Microsoft Entra ID

Microsoft™ Entra ID jest wcześniej znany jako Microsoft Azure Active Directory. Nazwa programu DSM RPM pozostaje w postaci Microsoft Azure Active Directory.

Dzienniki kontroli produktu IBM® QRadar® DSM for Microsoft Entra ID gromadzą zdarzenia, takie jak tworzenie użytkowników, przypisywanie ról i zdarzenia przypisania do grup. Dzienniki logowania Microsoft Entra ID gromadzą zdarzenia związane z działaniem logowania użytkownika.

Aby zintegrować produkt Microsoft Entra ID z produktem QRadar, wykonaj następujące kroki:
  1. Jeśli aktualizacje automatyczne nie są włączone, pakiety RPM są dostępne do pobrania z serwisu WWW wsparcia IBM (http://www.ibm.com/support). Pobierz i zainstaluj najnowszą wersję następujących pakietów RPM na konsoli QRadar Console.
    • Protocol Common RPM
    • Wspólne DSM
    • Microsoft Azure Event Hubs Protocol RPM
    • Microsoft Azure Platform DSM RPM
    • Microsoft Azure Active Directory DSM RPM
  2. Jeśli nie masz istniejącego konta pamięci masowej, utwórz konto pamięci masowej. Więcej informacji na ten temat zawiera sekcja Tworzenie konta pamięci masowej (https://docs.microsoft.com/en-us/azure/storage/common/storage-account-create?tabs=azure-portal).
    Ważne: Aby połączyć się z serwerem koncentrującym zdarzeń, należy mieć konto pamięci masowej. Więcej informacji na ten temat zawiera sekcja Microsoft Azure -często zadawane pytania dotyczące protokołu Hubs.
  3. Jeśli nie masz istniejącego koncentratora zdarzeń, utwórz koncentrator zdarzeń. Więcej informacji na ten temat zawiera sekcja Szybki start: tworzenie koncentratora zdarzeń za pomocą portalu Azure (https://docs.microsoft.com/en-us/azure/event-hubs/event-hubs-create).
  4. Skonfiguruj program Microsoft Entra do przekazywania zdarzeń do serwera Azure Event Hub przez strumieniowanie zdarzeń za pomocą dzienników diagnostycznych. Więcej informacji na ten temat zawiera sekcja Kurs: Strumień Azure Active Directory loguje się do programu Azure Event Hub (https://docs.microsoft.com/en-ca/azure/active-directory/reports-monitoring/tutorial-azure-monitor-stream-logs-to-event-hub).
  5. Jeśli produkt QRadar nie wykryje automatycznie źródła dziennika, dodaj źródło dziennika Microsoft Entra ID na serwerze QRadar Console , korzystając z protokołu Microsoft Azure Event Hubs. Więcej informacji na temat konfigurowania protokołu zawiera sekcja Parametry źródła dziennika Microsoft Active Directory.