مشاركة عبر

تكاملات سجل نشاط Microsoft Entra

  • مقالة

باستخدام إعدادات التشخيص في معرف Microsoft Entra، يمكنك توجيه سجلات النشاط إلى عدة نقاط نهاية لاستبقاء البيانات ونتائج التحليلات على المدى الطويل. يمكنك أرشفة سجلات التخزين، وتوجيهها إلى أدوات إدارة معلومات الأمان والأحداث (SIEM)، ودمج السجلات مع سجلات Azure Monitor.

باستخدام عمليات التكامل هذه، يمكنك تمكين المرئيات الغنية والمراقبة والتنبيه على البيانات المتصلة. توضح هذه المقالة الاستخدامات الموصى بها لكل نوع تكامل أو أسلوب وصول. يتم أيضا تغطية اعتبارات التكلفة لإرسال سجلات نشاط Microsoft Entra إلى نقاط نهاية مختلفة.

التقارير المدعومة

يمكن دمج السجلات التالية مع واحدة من العديد من نقاط النهاية:

  • يمنحك تقرير نشاط سجلات التدقيق حق الوصول إلى محفوظات كل مهمة يتم تنفيذها في المستأجر الخاص بك.
  • باستخدام تقرير نشاط تسجيل الدخول، يمكنك معرفة متى يحاول المستخدمون تسجيل الدخول إلى تطبيقاتك أو استكشاف أخطاء تسجيل الدخول وإصلاحها.
  • باستخدام سجلات التوفير، يمكنك مراقبة المستخدمين الذين تم إنشاؤهم وتحديثهم وحذفهم في جميع تطبيقات الجهات الخارجية.
  • تساعدك سجلات المستخدمين الخطرة على مراقبة التغييرات في مستوى مخاطر المستخدم ونشاط المعالجة.
  • باستخدام سجلات اكتشاف المخاطر، يمكنك مراقبة اكتشافات مخاطر المستخدم وتحليل الاتجاهات في نشاط المخاطر الذي تم اكتشافه في مؤسستك.

خيارات التكامل

للمساعدة في اختيار الطريقة الصحيحة لدمج سجلات نشاط Microsoft Entra للتخزين أو التحليل، فكر في المهمة الإجمالية التي تحاول إنجازها. لقد قمنا بتجميع الخيارات في ثلاث فئات رئيسية:

  • استكشاف الأخطاء وإصلاحها
  • التخزين طويل الأجل
  • التحليل والمراقبة

استكشاف الأخطاء وإصلاحها

إذا كنت تقوم بتنفيذ مهام استكشاف الأخطاء وإصلاحها ولكنك لا تحتاج إلى الاحتفاظ بالسجلات لأكثر من 30 يوما، نوصي باستخدام مدخل Microsoft Azure أو Microsoft Graph للوصول إلى سجلات النشاط. يمكنك تصفية السجلات للسيناريو الخاص بك وتصديرها أو تنزيلها حسب الحاجة.

إذا كنت تقوم بتنفيذ مهام استكشاف الأخطاء وإصلاحها وتحتاج إلى الاحتفاظ بالسجلات لأكثر من 30 يوما، فلق نظرة على خيارات التخزين طويلة الأجل.

التخزين طويل الأجل

إذا كنت تقوم بتنفيذ مهام استكشاف الأخطاء وإصلاحها وتحتاج إلى الاحتفاظ بالسجلات لأكثر من 30 يوما، يمكنك تصدير سجلاتك إلى حساب تخزين Azure. هذا الخيار مثالي لك لا تخطط للاستعلام عن تلك البيانات في كثير من الأحيان.

إذا كنت بحاجة إلى الاستعلام عن البيانات التي تحتفظ بها لأكثر من 30 يوما، فلق نظرة على خيارات التحليل والمراقبة.

التحليل والمراقبة

إذا كان السيناريو الخاص بك يتطلب الاحتفاظ بالبيانات لأكثر من 30 يوما وكنت تخطط للاستعلام عن تلك البيانات بانتظام، فلديك بعض الخيارات لدمج بياناتك مع أدوات SIEM للتحليل والمراقبة.

إذا كان لديك أداة SIEM تابعة لجهة خارجية، نوصي بإعداد مساحة اسم مراكز الأحداث ومركز الأحداث الذي يمكنك دفق بياناتك من خلاله. باستخدام مركز الأحداث، يمكنك دفق السجلات إلى إحدى أدوات SIEM المدعومة.

إذا كنت لا تخطط لاستخدام أداة SIEM تابعة لجهة خارجية، نوصي بإرسال سجلات نشاط Microsoft Entra إلى سجلات Azure Monitor. باستخدام هذا التكامل، يمكنك الاستعلام عن سجلات نشاطك باستخدام Log Analytics. بالإضافة إلى سجلات Azure Monitor، يوفر Microsoft Sentinel الكشف عن الأمان في الوقت الفعلي تقريبا وتعقب التهديدات. إذا قررت التكامل مع أدوات SIEM لاحقا، يمكنك دفق سجلات نشاط Microsoft Entra مع بيانات Azure الأخرى من خلال مركز أحداث.

اعتبارات التكلفة

هناك تكلفة لإرسال البيانات إلى مساحة عمل Log Analytics أو أرشفة البيانات في حساب تخزين أو دفق السجلات إلى مركز أحداث. يمكن أن يختلف مقدار البيانات والتكلفة المتكبدة بشكل كبير اعتمادا على حجم المستأجر وعدد النهج المستخدمة وحتى الوقت من اليوم.

نظرا لأنه من الصعب التنبؤ بحجم وتكلفة إرسال السجلات إلى نقطة نهاية، فإن الطريقة الأكثر دقة لتحديد التكاليف المتوقعة هي توجيه سجلاتك إلى نقطة نهاية لمدة يوم أو يومين. باستخدام هذه اللقطة، يمكنك الحصول على تنبؤ دقيق للتكاليف المتوقعة. يمكنك أيضا الحصول على تقدير للتكاليف الخاصة بك عن طريق تنزيل عينة من سجلاتك والضرب وفقا لذلك للحصول على تقدير ليوم واحد.

يتم تناول الاعتبارات الأخرى لإرسال سجلات Microsoft Entra إلى سجلات Azure Monitor في مقالات تفاصيل تكلفة Azure Monitor التالية:

يوفر Azure Monitor خيار استبعاد الأحداث أو الحقول أو أجزاء الحقول بالكامل عند استيعاب السجلات من معرف Microsoft Entra. تعرف على المزيد حول ميزة توفير التكاليف هذه في تحويل جمع البيانات في Azure Monitor.

تقدير التكاليف

لتقدير تكاليف مؤسستك، يمكنك تقدير حجم السجل اليومي أو التكلفة اليومية لدمج سجلاتك مع نقطة نهاية.

قد تؤثر العوامل التالية على تكاليف مؤسستك:

  • تستخدم أحداث سجل التدقيق حوالي كيلوبايت 2 من تخزين البيانات
  • تستخدم أحداث سجل تسجيل الدخول في المتوسط 11.5 كيلوبايت من تخزين البيانات
  • يمكن أن يتحمل مستأجر يبلغ حوالي 100,000 مستخدم حوالي 1.5 مليون حدث يوميا
  • يتم تجميع الأحداث في فواصل زمنية مدتها 5 دقائق تقريبا ويتم إرسالها كرسالة واحدة تحتوي على جميع الأحداث ضمن هذا الإطار الزمني

حجم السجل اليومي

لتقدير حجم السجل اليومي، اجمع عينة من سجلاتك، واضبط العينة لتعكس حجم المستأجر وإعداداته، ثم طبق هذا النموذج على حاسبة تسعير Azure.

إذا لم تكن قد قمت بتنزيل السجلات من مركز إدارة Microsoft Entra من قبل، فراجع مقالة كيفية تنزيل السجلات في معرف Microsoft Entra. اعتمادا على حجم مؤسستك، قد تحتاج إلى اختيار حجم عينة مختلف لبدء التقدير الخاص بك. تعد أحجام العينات التالية مكانا جيدا للبدء:

  • 1000 سجل
  • بالنسبة للمستأجرين الكبار، 15 دقيقة من عمليات تسجيل الدخول
  • للمستأجرين الصغار إلى المتوسطين، ساعة واحدة من عمليات تسجيل الدخول

يجب عليك أيضا مراعاة التوزيع الجغرافي وساعات الذروة للمستخدمين عند التقاط عينة البيانات الخاصة بك. إذا كانت مؤسستك تستند إلى منطقة واحدة، فمن المحتمل أن تبلغ عمليات تسجيل الدخول ذروتها في نفس الوقت تقريبا. اضبط حجم العينة وعند التقاط العينة وفقا لذلك.

مع التقاط عينة البيانات، اضرب وفقا لذلك لمعرفة حجم الملف ليوم واحد.

تقدير التكلفة اليومية

للحصول على فكرة عن تكلفة تكامل السجل لمؤسستك، يمكنك تمكين التكامل لمدة يوم أو يومين. استخدم هذا الخيار إذا كانت ميزانيتك تسمح بالزيادة المؤقتة.

لتمكين تكامل السجل، اتبع الخطوات الواردة في مقالة دمج سجلات النشاط مع سجلات Azure Monitor. إذا كان ذلك ممكنا، قم بإنشاء مجموعة موارد جديدة للسجلات ونقطة النهاية التي تريد تجربتها. وجود مجموعة موارد مخصصة يجعل من السهل عرض تحليل التكلفة ثم حذفه عند الانتهاء.

مع تمكين التكامل، انتقل إلى Azure portal>Cost Management>Cost analysis. هناك عدة طرق لتحليل التكاليف. يجب أن يساعدك التشغيل السريع ل Cost Management على البدء. تستخدم الأرقام في لقطة الشاشة التالية لأغراض المثال ولا يقصد بها أن تعكس المبالغ الفعلية.

Screenshot of a cost analysis breakdown as a pie chart.

تأكد من استخدام مجموعة الموارد الجديدة كنطاق. استكشف التكاليف والتنبؤات اليومية للحصول على فكرة عن تكلفة تكامل السجل.

حساب التكاليف المقدرة

من الصفحة المقصودة لآلة حاسبة تسعير Azure، يمكنك تقدير تكاليف المنتجات المختلفة.

بمجرد أن يكون لديك تقدير للجيجابايت/اليوم الذي سيتم إرساله إلى نقطة نهاية، أدخل هذه القيمة في حاسبة تسعير Azure. تستخدم الأرقام في لقطة الشاشة التالية لأغراض المثال ولا يقصد بها أن تعكس الأسعار الفعلية.

Screenshot of the Azure pricing calculator, with 8 GB/Day used as an example.

الخطوات التالية