Microsoft Entra 租户每秒钟产生海量数据。 登录活动和租户更改日志加起来的数据太多,很难进行分析。 与安全信息和事件管理 (SIEM) 工具集成有助于深入了解环境。
本文展示了如何将日志流式传输到事件中心,从而与多个 SIEM 工具之一集成。
先决条件
- Azure 订阅。 如果没有 Azure 订阅,可以 注册免费试用版。
- 已完成设置的 Azure 事件中心。 了解如何 创建事件中心。
- 安全管理员 访问权限,用于为 Microsoft Entra 租户创建常规诊断设置。
- 属性日志管理员 访问权限,用于为 自定义安全属性 日志创建诊断设置。
将日志流式传输到事件中心
以至少安全管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>监控与健康>诊断设置。 还可以从“审核日志”或“登录”页中选择“导出设置”。
选择“+ 添加诊断设置”以创建新的集成,或选择现有集成的“编辑设置”。
输入一个诊断设置名称。 如果要编辑现有集成,则无法更改名称。
选择要流式传输的日志类别。
选择“流式传输到事件中心”复选框。
选择要在其中路由日志的 Azure 订阅、事件中心命名空间和可选事件中心。
订阅和事件中心命名空间必须都与从其流式传输日志的 Microsoft Entra 租户相关联。
准备好 Azure 事件中心后,导航到要与活动日志集成的 SIEM 工具。 该过程在 SIEM 工具中完成。
目前支持 Splunk、SumoLogic 和 ArcSight。 选择一个选项卡开始。 请参阅该工具的文档。
若要使用此功能,需要 Microsoft 云服务的 Splunk 加载项。
将 Microsoft Entra 日志与 Splunk 集成
打开 Splunk 实例并选择 “数据摘要”。
选择“Sourcetypes”选项卡,然后选择“mscs:azure:eventhub”
将 body.records.category=AuditLogs 追加到搜索。 Microsoft Entra 活动日志将如下图中所示:
如果无法在 Splunk 实例中安装加载项(例如,如果使用代理或在 Splunk Cloud 上运行),则可以将这些事件转发到 Splunk HTTP 事件收集器。 为此,请使用此 Azure 函数,该函数由事件中心中的新消息触发。
活动日志集成选项和注意事项
如果 Azure Monitor 诊断尚不支持当前的 SIEM,则可以使用事件中心 API 设置 自定义工具 。 若要了解详细信息,请参阅 从事件中心接收消息的入门。
IBM QRadar 是与 Microsoft Entra 活动日志集成的另一个选项。 DSM 和 Azure 事件中心协议可在 IBM 支持部门下载。 有关与 Azure 的集成的详细信息,请转到 IBM QRadar 安全智能平台 7.3.0 站点。
某些登录类别包含大量日志数据,具体取决于租户的配置。 通常,非交互式用户登录和服务主体登录可以比交互式用户登录大 5 到 10 倍。