Een Azure Active Directory-implementatie van rapportage en bewaking plannen

Uw rapportage- en bewakingsoplossing van Azure Active Directory (Azure AD) is afhankelijk van uw juridische, beveiligings- en operationele vereisten en uw bestaande omgeving en processen. Dit artikel bevat de verschillende ontwerpopties en begeleidt u bij de juiste implementatiestrategie.

Voordelen van rapportage en bewaking van Azure AD

Azure AD rapportage biedt een uitgebreide weergave en logboeken van Azure AD activiteiten in uw omgeving, waaronder aanmeldingsgebeurtenissen, controlegebeurtenissen en wijzigingen in uw directory.

Met de gegevens kunt u het volgende doen:

  • bepalen hoe uw apps en services worden gebruikt;

  • potentiĆ«le risico's detecteren die van invloed zijn op de status van uw omgeving;

  • problemen oplossen waardoor uw gebruikers hun werk niet kunnen doen;

  • inzicht krijgen door auditgebeurtenissen van wijzigingen aan uw Azure AD-directory te bekijken.

Belangrijk

Met Azure AD-bewaking kunt u uw logboeken die door Azure AD-rapportage zijn gegenereerd, naar verschillende doelsystemen routeren. U kunt deze vervolgens behouden voor later gebruik of integreren met SIEM-hulpprogramma's (Security Information and Event Management) van derden om meer inzicht in uw omgeving te verkrijgen.

Met Azure AD-bewaking kunt u logboeken routeren naar:

  • een Azure-opslagaccount voor archiveringsdoeleinden;
  • Azure Monitor-logboeken, voorheen bekend als Azure Log Analytics-werkruimte, waar u de gegevens kunt analyseren, dashboards kunt maken en waarschuwingen kunt ontvangen over specifieke gebeurtenissen;
  • een Azure Event Hub, waar u kunt integreren met uw bestaande SIEM-hulpprogramma's, zoals Splunk, Sumologic of QRadar.

Notitie

We zijn onlangs begonnen met het gebruik van de term Azure Monitor-logboeken in plaats van Log Analytics. Logboekgegevens worden nog steeds opgeslagen in een Log Analytics-werkruimte, en worden nog steeds verzameld en geanalyseerd met dezelfde Log Analytics-service. De terminologie wordt bijgewerkt om de rol van logboeken in Azure Monitor beter te weerspiegelen. Zie Wijzigingen in Azure Monitor-terminologie voor meer informatie.

Meer informatie over het retentiebeleid voor rapporten.

Licenties en vereisten voor Azure AD-rapportage en-bewaking

U hebt een Azure AD Premium-licentie nodig om toegang te krijgen tot de aanmeldingslogboeken van Azure AD.

Gedetailleerde informatie over functies en licenties vindt u in de prijsgids voor Azure Active Directory.

Als u Azure AD-bewaking en-rapportage wilt implementeren, hebt u een gebruiker nodig met de rol van globale beheerder of beveiligingsbeheerder voor de Azure AD-tenant.

Afhankelijk van de uiteindelijke bestemming van uw logboekgegevens, hebt u een van de volgende opties nodig:

  • Een Azure-opslagaccount waarop u ListKeys-machtigingen hebt. We raden u aan om een algemeen opslagaccount te gebruiken en geen Blob Storage-account. Zie de Prijscalculator voor Azure Storage voor prijsinformatie over opslag.

  • Een Azure Event Hubs-naamruimte om te integreren met SIEM-oplossingen van derden.

  • Een Azure Log Analytics-werkruimte om logboeken naar Azure Monitor-logboeken te verzenden.

Een Azure-implementatieproject voor rapportage en bewaking plannen

In dit project definieert u de doelgroepen die rapporten gebruiken en bewaken, en definieert u uw Azure AD-bewakingsarchitectuur.

De juiste belanghebbenden inschakelen

Wanneer technologieprojecten mislukken, gebeurt dit meestal vanwege niet-overeenkomende verwachtingen met betrekking tot het effect, de resultaten en de verantwoordelijkheden. U kunt deze valkuilen voorkomen door ervoor te zorgen dat u de juiste belanghebbenden inschakelt. Zorg er ook voor dat de rollen van belanghebbenden in het project goed worden begrepen door de belanghebbenden en hun projectinbreng en verantwoordelijkheden te documenteren.

De communicatie plannen

Communicatie is essentieel voor het succes van elke nieuwe service. Communiceer proactief aan uw gebruikers hoe hun ervaring zal veranderen, wanneer deze zal veranderen en hoe ze ondersteuning krijgen als ze problemen ondervinden.

Uw huidige infrastructuur en beleid documenteren

Uw huidige infrastructuur en beleid zijn de motor achter uw rapportage- en bewakingsontwerp. U dient het volgende te weten:

  • Wat de SIEM-hulpprogramma's die u eventueel gebruikt.

  • Uw Azure-infrastructuur, inclusief bestaande opslagaccounts en de gebruikte bewaking.

  • Het bewaarbeleid in uw organisatie voor logboeken, inclusief eventuele vereiste en toepasselijke frameworks voor naleving.

Een Azure AD-implementatie voor rapportage en bewaking plannen

Rapportage en bewaking worden gebruikt om te voldoen aan uw bedrijfsvereisten, inzicht te krijgen in gebruikspatronen en de stand van uw beveiliging van uw organisatie te verhogen.

Zakelijke use-cases

  • Vereist voor oplossing om te voldoen aan bedrijfsbehoeften
  • Leuk om te moeten voldoen aan bedrijfsbehoeften
  • Niet van toepassing
Gebied Beschrijving
Bewaartermijn Logboekretentie van meer dan dertig dagen. Vanwege wettelijke of zakelijke vereisten is het vereist om auditlogboeken en aanmeldingslogboeken van Azure AD langer dan 30 dagen op te slaan.
Analyse De logboeken moeten doorzoekbaar zijn. De opgeslagen logboeken moeten doorzoekbaar zijn met analysehulpprogramma's.
Operational Insights Inzichten voor verschillende teams. De noodzaak om verschillende gebruikers toegang te geven om operationele inzichten te verkrijgen, zoals toepassingsgebruik, aanmeldingsfouten, self-servicegebruik, trends, enzovoort.
Beveiligingsinzichten Inzichten voor verschillende teams. De noodzaak om verschillende gebruikers toegang te geven om operationele inzichten te verkrijgen, zoals toepassingsgebruik, aanmeldingsfouten, self-servicegebruik, trends, enzovoort.
Integratie in SIEM-systemen SIEM-integratie. De noodzaak om Azure AD aanmeldingslogboeken en auditlogboeken te integreren en te streamen naar bestaande SIEM-systemen.

Een architectuur voor een bewakingsoplossing kiezen

Met Azure AD-bewaking kunt u uw Azure AD-activiteitenlogboeken routeren naar een systeem dat het beste aan uw bedrijfsbehoeften voldoet. U kunt deze vervolgens bewaren voor langetermijnrapportage en -analyse om inzicht te krijgen in uw omgeving en deze te integreren met SIEM-hulpprogramma's.

BeslissingsstroomdiagramEen afbeelding van wat in de volgende secties wordt beschreven

Logboeken archiveren in een opslagaccount

Door logboeken naar een Azure Storage-account te routeren, kunt u deze langer bewaren dan de standaardbewaartermijn die wordt beschreven in ons bewaarbeleid. Gebruik deze methode als u uw logboeken wilt archiveren, maar deze niet hoeft te integreren met een SIEM-systeem en u geen lopende query's en analyses nodig hebt. U kunt nog steeds zoekopdrachten op aanvraag uitvoeren.

Ontdek hoe u gegevens routeert naar uw opslagaccount.

Logboeken verzenden naar logboeken van Azure Monitor

In Azure Monitor-logboeken worden bewakingsgegevens uit verschillende bronnen samengevoegd. Het biedt tevens een querytaal en een analyseprogramma waardoor u inzicht krijgt in de werking van uw toepassingen en het gebruik van uw resources. Door Azure AD-activiteitenlogboeken naar Azure Monitor-logboeken te verzenden, kunt u snel verzamelde gegevens ophalen en controleren en er waarschuwingen voor afgeven. Gebruik deze methode als u geen bestaande SIEM-oplossing hebt waarnaar u uw gegevens rechtstreeks wilt verzenden, maar u wel query's en analyses wilt. Zodra uw gegevens zich in Azure Monitor-logboeken bevinden, kunt u deze verzenden naar event hub en van daaruit desgewenst naar een SIEM.

Lees meer over het verzenden van gegevens naar de logboeken van Azure Monitor.

U kunt ook de vooraf gemaakte weergaven voor Azure AD activiteitenlogboeken installeren om veelvoorkomende scenario's met betrekking tot aanmeldings- en controlegebeurtenissen te bewaken.

Ontdek hoe u Log Analytics-weergaven voor activiteitenlogboeken van Azure AD installeert en gebruikt.

Logboeken naar uw Azure Event Hub streamen

Als u logboeken naar een Azure Event Hub routeert, kunt u integreren met een extern SIEM-programma. Zo kunt u gegevens van Azure Active Directory-activiteitenlogboeken combineren met andere gegevens die worden beheerd door uw SIEM en meer inzicht krijgen in uw omgeving.

Ontdek hoe u logboeken streamt naar een Event Hub.

Bewerkingen en beveiliging plannen voor Azure AD-rapportage en -bewaking

Belanghebbenden moeten toegang krijgen tot Azure AD-logboeken om operationele inzichten te verkrijgen. Vermoedelijke gebruikers zijn onder anderen leden van het beveiligingsteam, interne of externe auditors en leden van het operations-team voor identiteits- en toegangsbeheer.

Met Azure AD-rollen kunt u de mogelijkheid delegeren Azure AD-rapporten te configureren en weer te geven op basis van uw rol. Bepaal wie in uw organisatie toestemming nodig heeft om Azure AD-rapporten te lezen en welke rol voor hen geschikt is.

De volgende rollen kunnen Azure AD-rapporten lezen:

  • Globale beheerder

  • Beveiligingsbeheerder

  • Beveiligingslezer

  • Rapportenlezer

Meer informatie over Azure AD-beheerdersrollen.

Pas altijd het concept van minimale bevoegdheden toe om het risico op misbruik van accounts te verkleinen. Overweeg het implementeren van Privileged Identity Management om uw organisatie verder te beveiligen.

Rapportage en bewaking van Azure AD implementeren

Afhankelijk van de beslissingen die u eerder hebt genomen met behulp van de bovenstaande ontwerprichtlijnen, kunt u aan de hand van deze sectie de documentatie over de verschillende implementatieopties doorlopen.

Azure AD-logboeken gebruiken en archiveren

Activiteitenrapporten zoeken in de Azure-portal

Azure AD-logboeken archiveren in een Azure Storage-account

Bewaking en analyse implementeren

Logboeken verzenden naar Azure Monitor

De weergaven voor de logboekanalyse voor Azure Active Directory installeren en gebruiken

Azure AD-activiteitenlogboeken analyseren met Azure Monitor-logboeken

Volgende stappen

Overweeg het implementeren van Privileged Identity Management

Overweeg om op rollen gebaseerd toegangsbeheer van Azure te implementeren