Dependensi pemantauan dan penyebaran kesehatan Microsoft Entra
Solusi pelaporan dan pemantauan Microsoft Entra Anda bergantung pada proses hukum, keamanan, operasional, dan lingkungan Anda. Gunakan bagian berikut untuk mempelajari tentang opsi desain dan strategi penyebaran.
Manfaat pelaporan dan pemantauan Microsoft Entra
Pelaporan ID Microsoft Entra memiliki tampilan, dan log, aktivitas Microsoft Entra di lingkungan Anda: peristiwa masuk dan audit, juga berubah ke direktori Anda.
Gunakan output data untuk:
- menentukan bagaimana aplikasi dan layanan Anda digunakan.
- mendeteksi potensi risiko yang memengaruhi kesehatan lingkungan Anda.
- memecahkan masalah yang mencegah pengguna Anda menyelesaikan pekerjaan mereka.
- dapatkan wawasan dengan melihat peristiwa audit perubahan pada direktori Microsoft Entra Anda.
Pemantauan Microsoft Entra memungkinkan Anda merutekan log yang dihasilkan oleh pelaporan ID Microsoft Entra ke sistem target yang berbeda. Anda bisa mempertahankan log untuk penggunaan jangka panjang atau mengintegrasikannya dengan alat Security Information and Event Management (SIEM) pihak ketiga untuk mendapatkan wawasan tentang lingkungan Anda.
Dengan pemantauan Microsoft Entra, Anda dapat merutekan log ke:
- akun penyimpanan Azure untuk tujuan pengarsipan.
- Log Azure Monitor, tempat Anda dapat menganalisis data, membuat dasbor, dan memberi tahu peristiwa tertentu.
- hub peristiwa Azure di mana Anda dapat mengintegrasikan dengan alat SIEM yang ada seperti Splunk, Sumologic, atau QRadar.
Prasyarat
Anda memerlukan lisensi Microsoft Entra ID P1 atau P2 untuk mengakses log masuk Microsoft Entra.
Untuk informasi fitur dan lisensi terperinci, lihat panduan harga Microsoft Entra.
Untuk menyebarkan pemantauan dan kesehatan Microsoft Entra, Anda memerlukan pengguna yang merupakan Administrator Keamanan untuk penyewa Microsoft Entra.
- Platform data Azure Monitor
- Perubahan penamaan dan terminologi Azure Monitor
- Berapa lama MICROSOFT Entra ID menyimpan data pelaporan?
- Akun penyimpanan Azure yang izinnya Anda miliki
ListKeys
. Kami menyarankan Anda menggunakan akun penyimpanan umum dan bukan akun penyimpanan Blob. Untuk informasi harga penyimpanan, lihat kalkulator harga Azure Storage. - Namespace layanan Azure Event Hubs untuk diintegrasikan dengan solusi SIEM pihak ketiga.
- Ruang kerja Azure Log Analytics untuk mengirim log ke log Azure Monitor.
Merencanakan dan menyebarkan proyek pemantauan dan penyebaran kesehatan Microsoft Entra
Pelaporan dan pemantauan digunakan untuk memenuhi kebutuhan bisnis Anda, mendapatkan wawasan tentang pola penggunaan dan meningkatkan postur keamanan organisasi Anda. Dalam proyek ini, Anda akan menentukan audiens yang akan menggunakan dan memantau laporan, dan menentukan arsitektur pemantauan Microsoft Entra Anda.
Pemangku kepentingan, komunikasi, dan dokumentasi
Ketika proyek teknologi gagal, mereka biasanya melakukannya karena harapan yang tidak cocok pada efek, hasil, dan tanggung jawab. Untuk menghindari kegagalan ini, pastikan Anda melibatkan pemangku kepentingan yang tepat. Pastikan juga bahwa peran pemangku kepentingan dalam proyek dipahami dengan baik dengan mendokumenkan pemangku kepentingan serta input dan tanggung jawab proyek mereka.
Pemangku kepentingan perlu mengakses log Microsoft Entra untuk mendapatkan wawasan operasional. Pengguna yang mungkin termasuk anggota tim keamanan, auditor internal atau eksternal, dan tim operasi manajemen identitas dan akses.
Peran Microsoft Entra memungkinkan Anda mendelegasikan kemampuan untuk mengonfigurasi dan melihat laporan Microsoft Entra berdasarkan peran Anda. Identifikasi siapa di organisasi Anda yang memerlukan izin untuk membaca laporan Microsoft Entra dan peran apa yang sesuai untuk mereka.
Peran berikut dapat membaca laporan Microsoft Entra:
- Administrator Keamanan
- Pembaca Keamanan
- Pembaca Laporan
Pelajari Selengkapnya Tentang Peran Administratif Microsoft Entra. Selalu terapkan konsep hak istimewa paling sedikit untuk mengurangi risiko kompromi akun. Pertimbangkan penerapan Privileged Identity Management untuk lebih mengamankan organisasi Anda.
Melibatkan pemangku kepentingan
Proyek yang berhasil menyelaraskan ekspektasi, hasil, dan tanggung jawab. Lihat, paket penyebaran Microsoft Entra. Dokumentasikan dan komunikasikan peran pemangku kepentingan yang memerlukan input dan akuntabilitas.
Rencana komunikasi
Beri tahu pengguna Anda kapan, dan bagaimana, pengalaman mereka akan berubah. Berikan informasi kontak untuk dukungan.
- Apa, jika ada, alat SIEM yang Anda gunakan.
- Infrastruktur Azure Anda, termasuk akun penyimpanan yang sudah ada dan pemantauan yang digunakan.
- Kebijakan retensi organisasi Anda untuk log, termasuk kerangka kerja kepatuhan yang berlaku yang diperlukan.
Kasus penggunaan bisnis
Untuk lebih memprioritaskan kasus dan solusi penggunaan, atur opsi dengan "diperlukan solusi untuk memenuhi kebutuhan bisnis," "senang harus memenuhi kebutuhan bisnis," dan "tidak berlaku."
Pertimbangan
- Retensi - Retensi log: menyimpan log audit dan log masuk Microsoft Entra lebih dari 30 hari
- Analitik - Log dapat dicari dengan alat analitik
- Wawasan operasional dan keamanan - Menyediakan akses ke penggunaan aplikasi, kesalahan masuk, penggunaan layanan mandiri, tren, dan sebagainya.
- Integrasi SIEM - Mengintegrasikan dan mengalirkan log masuk Microsoft Entra dan log audit ke sistem SIEM
Arsitektur solusi pemantauan
Dengan pemantauan Microsoft Entra, Anda dapat merutekan log aktivitas Microsoft Entra dan menyimpannya untuk pelaporan dan analisis jangka panjang untuk mendapatkan wawasan lingkungan, dan mengintegrasikannya dengan alat SIEM. Gunakan bagan alur keputusan berikut untuk membantu memilih arsitektur.
Mengarsipkan log ke akun penyimpanan
Anda dapat menyimpan log lebih lama dari periode retensi default dengan merutekannya ke akun penyimpanan Azure.
Penting
Gunakan metode arsip ini jika tidak perlu mengintegrasikan log dengan sistem SIEM, atau tidak perlu kueri dan analisis yang sedang berlangsung. Anda dapat menggunakan pencarian sesuai permintaan.
Selengkapnya:
- Berapa lama MICROSOFT Entra ID menyimpan data pelaporan?
- Tutorial: Mengarsipkan log Microsoft Entra ke akun penyimpanan Azure
Mengalirkan log ke penyimpanan dan alat SIEM
- Integrasikan log Microsoft Entra dengan log Azure Monitor.
- Analisis log aktivitas Microsoft Entra dengan log Azure Monitor.
- Pelajari cara mengalirkan log ke hub kejadian.
- Pelajari cara Mengarsipkan log Microsoft Entra ke akun Azure Storage.
- Merutekan log Microsoft Entra ke pusat aktivitas
Langkah berikutnya
- Pertimbangkan untuk memanfaatkan Privileged Identity Management
- Pertimbangkan untuk menerapkan kontrol akses berbasis peran Azure
- Pelajari selengkapnya kebijakan retensi laporan.
- Menganalisis log aktivitas Microsoft Entra dengan log Azure Monitor
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk