Een Azure Active Directory rapportage- en bewakingsimplementatie plannen

Uw Azure Active Directory (Azure AD) rapportage- en bewakingsoplossing is afhankelijk van uw juridische, beveiligings- en operationele vereisten en uw bestaande omgeving en processen. Dit artikel bevat de verschillende ontwerpopties en begeleidt u bij de juiste implementatiestrategie.

Voordelen van Azure AD-rapportage en -bewaking

Azure AD-rapportage biedt een uitgebreide weergave en logboeken van Azure AD-activiteiten in uw omgeving, waaronder aanmeldingsgebeurtenissen, auditgebeurtenissen en wijzigingen in uw directory.

Met de gegevens kunt u het volgende doen:

  • bepalen hoe uw apps en services worden gebruikt.

  • mogelijke risico's detecteren die van invloed zijn op de status van uw omgeving.

  • problemen oplossen waardoor uw gebruikers hun werk niet kunnen doen.

  • krijg inzicht door controlegebeurtenissen van wijzigingen in uw Azure AD-directory te bekijken.

Belangrijk

Met Azure AD-bewaking kunt u uw logboeken routeren die zijn gegenereerd door Azure AD-rapportage naar verschillende doelsystemen. U kunt deze vervolgens behouden voor later gebruik of integreren met SIEM-hulpprogramma's (Security Information and Event Management) van derden om meer inzicht in uw omgeving te verkrijgen.

Met Azure AD-bewaking kunt u logboeken routeren naar:

  • een Azure-opslagaccount voor archiveringsdoeleinden.
  • Azure Monitor-logboeken, voorheen bekend als Azure Log Analytics-werkruimte, waar u de gegevens kunt analyseren, dashboards kunt maken en waarschuwingen kunt ontvangen over specifieke gebeurtenissen.
  • een Azure Event Hub waar u kunt integreren met uw bestaande SIEM-hulpprogramma's, zoals Splunk, Sumologic of QRadar.

Notitie

We hebben onlangs de term Azure Monitor-logboeken gebruikt in plaats van Log Analytics. Logboekgegevens worden nog steeds opgeslagen in een Log Analytics-werkruimte, en worden nog steeds verzameld en geanalyseerd met dezelfde Log Analytics-service. De terminologie wordt bijgewerkt om de rol van logboeken in Azure Monitor beter te weerspiegelen. Zie Wijzigingen in Azure Monitor-terminologie voor meer informatie.

Meer informatie over bewaarbeleid voor rapporten.

Licenties en vereisten voor Azure AD-rapportage en-bewaking

U hebt een premium-licentie van Azure AD nodig om toegang te krijgen tot de logboeken voor Azure AD-aanmelding.

Gedetailleerde informatie over functies en licenties vindt u in de prijsgids voor Azure Active Directory.

Als u Azure AD-bewaking en-rapportage wilt implementeren, hebt u een gebruiker nodig met de rol van globale beheerder of beveiligingsbeheerder voor de Azure AD-tenant.

Afhankelijk van de uiteindelijke bestemming van uw logboekgegevens, hebt u een van de volgende opties nodig:

  • Een Azure-opslagaccount waarop u ListKeys-machtigingen hebt. We raden u aan om een algemeen opslagaccount te gebruiken en geen Blob Storage-account. Zie de Prijscalculator voor Azure Storage voor prijsinformatie over opslag.

  • Een Azure Event Hubs-naamruimte om te integreren met SIEM-oplossingen van derden.

  • Een Azure Log Analytics-werkruimte om logboeken naar Azure Monitor-logboeken te verzenden.

Een Azure-rapportage- en bewakingsimplementatieproject plannen

In dit project definieert u de doelgroepen die rapporten gebruiken en bewaken, en definieert u uw Azure AD-bewakingsarchitectuur.

De juiste belanghebbenden betrekken

Wanneer technologieprojecten mislukken, doen ze dit meestal vanwege niet-overeenkomende verwachtingen over impact, resultaten en verantwoordelijkheden. Om deze valkuilen te voorkomen, moet u ervoor zorgen dat u de juiste belanghebbenden in contact komt. Zorg er ook voor dat belanghebbendenrollen in het project goed worden begrepen door de belanghebbenden en hun projectinvoer en accountabiliteit te documenteren.

De communicatie plannen

Communicatie is essentieel voor het succes van elke nieuwe service. Communiceer proactief met uw gebruikers hoe hun ervaring verandert, wanneer deze verandert en hoe u ondersteuning krijgt als ze problemen ondervinden.

Uw huidige infrastructuur en beleid documenteer

Uw huidige infrastructuur en beleid stimuleren uw rapportage- en bewakingsontwerp. Zorg ervoor dat u weet

  • Wat, indien aanwezig, SIEM-hulpprogramma's die u gebruikt.

  • Uw Azure-infrastructuur, inclusief bestaande opslagaccounts en bewaking die wordt gebruikt.

  • Het bewaarbeleid van uw organisatie voor logboeken, inclusief alle toepasselijke nalevingsframeworks die zijn vereist.

Een Azure AD-rapportage- en bewakingsimplementatie plannen

Rapportage en bewaking worden gebruikt om te voldoen aan uw bedrijfsvereisten, inzicht te krijgen in gebruikspatronen en het beveiligingspostuur van uw organisatie te verhogen.

Bedrijfsgebruiksvoorbeelden

  • Vereist voor oplossing om te voldoen aan bedrijfsbehoeften
  • Leuk om te voldoen aan zakelijke behoeften
  • Niet van toepassing
Gebied Beschrijving
Bewaartermijn Logboekretentie van meer dan 30 dagen. Vanwege wettelijke of zakelijke vereisten is het vereist om auditlogboeken op te slaan en aanmeldingslogboeken van Azure AD langer dan 30 dagen op te slaan.
Analyse De logboeken moeten doorzoekbaar zijn. De opgeslagen logboeken moeten doorzoekbaar zijn met analysehulpprogramma's.
Operational Insights Insights voor verschillende teams. De noodzaak om verschillende gebruikers toegang te geven om operationele inzichten te krijgen, zoals het gebruik van toepassingen, aanmeldingsfouten, selfservicegebruik, trends, enzovoort.
Beveiliging Insights Insights voor verschillende teams. De noodzaak om verschillende gebruikers toegang te geven om operationele inzichten te krijgen, zoals toepassingsgebruik, aanmeldingsfouten, selfservicegebruik, trends, enzovoort.
Integratie in SIEM-systemen SIEM-integratie. De noodzaak om azure AD-aanmeldingslogboeken en auditlogboeken te integreren en te streamen naar bestaande SIEM-systemen.

Een architectuur voor bewakingsoplossingen kiezen

Met Azure AD-bewaking kunt u uw Azure AD-activiteitenlogboeken routeren naar een systeem dat het beste voldoet aan uw bedrijfsbehoeften. U kunt ze vervolgens bewaren voor langetermijnrapportage en analyse om inzicht te krijgen in uw omgeving en deze te integreren met SIEM-hulpprogramma's.

BeslissingsstroomdiagramAn image showing what is described in subsequent sections

Logboeken archiveren in een opslagaccount

Door logboeken naar een Azure-opslagaccount te routeren, kunt u deze langer bewaren dan de standaardretentieperiode die wordt beschreven in ons bewaarbeleid. Gebruik deze methode als u uw logboeken wilt archiveren, maar deze niet hoeft te integreren met een SIEM-systeem en geen lopende query's en analyses nodig hebt. U kunt nog steeds zoekopdrachten op aanvraag uitvoeren.

Ontdek hoe u gegevens routeert naar uw opslagaccount.

Logboeken verzenden naar logboeken van Azure Monitor

Azure Monitor-logboeken consolideren bewakingsgegevens uit verschillende bronnen. Het biedt ook een querytaal en analyse-engine waarmee u inzicht krijgt in de werking van uw toepassingen en het gebruik van resources. Door Azure AD-activiteitenlogboeken te verzenden naar Azure Monitor-logboeken, kunt u snel verzamelde gegevens ophalen, bewaken en waarschuwen. Gebruik deze methode als u geen bestaande SIEM-oplossing hebt waarnaar u uw gegevens rechtstreeks wilt verzenden, maar wel query's en analyses wilt. Zodra uw gegevens zich in Azure Monitor-logboeken bevinden, kunt u deze verzenden naar event hub en van daaruit naar een SIEM als u dat wilt.

Lees meer over het verzenden van gegevens naar de logboeken van Azure Monitor.

U kunt ook de vooraf gebouwde weergaven voor Azure AD-activiteitenlogboeken installeren om veelvoorkomende scenario's te bewaken met aanmeldings- en controlegebeurtenissen.

Ontdek hoe u Log Analytics-weergaven voor activiteitenlogboeken van Azure AD installeert en gebruikt.

Logboeken streamen naar uw Azure Event Hub

Routeringslogboeken naar een Azure Event Hub maakt integratie mogelijk met SIEM-hulpprogramma's van derden. Zo kunt u gegevens van Azure Active Directory-activiteitenlogboeken combineren met andere gegevens die worden beheerd door uw SIEM en meer inzicht krijgen in uw omgeving.

Ontdek hoe u logboeken streamt naar een Event Hub.

Bewerkingen en beveiliging plannen voor Azure AD-rapportage en -bewaking

Belanghebbenden moeten toegang krijgen tot Azure AD-logboeken om operationele inzichten te verkrijgen. Waarschijnlijke gebruikers omvatten leden van het beveiligingsteam, interne of externe auditors en het operations-team voor identiteits- en toegangsbeheer.

Met Azure AD-rollen kunt u de mogelijkheid voor het configureren en weergeven van Azure AD-rapporten delegeren op basis van uw rol. Bepaal wie in uw organisatie machtigingen nodig heeft om Azure AD-rapporten te lezen en welke rol voor hen geschikt is.

De volgende rollen kunnen Azure AD-rapporten lezen:

  • Globale beheerder

  • Beveiligingsbeheerder

  • Beveiligingslezer

  • Rapportlezer

Meer informatie over Azure AD-beheerdersrollen.

Pas altijd het concept van minimale bevoegdheden toe om het risico van een accountcompromittatie te verminderen. Overweeg het implementeren van Privileged Identity Management om uw organisatie verder te beveiligen.

Azure AD-rapportage en -bewaking implementeren

Afhankelijk van de beslissingen die u eerder hebt genomen met behulp van de bovenstaande ontwerprichtlijnen, wordt u in deze sectie begeleid bij de documentatie over de verschillende implementatieopties.

Azure AD-logboeken gebruiken en archiveren

Activiteitenrapporten zoeken in de Azure-portal

Azure AD-logboeken archiveren naar een Azure Storage-account

Bewaking en analyse implementeren

Logboeken verzenden naar Azure Monitor

De Log Analytics-weergaven voor Azure Active Directory installeren en gebruiken

Azure AD-activiteitenlogboeken analyseren met Azure Monitor-logboeken

Volgende stappen

Overweeg Privileged Identity Management te implementeren

Overweeg het implementeren van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)