Microsoft Entra ID

I log di IBM QRadar DSM for Microsoft Entra ID Audit raccolgono eventi quali la creazione di utenti, l'assegnazione di ruoli e gli eventi di assegnazione gruppi. I log di accesso di Microsoft Entra ID raccolgono gli eventi di attività di accesso utente.

Importante : il nome Microsoft Azure Active Directory DSM è ora Microsoft Entra ID DSM. Il nome RPM DSM rimane come Microsoft Azure Active Directory in QRadar.
Per integrare Microsoft Entra ID con QRadar, completare la seguente procedura:
  1. Se gli aggiornamenti automatici non sono abilitati, gli RPM sono disponibili per il download dal sito web di supporto IBM®. Scaricare e installare la versione più recente dei seguenti RPM sulla QRadar® Console.
    • RPM comune di protocollo
    • Comune DSM
    • Microsoft Azure Protocollo Event Hubs RPM
    • Microsoft Azure Piattaforma DSM RPM
    • Microsoft Azure Active Directory DSM RPM
  2. Se non si dispone di un account di memoria esistente, creare un account di memoria. Per ulteriori informazioni, vedi Crea un account di archiviazione.
    Importante: È necessario disporre di un account di memoria per connettersi a un hub di eventi. Per ulteriori informazioni, consultare Microsoft Azure Event Hubs protocollo FAQ.
  3. Se non si dispone di un hub eventi esistente, creare un hub di eventi. Per ulteriori informazioni, consultare Quickstart: creare un hub eventi utilizzando il portale Azure.
  4. Configurare Microsoft Entra ID per inoltrare gli eventi a un Azure Event Hub trasmettendo gli eventi tramite log di diagnostica. Per ulteriori informazioni, vedi Esercitazione: il flusso Azure Active Directory registra in un Azure Event Hub.
  5. Se QRadar non rileva automaticamente l'origine log, aggiungere un'origine log Microsoft Entra ID su QRadar Console utilizzando il protocollo Microsoft Azure Event Hubs. Per ulteriori informazioni sulla configurazione del protocollo, consultare Parametri di origine log di Microsoft Active Directory.