次の方法で共有

アクティビティ ログをイベント ハブにストリーミングする方法

Microsoft Entra テナントでは、毎秒大量のデータが生成されます。 サインイン アクティビティとテナント内で行われた変更のログは、蓄積して分析が困難な程多くのデータとなります。 セキュリティ情報イベント管理 (SIEM) ツールとの統合は、環境に関する分析情報を得るのに役立ちます。

この記事では、ログをイベント ハブにストリーミングして、いくつかの SIEM ツールのいずれかと統合する方法について説明します。

前提条件

イベント ハブにログをストリーム配信する

  1. 少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。

  2. Entra ID>監視とヘルス>診断設定に移動します。 [監査ログ] ページまたは [サインイン] ページから [設定のエクスポート] を選択することもできます。

  3. [ + 診断設定の追加] を選択して新しい統合を作成するか、既存の統合の [設定の編集] を選択します。

  4. 診断設定名を入力します。 既存の統合を編集する場合、名前を変更することはできません。

  5. ストリーミングするログ カテゴリを選択します。

  1. [ イベント ハブへのストリーム ] チェック ボックスをオンにします。

  2. ログをルーティングしたい Azure サブスクリプション、Event Hubs 名前空間、およびオプションのイベント ハブを選択します。

サブスクリプションと Event Hubs 名前空間は両方とも、ログのストリーミング元である Microsoft Entra テナントと関連付けられている必要があります。

Azure イベント ハブの準備ができたら、アクティビティ ログと統合したい SIEM ツールに移動します。 SIEM ツールでのプロセスを完了します。

現在、Splunk、SumoLogic、ArcSight がサポートされています。 タブを選択して作業を開始します。 ツールのドキュメントを参照してください。

この機能を使用するには、 Microsoft Cloud Services 用の Splunk アドオンが必要です。

Microsoft Entra ログを Splunk と統合する

  1. Splunk インスタンスを開き、[ データの概要] を選択します。

    [データの概要] ボタン

  2. [Sourcetypes] タブを選択し、mscs:azure:eventhub を選択します

    [データ概要のソースの種類] タブ

body.records.category=AuditLogs を検索に追加します。 次の図のような Microsoft Entra アクティビティ ログが表示されます。

アクティビティ ログ

アドオンを Splunk インスタンスにインストールできない場合 (たとえば、プロキシを使用している場合、Splunk Cloud で実行している場合など)、Splunk HTTP Event Collector にこれらのイベントを転送できます。 これを行うには、イベント ハブ内の新しいメッセージによってトリガーされるこの Azure 関数を使用します。

アクティビティ ログの統合オプションと考慮事項

Azure Monitor 診断で現在の SIEM がまだサポートされていない場合は、Event Hubs API を使用して カスタム ツールを 設定できます。 詳細については、「イベント ハブからメッセージを受信するためのガイド」を参照してください。

IBM QRadar は、Microsoft Entra アクティビティ ログと統合するためのもう 1 つのオプションです。 DSM と Azure Event Hubs プロトコルは、 IBM サポートでダウンロードできます。 Azure との統合の詳細については、 IBM QRadar Security Intelligence Platform 7.3.0 サイトを参照してください。

一部のサインイン カテゴリには、テナントの構成に応じて大量のログ データが含まれています。 一般的に、非対話型のユーザー サインインとサービス プリンシパルのサインインは、対話型のユーザー サインインの 5 倍から 10 倍の大きさになることがあります。

次のステップ