Share via


A Microsoft Entra monitorozási és állapotterjesztési függőségei

A Microsoft Entra jelentéskészítési és monitorozási megoldása a jogi, biztonsági, üzemeltetési követelményektől és a környezet folyamatától függ. Az alábbi szakaszokban megismerheti a tervezési lehetőségeket és az üzembe helyezési stratégiát.

A Microsoft Entra jelentéskészítésének és monitorozásának előnyei

A Microsoft Entra ID jelentéskészítés a Microsoft Entra tevékenységének nézetét és naplóit tartalmazza a környezetében: bejelentkezési és naplózási eseményeket, valamint a címtár módosításait.

Adatkimenet használata a következőhöz:

  • határozza meg az alkalmazások és szolgáltatások használatát.
  • észlelheti a környezet állapotát érintő lehetséges kockázatokat.
  • elháríthatja azokat a problémákat, amelyek miatt a felhasználók nem végezhetik el a munkájukat.
  • a Microsoft Entra-címtár változásainak naplózási eseményeit tekintheti meg.

A Microsoft Entra monitorozása lehetővé teszi, hogy a Microsoft Entra ID jelentéskészítés által létrehozott naplókat különböző célrendszerekbe irányítsa. Ezután megőrizheti őket hosszú távú használatra, vagy külső biztonságiinformáció- és eseménykezelési (SIEM-) eszközökkel integrálva elemezheti a környezetet.

A Microsoft Entra monitorozásával a naplókat a következőre irányíthatja:

  • Egy Azure Storage-fiók archiválási célokra.
  • Azure Monitor-naplók, ahol elemezheti az adatokat, irányítópultokat hozhat létre és riasztásokat készíthet adott eseményeken.
  • Egy Azure-eseményközpont, ahol integrálható a meglévő SIEM-eszközökkel, például Aplunk, Sumologic vagy QRadar.

Előfeltételek

A Microsoft Entra bejelentkezési naplóinak eléréséhez P1 vagy P2 azonosítójú Microsoft Entra-licencre lesz szüksége.

A funkcióval és a licenccel kapcsolatos részletes információkért tekintse meg a Microsoft Entra díjszabási útmutatóját.

A Microsoft Entra monitorozásának és állapotának üzembe helyezéséhez szüksége lesz egy olyan felhasználóra, aki a Microsoft Entra-bérlő biztonsági Rendszergazda istratora.

Microsoft Entra monitorozási és állapotterjesztési projekt tervezése és üzembe helyezése

A jelentéskészítés és a monitorozás az üzleti követelményeknek való megfelelésre, a használati minták elemzésére és a szervezet biztonsági helyzetének növelésére szolgál. Ebben a projektben meg fogja határozni a jelentéseket használó és figyelő célközönségeket, és definiálja a Microsoft Entra monitorozási architektúráját.

Érdekelt felek, kommunikáció és dokumentáció

Ha a technológiai projektek meghiúsulnak, általában a hatásra, az eredményekre és a felelősségekre vonatkozó eltérő elvárások miatt teszik ezt. A buktatók elkerülése érdekében győződjön meg arról, hogy a megfelelő érdekelt feleket szeretné bevonni. Emellett az érdekelt felek és a projekt bemenetének és feladatainak dokumentálásával biztosíthatja, hogy a projektben érdekelt felek szerepkörei jól érthetők legyenek.

Az érdekelt feleknek hozzá kell férnie a Microsoft Entra-naplókhoz, hogy operatív megállapításokat szerezzenek. Valószínű, hogy a felhasználók közé tartoznak a biztonsági csapat tagjai, a belső vagy külső auditorok, valamint az identitás- és hozzáférés-kezelési üzemeltetési csapat.

A Microsoft Entra-szerepkörök lehetővé teszik a Microsoft Entra-jelentések konfigurálásának és megtekintésének képességét a szerepköre alapján. Annak azonosítása, hogy a szervezetében kinek van szüksége engedélyre a Microsoft Entra-jelentések olvasásához, és hogy milyen szerepkör lenne megfelelő számukra.

A következő szerepkörök olvashatják a Microsoft Entra-jelentéseket:

  • Biztonsági rendszergazda
  • Biztonsági olvasó
  • Jelentésolvasó

További információ a Microsoft Entra Rendszergazda istrative szerepköreiről. Mindig alkalmazza a minimális jogosultságok fogalmát a fiókrombat kockázatának csökkentése érdekében. Fontolja meg a Privileged Identity Management implementálását a szervezet további védelme érdekében.

Érdekelt felek bevonása

A sikeres projektek összhangban vannak az elvárásokkal, az eredményekkel és a felelősségekkel. Lásd: Microsoft Entra üzembe helyezési csomagok. Dokumentálja és kommunikálja azokat az érdekelt szerepköröket, amelyek bemenetet és elszámoltathatóságot igényelnek.

Kommunikációs terv

Tájékoztassa a felhasználókat, hogy mikor és hogyan változnak a felhasználói élményük. Adja meg a támogatási kapcsolattartási adatokat.

  • Mi, ha vannak ilyenek, a használt SIEM-eszközök.
  • Azure-infrastruktúrája, beleértve a meglévő tárfiókokat és a monitorozást.
  • A naplókra vonatkozó szervezeti adatmegőrzési szabályzatok, beleértve a szükséges megfelelőségi keretrendszereket is.

Üzleti használati esetek

A használati esetek és megoldások jobb rangsorolásához rendezze a lehetőségeket úgy, hogy "az üzleti igényeknek megfelelő megoldáshoz szükséges", "jó, hogy meg kell felelnie az üzleti igényeknek", és "nem alkalmazható".

Megfontolások

  • Megőrzés – Naplómegőrzés: naplók tárolása és a Microsoft Entra bejelentkezési naplóinak tárolása 30 napnál hosszabb ideig
  • Elemzés – A naplók elemzési eszközökkel kereshetők
  • Működési és biztonsági elemzések – Hozzáférést biztosít az alkalmazáshasználathoz, a bejelentkezési hibákhoz, az önkiszolgáló használathoz, a trendekhez stb.
  • SIEM-integráció – A Microsoft Entra bejelentkezési naplóinak és naplóinak integrálása és streamelése SIEM-rendszerekbe

A megoldásarchitektúra monitorozása

A Microsoft Entra monitorozásával átirányíthatja a Microsoft Entra tevékenységnaplóit, és megőrizheti őket a hosszú távú jelentéskészítéshez és elemzéshez, hogy környezeti elemzéseket nyerjen, és integrálhassa őket a SIEM-eszközökkel. Az architektúra kiválasztásához használja az alábbi döntési folyamatdiagramot.

Döntési mátrix az üzleti igényű architektúrához.

Naplók archiválása tárfiókban

A naplókat az alapértelmezett megőrzési időszaknál hosszabb ideig is megőrizheti, ha egy Azure Storage-fiókhoz irányítja őket.

Fontos

Ezt az archiválási módszert akkor használja, ha nem szükséges naplókat integrálni egy SIEM-rendszerrel, vagy nincs szükség folyamatban lévő lekérdezésekre és elemzésekre. Igény szerinti kereséseket is használhat.

További információ:

Naplók streamelése tároló- és SIEM-eszközökre

Következő lépések