Integraties van Microsoft Entra-activiteitenlogboeken

Met diagnostische instellingen in Microsoft Entra-id kunt u activiteitenlogboeken routeren naar verschillende eindpunten voor langetermijnretentie en inzichten. U kunt logboeken archiveren voor opslag, routeren naar SIEM-hulpprogramma's (Security Information and Event Management) en logboeken integreren met Azure Monitor-logboeken.

Met deze integraties kunt u uitgebreide visualisaties, bewaking en waarschuwingen voor de verbonden gegevens inschakelen. In dit artikel worden de aanbevolen toepassingen voor elk integratietype of elke toegangsmethode beschreven. Kostenoverwegingen voor het verzenden van Microsoft Entra-activiteitenlogboeken naar verschillende eindpunten worden ook behandeld.

Ondersteunde rapporten

De volgende logboeken kunnen worden geïntegreerd met een van de vele eindpunten:

• Het activiteitenrapport van auditlogboeken geeft u toegang tot de geschiedenis van elke taak die in uw tenant wordt uitgevoerd.
• Met het aanmeldingsactiviteitenrapport kunt u zien wanneer gebruikers zich proberen aan te melden bij uw toepassingen of aanmeldingsfouten op te lossen.
• Met de inrichtingslogboeken kunt u controleren welke gebruikers zijn gemaakt, bijgewerkt en verwijderd in al uw toepassingen van derden.
• De logboeken van riskante gebruikers helpen u bij het bewaken van wijzigingen in het niveau van gebruikersrisico's en herstelactiviteiten.
• Met de logboeken voor risicodetectie kunt u de risicodetecties van gebruikers bewaken en trends in risicoactiviteit analyseren die in uw organisatie zijn gedetecteerd.

Integratieopties

Als u wilt helpen bij het kiezen van de juiste methode voor het integreren van Microsoft Entra-activiteitenlogboeken voor opslag of analyse, moet u nadenken over de algehele taak die u probeert uit te voeren. We hebben de opties gegroepeerd in drie hoofdcategorieën:

• Problemen oplossen
• Langetermijnopslag
• Analyse en bewaking

Problemen oplossen

Als u probleemoplossingstaken uitvoert, maar u de logboeken niet langer dan 30 dagen hoeft te bewaren, raden we u aan om Azure Portal of Microsoft Graph te gebruiken voor toegang tot activiteitenlogboeken. U kunt de logboeken voor uw scenario filteren en ze indien nodig exporteren of downloaden.

Als u probleemoplossingstaken uitvoert en u de logboeken langer dan 30 dagen wilt bewaren, bekijkt u de langetermijnopslagopties.

Langetermijnopslag

Als u probleemoplossingstaken uitvoert en u de logboeken langer dan 30 dagen wilt bewaren, kunt u uw logboeken exporteren naar een Azure-opslagaccount. Deze optie is ideaal als u niet van plan bent om query's uit te voeren op die gegevens.

Als u meer dan 30 dagen een query wilt uitvoeren op de gegevens die u bewaart, bekijkt u de analyse- en bewakingsopties.

Analyse en bewaking

Als uw scenario vereist dat u gegevens langer dan 30 dagen bewaart en u van plan bent om regelmatig query's uit te voeren op die gegevens, hebt u een aantal opties om uw gegevens te integreren met SIEM-hulpprogramma's voor analyse en bewaking.

Als u een SIEM-hulpprogramma van derden hebt, raden we u aan een Event Hubs-naamruimte en Event Hub in te stellen waarmee u uw gegevens kunt streamen. Met een Event Hub kunt u logboeken streamen naar een van de ondersteunde SIEM-hulpprogramma's.

Als u niet van plan bent om een SIEM-hulpprogramma van derden te gebruiken, raden we u aan uw Microsoft Entra-activiteitenlogboeken naar Azure Monitor-logboeken te verzenden. Met deze integratie kunt u query's uitvoeren op uw activiteitenlogboeken met Log Analytics. Naast Azure Monitor-logboeken biedt Microsoft Sentinel bijna realtime beveiligingsdetectie en opsporing van bedreigingen. Als u later besluit om te integreren met SIEM-hulpprogramma's, kunt u uw Microsoft Entra-activiteitenlogboeken samen met uw andere Azure-gegevens streamen via een Event Hub.

Kostenoverwegingen

Er zijn kosten verbonden aan het verzenden van gegevens naar een Log Analytics-werkruimte, het archiveren van gegevens in een opslagaccount of het streamen van logboeken naar een Event Hub. De hoeveelheid gegevens en de gemaakte kosten kunnen aanzienlijk variëren, afhankelijk van de grootte van de tenant, het aantal beleidsregels dat wordt gebruikt en zelfs het tijdstip van de dag.

Omdat de grootte en kosten voor het verzenden van logboeken naar een eindpunt moeilijk te voorspellen zijn, is de meest nauwkeurige manier om uw verwachte kosten te bepalen door uw logboeken te routeren naar een eindpunt voor dag of twee. Met deze momentopname kunt u een nauwkeurige voorspelling krijgen voor uw verwachte kosten. U kunt ook een schatting van uw kosten krijgen door een voorbeeld van uw logboeken te downloaden en dienovereenkomstig te vermenigvuldigen om een schatting voor één dag te krijgen.

Andere overwegingen voor het verzenden van Microsoft Entra-logboeken naar Azure Monitor-logboeken worden behandeld in de volgende artikelen met azure Monitor-kostendetails:

• Kostenberekeningen en opties voor Azure Monitor-logboeken
• Kosten en gebruik van Azure Monitor
• Kosten optimaliseren in Azure Monitor

Azure Monitor biedt de mogelijkheid om hele gebeurtenissen, velden of delen van velden uit te sluiten bij het opnemen van logboeken van Microsoft Entra-id. Meer informatie over deze kostenbesparingsfunctie in gegevensverzamelingstransformatie in Azure Monitor.

Uw kosten schatten

Als u de kosten voor uw organisatie wilt schatten, kunt u de dagelijkse logboekgrootte of de dagelijkse kosten voor het integreren van uw logboeken met een eindpunt schatten.

De volgende factoren kunnen van invloed zijn op de kosten voor uw organisatie:

• Auditlogboekgebeurtenissen gebruiken ongeveer 2 kB aan gegevensopslag
• Aanmeldingslogboekgebeurtenissen gebruiken gemiddeld 11,5 kB aan gegevensopslag
• Een tenant van ongeveer 100.000 gebruikers kan ongeveer 1,5 miljoen gebeurtenissen per dag in rekening worden gebracht
• Gebeurtenissen worden in batches van ongeveer 5 minuten gebatcheerd en verzonden als één bericht dat alle gebeurtenissen binnen dat tijdsbestek bevat

Dagelijkse logboekgrootte

Als u de dagelijkse logboekgrootte wilt schatten, verzamelt u een voorbeeld van uw logboeken, past u het voorbeeld aan met de grootte en instellingen van uw tenant en past u dat voorbeeld vervolgens toe op de Azure-prijscalculator.

Als u nog geen logboeken hebt gedownload uit het Microsoft Entra-beheercentrum, raadpleegt u het artikel Logboeken downloaden in Microsoft Entra ID . Afhankelijk van de grootte van uw organisatie moet u mogelijk een andere steekproefgrootte kiezen om uw schatting te starten. De volgende voorbeeldgrootten zijn een goede plek om te beginnen:

• 1000 records
• Voor grote tenants 15 minuten aan aanmeldingen
• Voor kleine tot middelgrote tenants 1 uur aan aanmeldingen

U moet ook rekening houden met de geografische distributie en piekuren van uw gebruikers wanneer u uw gegevensvoorbeeld vastlegt. Als uw organisatie zich in één regio bevindt, is het waarschijnlijk dat aanmeldingen rond dezelfde tijd pieken. Pas de grootte van uw voorbeeld aan en wanneer u het voorbeeld dienovereenkomstig vastlegt.

Met het vastgelegde gegevensvoorbeeld vermenigvuldigt u dienovereenkomstig om erachter te komen hoe groot het bestand voor één dag zou zijn.

De dagelijkse kosten schatten

Als u wilt weten hoeveel een logboekintegratie voor uw organisatie kan kosten, kunt u een integratie voor een dag of twee inschakelen. Gebruik deze optie als uw budget de tijdelijke verhoging toestaat.

Als u een logboekintegratie wilt inschakelen, volgt u de stappen in het artikel Activiteitenlogboeken integreren met Azure Monitor-logboeken . Maak indien mogelijk een nieuwe resourcegroep voor de logboeken en het eindpunt dat u wilt uitproberen. Als u een toegewijde resourcegroep hebt, kunt u de kostenanalyse eenvoudig bekijken en vervolgens verwijderen wanneer u klaar bent.

Als de integratie is ingeschakeld, navigeert u naar de Kostenanalyse> van Azure Portal.> Er zijn verschillende manieren om kosten te analyseren. Deze quickstart voor Cost Management helpt u om aan de slag te gaan. De afbeeldingen in de volgende schermopname worden bijvoorbeeld gebruikt en zijn niet bedoeld om de werkelijke bedragen weer te geven.

Zorg ervoor dat u uw nieuwe resourcegroep als bereik gebruikt. Bekijk de dagelijkse kosten en prognoses om een idee te krijgen van hoeveel uw logboekintegratie zou kunnen kosten.

Geschatte kosten berekenen

Op de landingspagina van de Azure-prijscalculator kunt u de kosten voor verschillende producten schatten.

• Azure Monitor
• Azure Storage
• Azure Event Hubs
• Microsoft Sentinel

Wanneer u een schatting hebt voor de GB/dag die naar een eindpunt wordt verzonden, voert u die waarde in de Azure-prijscalculator in. De cijfers in de volgende schermopname worden bijvoorbeeld gebruikt en zijn niet bedoeld om de werkelijke prijzen weer te geven.

Volgende stappen

• Een opslagaccount maken
• Activiteitenlogboeken in een opslagaccount archiveren
• Activiteitenlogboeken doorsturen naar een Event Hub
• Activiteitenlogboeken integreren met Azure Monitor