如何将活动日志流式传输到事件中心

Microsoft Entra 租户每秒钟产生海量数据。 租户中发生的登录活动和更改日志加起来会生成大量数据,这些数据可能难以分析。 与安全信息和事件管理 (SIEM) 工具集成有助于深入了解环境。

本文展示了如何将日志流式传输到事件中心,从而与多个 SIEM 工具之一集成。

先决条件

  • 要将日志流式传输到 SIEM 工具,首先需要创建Azure 事件中心。 了解如何创建事件中心

  • 拥有包含 Microsoft Entra 活动日志的事件中心后,可以使用“Microsoft Entra 诊断设置”设置 SIEM 工具集成。

将日志流式传输到事件中心

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“监视和运行状况”>“诊断设置”。 还可以从“审核日志”或“登录”页中选择“导出设置”。

  3. 选择“+ 添加诊断设置”以创建新的集成,或选择现有集成的“编辑设置”。

  4. 输入一个诊断设置名称。 如果要编辑现有集成,则无法更改名称。

  5. 选择要流式传输的日志类别。

  1. 选择“流式传输到事件中心”复选框

  2. 选择要在其中路由日志的 Azure 订阅、事件中心命名空间和可选事件中心。

订阅和事件中心命名空间必须都与从其流式传输日志的 Microsoft Entra 租户相关联。

准备好 Azure 事件中心后,导航到要与活动日志集成的 SIEM 工具。 该过程在 SIEM 工具中完成。

目前支持 Splunk、SumoLogic 和 ArcSight。 选择一个选项卡开始。 请参阅该工具的文档。

要使用此功能,需要适用于 Microsoft 云服务的 Splunk 加载项

将 Microsoft Entra 日志与 Splunk 集成

  1. 打开 Splunk 实例,并选择“数据摘要”。

    “数据摘要”按钮

  2. 选择“Sourcetypes”选项卡,然后选择“mscs:azure:eventhub”

    数据摘要 Sourcetypes 选项卡

将“body.records.category=AuditLogs”追加到搜索中。 Microsoft Entra 活动日志将如下图中所示:

活动日志

如果无法在 Splunk 实例中安装加载项(例如,如果使用代理或在 Splunk Cloud 上运行),则可以将这些事件转发到 Splunk HTTP 事件收集器。 为此,请使用此 Azure 函数,该函数通过事件中心中的新消息触发。

活动日志集成选项和注意事项

如果当前的 SIEM 在 Azure Monitor 诊断中不受支持,可以使用事件中心 API 设置自定义工具。 有关详细信息,请参阅从事件中心接收消息入门

IBM QRadar是与 Microsoft Entra 活动日志集成的另一个选项。 DSM 和 Azure 事件中心协议可以从IBM 支持站点下载。 若要详细了解如何与 Azure 集成,请访问 IBM QRadar Security Intelligence Platform 7.3.0 站点。

某些登录类别包含大量日志数据,具体取决于租户的配置。 通常,非交互式用户登录和服务主体登录可以比交互式用户登录大 5 到 10 倍。

后续步骤