Integrace protokolu aktivit Microsoft Entra

Pomocí nastavení diagnostiky v Microsoft Entra ID můžete protokoly aktivit směrovat do několika koncových bodů pro dlouhodobé uchovávání dat a přehledy. Protokoly můžete archivovat pro úložiště, směrovat do nástrojů pro správu událostí a informací o zabezpečení (SIEM) a integrovat protokoly s protokoly služby Azure Monitor.

Díky těmto integracím můžete povolit bohaté vizualizace, monitorování a upozorňování na připojená data. Tento článek popisuje doporučené použití pro každý typ integrace nebo metodu přístupu. Probírá se také důležité informace o nákladech při odesílání protokolů aktivit Microsoft Entra do různých koncových bodů.

Podporované sestavy

Následující protokoly je možné integrovat s jedním z mnoha koncových bodů:

• Sestava aktivit protokolů auditu poskytuje přístup k historii všech úloh provedených ve vašem tenantovi.
• Pomocí sestavy aktivit přihlašování se můžete podívat, kdy se uživatelé pokusí přihlásit k aplikacím nebo řešit chyby přihlášení.
• Pomocí protokolů zřizování můžete monitorovat, kteří uživatelé byli ve všech aplikacích třetích stran vytvořené, aktualizované a odstraněné.
• Protokoly rizikových uživatelů pomáhají sledovat změny na úrovni rizika a nápravné činnosti uživatelů.
• Pomocí protokolů detekce rizik můžete monitorovat detekce rizik uživatelů a analyzovat trendy v rizikové aktivitě zjištěné ve vaší organizaci.

Možnosti integrace

Pokud chcete pomoct zvolit správnou metodu integrace protokolů aktivit Microsoft Entra pro úložiště nebo analýzu, zamyslete se nad celkovým úkolem, který se snažíte provést. Možnosti jsme seskupili do tří hlavních kategorií:

• Řešení problému
• Dlouhodobé ukládání
• Analýza a monitorování

Řešení problému

Pokud provádíte úlohy řešení potíží, ale nemusíte uchovávat protokoly po dobu delší než 30 dnů, doporučujeme pro přístup k protokolům aktivit používat Azure Portal nebo Microsoft Graph. Protokoly můžete filtrovat pro svůj scénář a podle potřeby je exportovat nebo stáhnout.

Pokud provádíte úlohy řešení potíží a potřebujete uchovávat protokoly po dobu delší než 30 dnů, podívejte se na možnosti dlouhodobého úložiště.

Dlouhodobé ukládání

Pokud provádíte úlohy řešení potíží a potřebujete uchovávat protokoly po dobu delší než 30 dnů, můžete protokoly exportovat do účtu úložiště Azure. Tato možnost je ideální pro to, abyste se na tato data často neplánovává dotazovat.

Pokud potřebujete dotazovat data, která uchováváte déle než 30 dní, podívejte se na možnosti analýzy a monitorování.

Analýza a monitorování

Pokud váš scénář vyžaduje uchovávání dat po dobu delší než 30 dnů a plánujete pravidelné dotazování na tato data, máte několik možností integrace dat s nástroji SIEM pro účely analýzy a monitorování.

Pokud máte nástroj SIEM třetí strany, doporučujeme nastavit obor názvů služby Event Hubs a centrum událostí, které můžete streamovat data prostřednictvím. S centrem událostí můžete streamovat protokoly do některého z podporovaných nástrojů SIEM.

Pokud nemáte v úmyslu používat nástroj SIEM třetí strany, doporučujeme odesílat protokoly aktivit Microsoft Entra do protokolů služby Azure Monitor. S touto integrací můžete protokoly aktivit dotazovat pomocí Log Analytics. Kromě protokolů služby Azure Monitor poskytuje Microsoft Sentinel detekci zabezpečení a proaktivní vyhledávání hrozeb téměř v reálném čase. Pokud se později rozhodnete integrovat s nástroji SIEM, můžete streamovat protokoly aktivit Microsoft Entra spolu s ostatními daty Azure prostřednictvím centra událostí.

Důležité informace o nákladech

Existují náklady na odesílání dat do pracovního prostoru služby Log Analytics, archivaci dat v účtu úložiště nebo streamování protokolů do centra událostí. Množství dat a vynaložených nákladů se může výrazně lišit v závislosti na velikosti tenanta, počtu užitých zásad a dokonce i v denním čase.

Vzhledem k tomu, že velikost a náklady na odesílání protokolů do koncového bodu je obtížné předpovědět, nejpřesnější způsob, jak určit očekávané náklady, je směrovat protokoly do koncového bodu za den nebo dva. Pomocí tohoto snímku můžete získat přesnou předpověď očekávaných nákladů. Odhad nákladů můžete získat také stažením vzorku protokolů a vynásobením odhadu na jeden den.

Další aspekty odesílání protokolů Microsoft Entra do protokolů služby Azure Monitor najdete v následujících článcích s podrobnostmi o nákladech služby Azure Monitor:

• Azure Monitor protokoluje výpočty a možnosti nákladů
• Náklady na službu Azure Monitor a její využití
• Optimalizace nákladů ve službě Azure Monitor

Azure Monitor nabízí možnost vyloučit celé události, pole nebo části polí při ingestování protokolů z ID Microsoft Entra. Přečtěte si další informace o této funkci úspory nákladů v transformaci shromažďování dat ve službě Azure Monitor.

Odhad nákladů

Pokud chcete odhadnout náklady pro vaši organizaci, můžete odhadnout denní velikost protokolu nebo denní náklady na integraci protokolů s koncovým bodem.

Náklady na vaši organizaci můžou ovlivnit následující faktory:

• Události protokolu auditu používají přibližně 2 kB úložiště dat.
• Události protokolu přihlašování se používají v průměru 11,5 kB úložiště dat.
• V tenantovi asi 100 000 uživatelů může za den docházet k přibližně 1,5 milionu událostí za den.
• Události se dávkovají do přibližně 5minutových intervalů a odesílají se jako jedna zpráva, která obsahuje všechny události v daném časovém rámci.

Denní velikost protokolu

Pokud chcete odhadnout velikost denního protokolu, shromážděte ukázku protokolů, upravte ukázku tak, aby odrážela velikost a nastavení tenanta, a pak tuto ukázku použijte na cenovou kalkulačku Azure.

Pokud jste ještě nestáhli protokoly z Centra pro správu Microsoft Entra, přečtěte si článek Postupy stahování protokolů v článku Microsoft Entra ID . V závislosti na velikosti vaší organizace možná budete muset zvolit jinou velikost vzorku, abyste mohli zahájit odhad. Následující velikosti vzorků jsou dobrým místem, kde začít:

• 1000 záznamů
• U velkých tenantů 15 minut přihlášení
• Pro malé až střední tenanty 1 hodina přihlášení

Při zachycení vzorku dat byste také měli zvážit geografickou distribuci a špičku uživatelů. Pokud je vaše organizace založená v jedné oblasti, je pravděpodobné, že přihlášení ve stejnou dobu vrcholí. Upravte velikost vzorku a při zachytávání vzorku odpovídajícím způsobem.

S zachycenou ukázkou dat vynásobte odpovídajícím způsobem, abyste zjistili, jak velký bude soubor jeden den.

Odhad denních nákladů

Pokud chcete získat představu o tom, kolik může integrace protokolů pro vaši organizaci stát, můžete povolit integraci za den nebo dva. Tuto možnost použijte, pokud rozpočet umožňuje dočasné zvýšení.

Pokud chcete povolit integraci protokolů, postupujte podle kroků v článku Integrace protokolů aktivit pomocí služby Azure Monitor. Pokud je to možné, vytvořte novou skupinu prostředků pro protokoly a koncový bod, který chcete vyzkoušet. Když máte vyhrazenou skupinu prostředků, můžete snadno zobrazit analýzu nákladů a po dokončení ji odstranit.

S povolenou integrací přejděte na analýzu nákladů služby Cost Management>na webu Azure Portal>. Existuje několik způsobů, jak analyzovat náklady. Tento rychlý start služby Cost Management by vám měl pomoct začít. Obrázky na následujícím snímku obrazovky se používají pro ukázkové účely a nejsou určeny k vyjádření skutečných částek.

Ujistěte se, že jako obor používáte novou skupinu prostředků. Prozkoumejte denní náklady a prognózy, abyste získali představu o tom, kolik může vaše integrace protokolů stát.

Výpočet odhadovaných nákladů

Na cílové stránce cenové kalkulačky Azure můžete odhadnout náklady na různé produkty.

• Azure Monitor
• Úložiště Azure
• Azure Event Hubs
• Microsoft Sentinel

Jakmile budete mít odhad na GB/den, který se odešle do koncového bodu, zadejte tuto hodnotu do cenové kalkulačky Azure. Údaje na následujícím snímku obrazovky se používají pro ukázkové účely a nejsou určeny k vyjádření skutečných cen.

Další kroky

• Vytvoření účtu úložiště
• Archivace protokolů aktivit do účtu úložiště
• Směrování protokolů aktivit do centra událostí
• Integrace protokolů aktivit se službou Azure Monitor