra, Microsoft Entra tanılama ayarlarını kullanarak SIEM aracı tümleştirmesini ayarlayabilirsiniz.
Günlükleri olay hub'ına akışla aktarma
Bahşiş
Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.
Microsoft Entra yönetim merkezinde en az Bir Güvenlik Yöneticisi olarak oturum açın.
Kimlik>İzleme ve sistem durumu>Tanılama ayarları'na göz atın. Ayarları Dışarı Aktar'ı Denetim Günlükleri veya Oturum Açmalar sayfasından da seçebilirsiniz.
Yeni tümleştirme oluşturmak için + Tanılama ayarı ekle'yi veya mevcut tümleştirme için Ayarı düzenle'yi seçin.
Bir Tanılama ayarı adı girin. Mevcut tümleştirmeyi düzenliyorsanız adı değiştiremezsiniz.
Akışla yayınlamak istediğiniz günlük kategorilerini seçin.
Olay hub'ına akışla aktar onay kutusunu seçin.
Günlükleri yönlendirmek istediğiniz Azure aboneliğini, Event Hubs ad alanını ve isteğe bağlı olay hub'ını seçin.
Hem abonelik hem de Event Hubs ad alanı, günlükleri akışla aktardığınız Microsoft Entra kiracısıyla ilişkilendirilmelidir.
Azure olay hub'ı hazır olduktan sonra etkinlik günlükleriyle tümleştirmek istediğiniz SIEM aracına gidin. İşlem SIEM aracında tamamlanmıştır.
Şu anda Splunk, SumoLogic ve ArcSight'ı destekliyoruz. Başlamak için bir sekme seçin. Aracın belgelerine bakın.
Bu özelliği kullanmak için Microsoft Cloud Services için Splunk Eklentisi gerekir.
Microsoft Entra günlüklerini Splunk ile tümleştirme
Splunk örneğinizi açın ve Veri Özeti'ne tıklayın.
Kaynak türleri sekmesini ve ardından mscs:azure:eventhub'ı seçin
Aramaya body.records.category=AuditLogs yazın. Microsoft Entra etkinlik günlükleri aşağıdaki şekilde gösterilmiştir:
Splunk örneğinize bir eklenti yükleyemiyorsanız (örneğin, bir ara sunucu kullanıyorsanız veya Splunk Cloud'da çalıştırıyorsanız), bu olayları Splunk HTTP Olay Toplayıcısı'na iletebilirsiniz. Bunu yapmak için olay hub'ında yeni iletiler tarafından tetiklenen bu Azure işlevini kullanın.
Etkinlik günlüğü tümleştirme seçenekleri ve dikkat edilmesi gerekenler
Geçerli SIEM'iniz henüz Azure İzleyici tanılamalarında desteklenmiyorsa Event Hubs API'sini kullanarak özel araçlar ayarlayabilirsiniz. Daha fazla bilgi edinmek için bkz. Olay hub'ından ileti almaya başlama.
IBM QRadar , Microsoft Entra etkinlik günlükleriyle tümleştirmeye yönelik bir diğer seçenektir. DSM ve Azure Event Hubs Protokolü IBM desteğinden indirilebilir. Azure ile tümleştirme hakkında daha fazla bilgi için IBM QRadar Güvenlik Zekası Platformu 7.3.0 sitesine gidin.
Bazı oturum açma kategorileri, kiracınızın yapılandırmasına bağlı olarak büyük miktarda günlük verileri içerir. Genel olarak, etkileşimli olmayan kullanıcı oturum açma işlemleri ve hizmet sorumlusu oturum açma işlemleri, etkileşimli kullanıcı oturum açmalarından 5-10 kat daha büyük olabilir.