Quali sono le opzioni di integrazione dei log attività di Microsoft Entra?

Usando le Impostazioni di diagnostica di Microsoft Entra ID, è possibile indirizzare i log attività a diversi endpoint per la conservazione dei dati a lungo termine e le informazioni dettagliate sui dati. È possibile archiviare i log per l'archiviazione, indirizzare agli strumenti SIEM (Security Information and Event Management) e integrare i log con i log di Monitoraggio di Azure.

Con queste integrazioni, è possibile abilitare visualizzazioni, monitoraggio e avvisi avanzati sui dati connessi. Questo articolo descrive gli usi consigliati per ogni tipo di integrazione o metodo di accesso. Vengono inoltre illustrate le considerazioni relative ai costi per l'invio dei log attività di Microsoft Entra a vari endpoint.

Report supportati

I log seguenti possono essere integrati con uno dei molti endpoint:

• Il report delle attività del log di controllo consente di accedere alla cronologia di ogni attività eseguita nel tenant.
• Con il report sulle attività di accesso, è possibile vedere quando gli utenti tentano di accedere alle applicazioni o risolvere gli errori di accesso.
• Con i log di provisioning è possibile monitorare quali utenti sono stati aggiornati ed eliminati in tutte le applicazioni non Microsoft.
• I log degli utenti a rischio consentono di monitorare le modifiche nel livello di rischio utente e nell'attività di rimedio.
• Con i log dei rilevamenti dei rischi è possibile monitorare i rilevamenti dei rischi dell'utente e analizzare le tendenze nelle attività di rischio rilevate nell'organizzazione.

Opzioni di integrazione

Per scegliere il metodo corretto per l'integrazione dei log attività di Microsoft Entra per l'archiviazione o l'analisi, considerare il task complessivo che si sta tentando di eseguire. Le opzioni sono raggruppate in tre categorie:

• Risoluzione dei problemi
• Archiviazione a lungo termine
• Analisi e monitoraggio

Risoluzione dei problemi di base

Se si eseguono attività di risoluzione dei problemi di base, ma non è necessario conservare i log per più di 30 giorni, è consigliabile usare l'interfaccia di amministrazione di Microsoft Entra o le API Di Microsoft Graph per accedere ai log attività. È possibile filtrare i log per lo scenario e esportarli o scaricarli in base alle esigenze.

Se si eseguono task di risoluzione dei problemi ed è necessario conservare i log per più di 30 giorni, esaminare le opzioni di archiviazione a lungo termine.

Archiviazione a lungo termine

Se si eseguono task di risoluzione dei problemi ed è necessario conservare i log per più di 30 giorni, è necessario esportare i log in un account di archiviazione di Azure. Questa opzione è ideale per non pianificare l'esecuzione di query sui dati con una frequenza eccessiva.

Se è necessario eseguire query sui dati conservati per più di 30 giorni, esaminare le opzioni di analisi e monitoraggio.

Analisi e monitoraggio

Se lo scenario richiede di conservare i dati per più di 30 giorni e si prevede di eseguire regolarmente query sui dati, sono disponibili alcune opzioni per integrare i dati con strumenti SIEM per l'analisi e il monitoraggio.

Se si dispone di uno strumento SIEM non Microsoft, è consigliabile configurare uno spazio dei nomi di Hub eventi e un hub eventi tramite cui è possibile trasmettere i dati. Con un hub eventi, è possibile trasmettere i log a uno degli strumenti SIEM supportati.

Se non si prevede di usare uno strumento SIEM di terze parti, è consigliabile inviare i log attività di Microsoft Entra ai log attività di Monitoraggio di Azure. Con questa integrazione, è possibile eseguire query sui log attività in un'area di lavoro Log Analytics. Oltre ai log di Monitoraggio di Azure, Microsoft Sentinel offre funzionalità di rilevamento e ricerca delle minacce quasi in tempo reale. Se si decide di effettuare l'integrazione con gli strumenti SIEM in un secondo momento, è possibile trasmettere i log attività di Microsoft Entra insieme agli altri dati di Azure tramite un hub eventi.

Considerazioni sui costi

È previsto un costo per l'invio di dati a un'area di lavoro Log Analytics, l'archiviazione dei dati in un account di archiviazione o lo streaming dei log a un hub eventi. La quantità di dati e i costi sostenuti possono variare in modo significativo a seconda delle dimensioni del tenant, del numero di criteri in uso e persino dell'ora del giorno. La modifica di un'impostazione di diagnostica esistente potrebbe comportare nuovi addebiti.

Poiché le dimensioni e i costi per l'invio di log a un endpoint sono difficili da prevedere, il modo più accurato per determinare i costi previsti consiste nell'instradare i log a un endpoint per un giorno o due. Con questo snapshot è possibile ottenere una previsione accurata dei costi previsti. È anche possibile ottenere una previsione dei costi scaricando un campione dei log e moltiplicandolo di conseguenza per ottenere una stima per un giorno.

Altre considerazioni per l'invio dei log di Microsoft Entra ai log di Monitoraggio di Azure sono illustrate negli articoli seguenti sui dettagli dei costi di Monitoraggio di Azure:

• Calcoli e opzioni dei costi dei log di Monitoraggio di Azure
• Costi e utilizzo di Monitoraggio di Azure
• Ottimizzare i costi in Monitoraggio di Azure

Monitoraggio di Azure offre la possibilità di escludere interi eventi, campi o parti di campi durante l'inserimento di log da Microsoft Entra ID. Ottieni maggiori informazioni su questa funzionalità di risparmio sui costi nella Trasformazione della raccolta di dati in Monitoraggio di Azure.

Stima dei costi

Per stimare i costi per l'organizzazione, è possibile stimare le dimensioni giornaliere del log o il costo giornaliero per l'integrazione dei log con un endpoint.

I fattori seguenti possono influire sui costi per l'organizzazione:

• Gli eventi del log di controllo usano circa 2 KB di archiviazione dei dati
• Gli eventi del log di accesso usano in media 11,5 KB di archiviazione dei dati
• Un tenant di circa 100.000 utenti potrebbe comportare circa 1,5 milioni di eventi al giorno
• Gli eventi sono suddivisi in batch a intervalli di circa 5 minuti e vengono inviati come un singolo messaggio che contiene tutti gli eventi entro tale intervallo di tempo.

Dimensioni giornaliere del log

Per stimare le dimensioni giornaliere del log, raccogliere un campione dei log, modificare il campione in modo da riflettere le dimensioni e le impostazioni del tenant, quindi applicare tale campione al Calcolatore prezzi di Azure.

Se i log non sono stati scaricati dall'interfaccia di amministrazione di Microsoft Entra in precedenza, vedere l'articolo su Come scaricare i log in Microsoft Entra ID. A seconda delle dimensioni dell'organizzazione, potrebbe essere necessario scegliere una dimensione di campione diversa per avviare la stima. Le seguenti dimensioni dei campioni sono un buon punto di partenza:

• 1.000 record
• Per tenant di grandi dimensioni, 15 minuti di informazioni di accesso
• Per tenant di piccole e medie dimensioni, 1 ora di informazioni di accesso

È anche consigliabile prendere in considerazione la distribuzione geografica e le ore di punta degli utenti quando si acquisisce il campione di dati. Se l'organizzazione ha sede in un'unica regione, è probabile che il picco di accessi avvenga nello stesso orario. Regolare le dimensioni del campione e il momento della relativa acquisizione di conseguenza.

Con il campione di dati acquisito, moltiplicarlo di conseguenza per scoprire quanto grande sarebbe il file relativo a un giorno.

Stimare il costo giornaliero

Per ottenere un'idea della quantità di costi di integrazione dei log per l'organizzazione, è possibile abilitare un'integrazione per un giorno o due. Usare questa opzione se il budget consente l'aumento temporaneo.

Per abilitare un'integrazione dei log, seguire la procedura descritta nell'articolo Integrare i log attività con i log di Monitoraggio di Azure. Se possibile, creare un nuovo gruppo di risorse per i log e l'endpoint da provare. La presenza di un gruppo di risorse dedicato semplifica la visualizzazione dell'analisi dei costi e quindi l'eliminazione al termine.

Con l'integrazione abilitata, passare a Portale di Azure>Gestione dei costi>Analisi dei costi. Esistono diversi modi per analizzare i costi. Questa Guida introduttiva sulla gestione dei costi è utile per svolgere le attività iniziali. Le figure nello screenshot seguente vengono usate a scopo di esempio e non sono destinate a riflettere gli importi effettivi.

Assicurarsi di usare il nuovo gruppo di risorse come ambito. Esplorare i costi giornalieri e le previsioni per ottenere un'idea della quantità di costi di integrazione dei log.

Calcolare i costi stimati

Dalla pagina di destinazione del Calcolatore prezzi di Azure è possibile stimare i costi per i vari prodotti.

• Monitoraggio di Azure
• Archiviazione di Azure
• Hub eventi di Azure
• Microsoft Sentinel

Dopo aver ottenuto una stima per i GB al giorno che verranno inviati a un endpoint, immettere tale valore nel Calcolatore prezzi di Azure. Le figure nello screenshot seguente vengono usate a scopo di esempio e non sono destinate a riflettere i prezzi effettivi.