Planowanie wdrożenia raportowania i monitorowania Azure Active Directory

Rozwiązanie do raportowania i monitorowania Azure Active Directory (Azure AD) zależy od wymagań prawnych, zabezpieczeń i operacyjnych oraz istniejących środowisk i procesów. W tym artykule przedstawiono różne opcje projektowania i przeprowadzi Cię do właściwej strategii wdrażania.

Korzyści wynikające z raportowania i monitorowania usługi Azure AD

Raportowanie usługi Azure AD zapewnia kompleksowy widok i dzienniki aktywności usługi Azure AD w środowisku, w tym zdarzenia logowania, zdarzenia inspekcji i zmiany w katalogu.

Na podstawie udostępnionych danych można:

  • określ sposób użycia aplikacji i usług.

  • wykryć potencjalne zagrożenia wpływające na kondycję środowiska.

  • rozwiązywanie problemów uniemożliwiających użytkownikom wykonywanie pracy.

  • uzyskiwanie szczegółowych informacji dzięki wyświetlaniu zdarzeń inspekcji zmian w katalogu usługi Azure AD.

Ważne

Monitorowanie usługi Azure AD umożliwia kierowanie dzienników generowanych przez raportowanie usługi Azure AD do różnych systemów docelowych. Możesz następnie przechowywać je na potrzeby długoterminowego użytkowania lub zintegrować je z narzędziami do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) innych firm, aby uzyskać wgląd w środowisko.

Monitorowanie usługi Azure AD umożliwia kierowanie dzienników do:

  • konto usługi Azure Storage do celów archiwalnych.
  • Dzienniki usługi Azure Monitor, wcześniej znane jako obszar roboczy usługi Azure Log Analytics, w którym można analizować dane, tworzyć pulpity nawigacyjne i alerty dotyczące określonych zdarzeń.
  • centrum zdarzeń platformy Azure, w którym można zintegrować się z istniejącymi narzędziami SIEM, takimi jak Splunk, Sumologic lub QRadar.

Uwaga

Niedawno zaczęliśmy używać terminu Dzienniki usługi Azure Monitor zamiast usługi Log Analytics. Dane dzienników są nadal przechowywane w obszarze roboczym usługi Log Analytics i są nadal zbierane i analizowane przez tę samą usługę Log Analytics. Aktualizujemy terminologię, aby lepiej odzwierciedlać rolę dzienników w usłudze Azure Monitor. Aby uzyskać szczegółowe informacje, zobacz Zmiany terminologii usługi Azure Monitor .

Dowiedz się więcej o zasadach przechowywania raportów.

Licencjonowanie i wymagania wstępne dotyczące raportowania i monitorowania usługi Azure AD

Aby uzyskać dostęp do dzienników logowania usługi Azure AD, potrzebna jest licencja premium usługi Azure AD.

Aby uzyskać szczegółowe informacje dotyczące funkcji i licencjonowania w przewodniku Azure Active Directory cenniku.

Aby wdrożyć monitorowanie i raportowanie usługi Azure AD, musisz mieć użytkownika, który jest administratorem globalnym lub administratorem zabezpieczeń dzierżawy usługi Azure AD.

W zależności od końcowego miejsca docelowego danych dziennika potrzebne są następujące elementy:

  • Konto usługi Azure Storage, do którego masz uprawnienia ListKeys. Zalecamy używanie konta magazynu ogólnego, a nie konta magazynu obiektów blob. Informacje o cenach magazynu można znaleźć na stronie kalkulatora cen usługi Azure Storage.

  • Przestrzeń nazw Azure Event Hubs do integracji z rozwiązaniami SIEM innych firm.

  • Obszar roboczy usługi Azure Log Analytics do wysyłania dzienników do dzienników usługi Azure Monitor.

Planowanie projektu wdrażania raportowania i monitorowania platformy Azure

W tym projekcie zdefiniujesz odbiorców, którzy będą używać i monitorować raporty, oraz zdefiniować architekturę monitorowania usługi Azure AD.

Angażowanie odpowiednich uczestników projektu

Gdy projekty technologiczne kończą się niepowodzeniem, zazwyczaj robią to z powodu niezgodności oczekiwań dotyczących wpływu, wyników i obowiązków. Aby uniknąć tych pułapek, upewnij się, że angażujesz odpowiednie osoby biorące udział w projekcie. Upewnij się również, że role uczestników projektu są dobrze zrozumiałe przez dokumentowanie uczestników projektu oraz ich danych wejściowych i księgowych.

Planowanie komunikacji

Komunikacja ma kluczowe znaczenie dla sukcesu każdej nowej usługi. Proaktywnie komunikować się z użytkownikami, jak zmieni się ich środowisko, kiedy zmieni się i jak uzyskać pomoc techniczną, jeśli wystąpią problemy.

Dokumentowanie bieżącej infrastruktury i zasad

Bieżąca infrastruktura i zasady będą napędzać projekt raportowania i monitorowania. Upewnij się, że wiesz

  • Co, jeśli istnieje, używane narzędzia SIEM.

  • Infrastruktura platformy Azure, w tym istniejące konta magazynu i używane monitorowanie.

  • Zasady przechowywania organizacji dla dzienników, w tym wszelkie wymagane odpowiednie struktury zgodności.

Planowanie wdrożenia raportowania i monitorowania usługi Azure AD

Raportowanie i monitorowanie są używane do spełniania wymagań biznesowych, uzyskiwania wglądu w wzorce użycia i zwiększania poziomu zabezpieczeń organizacji.

Przypadki użycia biznesowego

  • Wymagane do rozwiązania spełniającego potrzeby biznesowe
  • Miło, aby spełnić potrzeby biznesowe
  • Nie dotyczy
Obszar Opis
Przechowywanie Przechowywanie dziennika wynosi ponad 30 dni. Ze względu na wymagania prawne lub biznesowe wymagane jest przechowywanie dzienników inspekcji i logowanie dzienników usługi Azure AD dłużej niż 30 dni.
Analiza Dzienniki muszą być przeszukiwalne. Przechowywane dzienniki muszą być przeszukiwalne za pomocą narzędzi analitycznych.
Operational Insights Szczegółowe informacje dla różnych zespołów. Konieczność udzielenia dostępu różnym użytkownikom w celu uzyskania szczegółowych informacji operacyjnych, takich jak użycie aplikacji, błędy logowania, samoobsługowe użycie, trendy itp.
Szczegółowe informacje zabezpieczeń Szczegółowe informacje dla różnych zespołów. Konieczność udzielenia dostępu różnym użytkownikom w celu uzyskania szczegółowych informacji operacyjnych, takich jak użycie aplikacji, błędy logowania, samoobsługowe użycie, trendy itp.
Integracja w systemach SIEM Integracja rozwiązania SIEM. Konieczność integracji i przesyłania strumieniowego dzienników logowania usługi Azure AD oraz dzienników inspekcji do istniejących systemów SIEM.

Wybieranie architektury rozwiązania do monitorowania

Monitorowanie usługi Azure AD umożliwia kierowanie dzienników aktywności usługi Azure AD do systemu, który najlepiej spełnia twoje potrzeby biznesowe. Następnie można je zachować w celu długoterminowego raportowania i analizy, aby uzyskać wgląd w środowisko i zintegrować je z narzędziami SIEM.

Schemat blokowy decyzyjnyAn image showing what is described in subsequent sections

Archiwizowanie dzienników na koncie magazynu

Przez kierowanie dzienników do konta usługi Azure Storage można je przechowywać przez dłuższy niż domyślny okres przechowywania opisany w naszych zasadach przechowywania. Użyj tej metody, jeśli musisz zarchiwizować dzienniki, ale nie musisz ich integrować z systemem SIEM i nie potrzebujesz ciągłych zapytań i analizy. Nadal możesz wykonywać wyszukiwania na żądanie.

Dowiedz się, jak kierować dane do konta magazynu.

Wysyłanie dzienników do dzienników usługi Azure Monitor

Dzienniki usługi Azure Monitor konsoliduje dane monitorowania z różnych źródeł. Udostępnia również język zapytań i aparat analityczny, który zapewnia wgląd w działanie aplikacji i korzystanie z zasobów. Wysyłając dzienniki aktywności usługi Azure AD do dzienników usługi Azure Monitor, można szybko pobierać, monitorować i alerty dotyczące zebranych danych. Użyj tej metody, jeśli nie masz istniejącego rozwiązania SIEM, do którego chcesz wysyłać dane bezpośrednio, ale chcesz wykonywać zapytania i analizy. Gdy dane znajdują się w dziennikach usługi Azure Monitor, możesz wysłać je do centrum zdarzeń i stamtąd do rozwiązania SIEM, jeśli chcesz.

Dowiedz się, jak wysyłać dane do dzienników usługi Azure Monitor.

Możesz również zainstalować wstępnie utworzone widoki dzienników aktywności usługi Azure AD, aby monitorować typowe scenariusze związane z logowaniem i zdarzeniami inspekcji.

Dowiedz się, jak zainstalować widoki analizy dzienników dla dzienników aktywności usługi Azure AD i używać ich.

Przesyłanie strumieniowe dzienników do centrum zdarzeń platformy Azure

Routing dzienników do centrum zdarzeń platformy Azure umożliwia integrację z narzędziami SIEM innych firm. Ta integracja pozwala połączyć dane dzienników aktywności usługi Azure AD z innymi danymi zarządzanymi przez rozwiązania SIEM, co zapewnia lepszy wgląd w środowisko.

Dowiedz się, jak wysyłać strumieniowo dzienniki do centrum zdarzeń.

Planowanie operacji i zabezpieczeń na potrzeby raportowania i monitorowania usługi Azure AD

Uczestnicy projektu muszą uzyskać dostęp do dzienników usługi Azure AD w celu uzyskania szczegółowych informacji operacyjnych. Prawdopodobnie użytkownicy obejmują członków zespołu ds. zabezpieczeń, wewnętrznych lub zewnętrznych audytorów oraz zespół operacyjny ds. zarządzania tożsamościami i dostępem.

Role usługi Azure AD umożliwiają delegowanie możliwości konfigurowania i wyświetlania raportów usługi Azure AD na podstawie twojej roli. Zidentyfikuj, kto w organizacji potrzebuje uprawnień do odczytywania raportów usługi Azure AD i jakiej roli będzie dla nich odpowiedni.

Następujące role mogą odczytywać raporty usługi Azure AD:

  • Administrator globalny

  • Administrator zabezpieczeń

  • Czytelnik zabezpieczeń

  • Czytelnik raportów

Dowiedz się więcej o rolach administracyjnych usługi Azure AD.

Zawsze stosuj koncepcję najmniejszych uprawnień, aby zmniejszyć ryzyko naruszenia zabezpieczeń konta. Rozważ wdrożenie Privileged Identity Management, aby jeszcze bardziej zabezpieczyć organizację.

Wdrażanie raportowania i monitorowania usługi Azure AD

W zależności od decyzji podjętych wcześniej przy użyciu powyższych wskazówek projektowych ta sekcja przeprowadzi Cię do dokumentacji dotyczącej różnych opcji wdrażania.

Korzystanie z dzienników usługi Azure AD i archiwizowanie ich

Znajdowanie raportów dotyczących aktywności w witrynie Azure Portal

Archiwizowanie dzienników usługi Azure AD na koncie usługi Azure Storage

Implementowanie monitorowania i analizy

Wysyłanie dzienników do usługi Azure Monitor

Instalowanie i używanie widoków usługi Log Analytics dla Azure Active Directory

Analizowanie dzienników aktywności usługi Azure AD z dziennikami usługi Azure Monitor

Następne kroki

Rozważ wdrożenie Privileged Identity Management

Rozważ zaimplementowanie kontroli dostępu opartej na rolach platformy Azure (Azure RBAC)