Integrazioni del log attività di Microsoft Entra

Usando le impostazioni di diagnostica in Microsoft Entra ID, è possibile instradare i log attività a diversi endpoint per la conservazione e le informazioni dettagliate dei dati a lungo termine. È possibile archiviare i log per l'archiviazione, indirizzare agli strumenti SIEM (Security Information and Event Management) e integrare i log con i log di Monitoraggio di Azure.

Con queste integrazioni, è possibile abilitare visualizzazioni, monitoraggio e avvisi avanzati sui dati connessi. Questo articolo descrive gli usi consigliati per ogni tipo di integrazione o metodo di accesso. Vengono inoltre illustrate le considerazioni relative ai costi per l'invio dei log attività di Microsoft Entra a vari endpoint.

Report supportati

I log seguenti possono essere integrati con uno dei molti endpoint:

• Il report delle attività del log di controllo consente di accedere alla cronologia di ogni attività eseguita nel tenant.
• Con il report sulle attività di accesso, è possibile vedere quando gli utenti tentano di accedere alle applicazioni o risolvere gli errori di accesso.
• Con i log di provisioning, è possibile monitorare quali utenti sono stati creati, aggiornati ed eliminati in tutte le applicazioni di terze parti.
• I log degli utenti rischiosi consentono di monitorare le modifiche nel livello di rischio utente e nell'attività di correzione.
• Con i log dei rilevamenti dei rischi, è possibile monitorare i rilevamenti dei rischi dell'utente e analizzare le tendenze nelle attività di rischio rilevate nell'organizzazione.

Opzioni di integrazione

Per scegliere il metodo corretto per l'integrazione dei log attività di Microsoft Entra per l'archiviazione o l'analisi, considerare l'attività complessiva che si sta tentando di eseguire. Le opzioni sono raggruppate in tre categorie principali:

• Risoluzione dei problemi
• Archivio a lungo termine
• Analisi e monitoraggio

Risoluzione dei problemi

Se si eseguono attività di risoluzione dei problemi, ma non è necessario conservare i log per più di 30 giorni, è consigliabile usare il portale di Azure o Microsoft Graph per accedere ai log attività. È possibile filtrare i log per lo scenario e esportarli o scaricarli in base alle esigenze.

Se si eseguono attività di risoluzione dei problemi ed è necessario conservare i log per più di 30 giorni, esaminare le opzioni di archiviazione a lungo termine.

Archivio a lungo termine

Se si eseguono attività di risoluzione dei problemi ed è necessario conservare i log per più di 30 giorni, è possibile esportare i log in un account di archiviazione di Azure. Questa opzione è ideale per non pianificare l'esecuzione di query sui dati spesso.

Se è necessario eseguire query sui dati conservati per più di 30 giorni, esaminare le opzioni di analisi e monitoraggio.

Analisi e monitoraggio

Se lo scenario richiede di conservare i dati per più di 30 giorni e si prevede di eseguire regolarmente query sui dati, sono disponibili alcune opzioni per integrare i dati con strumenti SIEM per l'analisi e il monitoraggio.

Se si dispone di uno strumento SIEM di terze parti, è consigliabile configurare uno spazio dei nomi di Hub eventi e un hub eventi tramite cui è possibile trasmettere i dati. Con un hub eventi, è possibile trasmettere i log a uno degli strumenti SIEM supportati.

Se non si prevede di usare uno strumento SIEM di terze parti, è consigliabile inviare i log attività di Microsoft Entra ai log attività di Monitoraggio di Azure. Con questa integrazione, è possibile eseguire query sui log attività con Log Analytics. Oltre ai log di Monitoraggio di Azure, Microsoft Sentinel offre funzionalità di rilevamento e ricerca delle minacce quasi in tempo reale. Se si decide di integrarsi con gli strumenti SIEM in un secondo momento, è possibile trasmettere i log attività di Microsoft Entra insieme agli altri dati di Azure tramite un hub eventi.

Considerazioni sul costo

È previsto un costo per l'invio di dati a un'area di lavoro Log Analytics, l'archiviazione dei dati in un account di archiviazione o lo streaming dei log a un hub eventi. La quantità di dati e i costi sostenuti possono variare in modo significativo a seconda delle dimensioni del tenant, del numero di criteri in uso e anche dell'ora del giorno.

Poiché le dimensioni e i costi per l'invio di log a un endpoint sono difficili da prevedere, il modo più accurato per determinare i costi previsti consiste nell'instradare i log a un endpoint per il giorno o due. Con questo snapshot è possibile ottenere una stima accurata per i costi previsti. È anche possibile ottenere una stima dei costi scaricando un campione dei log e moltiplicando di conseguenza per ottenere una stima per un giorno.

Altre considerazioni per l'invio dei log di Microsoft Entra ai log di Monitoraggio di Azure sono illustrate negli articoli seguenti sui dettagli sui costi di Monitoraggio di Azure:

• Monitoraggio di Azure registra i calcoli dei costi e le opzioni
• Costi e utilizzo di Monitoraggio di Azure
• Ottimizzare i costi in Monitoraggio di Azure

Monitoraggio di Azure offre la possibilità di escludere interi eventi, campi o parti di campi durante l'inserimento di log da Microsoft Entra ID. Altre informazioni su questa funzionalità di risparmio sui costi nella trasformazione Raccolta dati in Monitoraggio di Azure.

Stima dei costi

Per stimare i costi per l'organizzazione, è possibile stimare le dimensioni giornaliere del log o il costo giornaliero per l'integrazione dei log con un endpoint.

I fattori seguenti possono influire sui costi per l'organizzazione:

• Gli eventi del log di controllo usano circa 2 KB di archiviazione dei dati
• Gli eventi del log di accesso usano in media 11,5 KB di archiviazione dei dati
• Un tenant di circa 100.000 utenti potrebbe comportare circa 1,5 milioni di eventi al giorno
• Gli eventi vengono inseriti in batch in intervalli di circa 5 minuti e inviati come singolo messaggio che contiene tutti gli eventi all'interno di tale intervallo di tempo

Dimensioni giornaliere del log

Per stimare le dimensioni giornaliere del log, raccogliere un campione dei log, modificare l'esempio in modo da riflettere le dimensioni e le impostazioni del tenant, quindi applicare tale esempio al calcolatore dei prezzi di Azure.

Se i log non sono stati scaricati dall'interfaccia di amministrazione di Microsoft Entra in precedenza, vedere l'articolo Come scaricare i log in Microsoft Entra ID . A seconda delle dimensioni dell'organizzazione, potrebbe essere necessario scegliere una dimensione di campione diversa per avviare la stima. Le dimensioni di esempio seguenti sono un buon punto di partenza:

• 1000 record
• Per tenant di grandi dimensioni, 15 minuti di accesso
• Per tenant di piccole e medie dimensioni, 1 ora di accesso

È anche consigliabile prendere in considerazione la distribuzione geografica e le ore di punta degli utenti quando si acquisisce l'esempio di dati. Se l'organizzazione si trova in un'area, è probabile che l'accesso venga raggiunto contemporaneamente. Regolare le dimensioni del campione e quando si acquisisce il campione di conseguenza.

Con l'esempio di dati acquisito, moltiplicare di conseguenza per scoprire quanto grande sarebbe il file per un giorno.

Stimare il costo giornaliero

Per ottenere un'idea della quantità di costi di integrazione dei log per l'organizzazione, è possibile abilitare un'integrazione per un giorno o due. Usare questa opzione se il budget consente l'aumento temporaneo.

Per abilitare un'integrazione dei log, seguire la procedura descritta nell'articolo Integrare i log attività con i log di Monitoraggio di Azure. Se possibile, creare un nuovo gruppo di risorse per i log e l'endpoint da provare. La presenza di un gruppo di risorse dedicato semplifica la visualizzazione dell'analisi dei costi e quindi l'eliminazione al termine.

Con l'integrazione abilitata, passare a portale di Azure> Analisi dei costi di gestione>costi. Esistono diversi modi per analizzare i costi. Questa guida introduttiva a Gestione costi dovrebbe essere utile per iniziare. Le figure dello screenshot seguente vengono usate per scopi di esempio e non sono destinate a riflettere gli importi effettivi.

Assicurarsi di usare il nuovo gruppo di risorse come ambito. Esplorare i costi giornalieri e le previsioni per ottenere un'idea della quantità di costi di integrazione dei log.

Calcolare i costi stimati

Dalla pagina di destinazione del calcolatore prezzi di Azure è possibile stimare i costi per i vari prodotti.

• Monitoraggio di Azure
• Archiviazione di Azure
• Hub eventi di Azure
• Microsoft Sentinel

Dopo aver ottenuto una stima per i GB/giorno che verranno inviati a un endpoint, immettere tale valore nel calcolatore prezzi di Azure. Le cifre riportate nello screenshot seguente vengono usate per scopi di esempio e non sono destinate a riflettere i prezzi effettivi.

Passaggi successivi

• Creare un account di archiviazione
• Archiviare i log attività in un account di archiviazione
• Trasmettere i log attività a un hub eventi
• Integrare log attività con Monitoraggio di Azure