Konfigurowanie usługi Azure Monitor w dzierżawach zewnętrznych

Dotyczy: Dzierżawy zewnętrzne (dowiedz się więcej)

Usługa Azure Monitor udostępnia kompleksowe rozwiązanie do zbierania, analizowania i reagowania na dane monitorowania z chmury i środowisk lokalnych. Ustawienia diagnostyczne monitorowanego zasobu określają, jakie dane mają być wysyłane i gdzie je wysłać. W przypadku firmy Microsoft Entra możesz wysyłać dane do usługi Azure Storage, Log Analytics lub Azure Event Hubs.

Podczas przenoszenia dzienników dzierżawy zewnętrznych do innych rozwiązań monitorowania lub lokalizacji przechowywania należy pamiętać, że te dzienniki mogą zawierać dane osobowe. Podczas przetwarzania danych osobowych należy użyć odpowiednich środków zabezpieczeń, aby je chronić. Środki te powinny zapobiegać nieautoryzowanemu lub bezprawnemu przetwarzaniu przy użyciu odpowiednich zabezpieczeń technicznych i organizacyjnych.

W tym artykule opisano, jak skonfigurować usługę Azure Monitor w zewnętrznej dzierżawie, aby móc zbierać i analizować dane w swojej dzierżawie. Wyjaśniono również, jak skonfigurować ustawienia diagnostyczne w celu wysyłania dzienników i metryk do obszaru roboczego usługi Log Analytics w dzierżawie pracowników.

Omówienie wdrażania

Zewnętrzni najemcy używają monitorowania Microsoft Entra. W przeciwieństwie do dzierżawców kadrowych, dzierżawca zewnętrzny nie może mieć powiązanej subskrypcji. Aby włączyć monitorowanie w zewnętrznej dzierżawie, zaloguj się do swojej dzierżawy roboczej, aby uwierzytelnić subskrypcję podczas konfiguracji.
Możesz również użyć usługi Azure Lighthouse , aby włączyć ustawienia diagnostyczne dla dzierżawy pracowników (klienta) w ramach dzierżawy zewnętrznej (dostawcy usług).

W tej konfiguracji użyjesz kreatora. Kreatora można uruchomić z jednego z następujących punktów wejścia: na stronie Ustawienia diagnostyczne lub na stronie Magazyn zabezpieczeń . W tym artykule opisano oba podejścia.

Wymagania wstępne

• Subskrypcja platformy Azure. Jeśli go nie masz, przed rozpoczęciem utwórz bezpłatne konto .
• Konto Microsoft Entra z rolą Właściciel w subskrypcji Microsoft Entra.
• Konto w dzierżawie zewnętrznej, któremu przypisano rolę Administrator zabezpieczeń lub Administrator aplikacji .

Ważne

Ta funkcja obsługuje tylko nową rolę właściciela kontroli dostępu (RBAC) platformy Azure Role-Based, a nie ról administratora klasycznego. Aby uzyskać instrukcje dotyczące konwertowania ról administratora klasycznego na Azure RBAC, zobacz Klasyczni administratorzy subskrypcji Azure. Po zakończeniu konwersji odśwież stronę, aby zastosować zmiany.

Uruchom kreatora do skonfigurowania usługi Azure Lighthouse

Aby skonfigurować usługę Azure Lighthouse w dzierżawie zewnętrznej, uruchom kreatora na stronie Ustawienia diagnostyczne lub Security Store. Wybierz jedną z poniższych kart z punktami wejścia, aby rozpocząć pracę.

Ustawienia diagnostyczne

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra.
2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu i przejdź do twojej dzierżawy zewnętrznej z menu Katalogi + subskrypcje.
3. Przejdź do Entra ID w swojej dzierżawie zewnętrznej i wybierz Monitorowanie i kondycję oraz ustawienia diagnostyczne.
4. Wybierz Rozpocznij konfigurację, aby uruchomić kreatora.

Magazyn zabezpieczeń

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra.
2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu i przejdź do twojej dzierżawy zewnętrznej z menu Katalogi + subskrypcje.
3. Przejdź do Strona główna>Sklep z zabezpieczeniami>Monitoruj dzienniki za pomocą Azure Monitor.
4. Wybierz pozycję Rozpocznij , aby otworzyć stronę Ustawienia diagnostyczne . Jeśli monitorowanie platformy Azure jest już skonfigurowane, możesz wybrać pozycję Wyświetl dzienniki , aby otworzyć środowisko dzienników.
5. Wybierz Rozpocznij konfigurację, aby uruchomić kreatora.

Skonfiguruj Azure Lighthouse w kreatorze

Poniższe kroki przeprowadzą Cię przez kreatora w celu skonfigurowania konfiguracji usługi Azure Lighthouse w dzierżawie zewnętrznej.

Krok 1. Logowanie się do dzierżawy pracowników

Aby skonfigurować usługę Azure Lighthouse, zaloguj się przy użyciu konta z dostępem do subskrypcji będącej właścicielem dzierżawy konfiguracji zewnętrznej.

Krok 2. Wypełnij szczegóły projektu

W tym kroku podaj szczegóły projektu. Podczas tworzenia grupy zasobów i obszaru roboczego usługi Log Analytics w tym samym czasie można wybrać tylko jedną lokalizację. Ta lokalizacja jest ograniczona do regionów dostępnych zarówno dla grupy zasobów, jak i obszaru roboczego usługi Log Analytics. Aby uzyskać dostęp do pełnej listy lokalizacji, utwórz grupę zasobów i obszar roboczy usługi Log Analytics oddzielnie wcześniej.

1. Wybierz subskrypcję z listy rozwijanej.
2. Użyj istniejącej grupy zasobów lub utwórz nową.
3. Podaj nazwę nowego obszaru roboczego usługi Log Analytics. Ta nazwa musi być unikatowa dla każdej grupy zasobów.
4. Wybierz dostępny region.
5. Wybierz Dalej.

Krok 3. Wybieranie dostępu użytkowników

Wybierz użytkowników lub grupy w dzierżawie zewnętrznej które mogą uzyskiwać dostęp do obszaru roboczego usługi Log Analytics. Wybrani użytkownicy potrzebują co najmniej roli Administrator zabezpieczeń , aby skonfigurować ustawienia diagnostyczne.

Potwierdź wybór za pomocą przycisku Wybierz . Po wybraniu użytkowników lub grup przypisz do nich rolę. Możesz wybrać jedną z następujących ról:

• Współautor: może odczytywać dane monitorowania i konfigurację.
• Współautor usługi Log Analytics: może odczytywać i zapisywać dane monitorowania i konfigurację.
• Współautor monitorowania: może odczytywać wszystkie dane monitorowania i edytować ustawienia monitorowania.
• Współautor zasad monitorowania: może zarządzać funkcjami związanymi z zabezpieczeniami, takimi jak wyświetlanie alertów zabezpieczeń i raportów oraz zarządzanie nimi.

Po wybraniu użytkowników lub grup i przypisaniu roli wybierz przycisk Dalej , aby kontynuować.

Opcjonalnie: Dodawanie tagów do obszaru roboczego usługi Log Analytics

Tagi można dodawać do obszaru roboczego usługi Log Analytics. Tagi to pary nazw/wartości, które ułatwiają kategoryzowanie zasobów i wyświetlanie skonsolidowanego rozliczeń przez zastosowanie tego samego tagu do wielu zasobów i grup zasobów. Aby uzyskać więcej informacji, zobacz Organizowanie zasobów platformy Azure przy użyciu tagów.

Krok 4. Przeglądanie i tworzenie obszaru roboczego usługi Log Analytics

Przejrzyj konfigurację. Jeśli musisz wprowadzić zmiany, użyj przycisku Wstecz , aby powrócić do poprzednich kroków. Jeśli wszystko wygląda poprawnie, wybierz pozycję Utwórz , aby skonfigurować obszar roboczy usługi Log Analytics i przypisać wybranych użytkowników lub grupy określonej roli. Konfigurowanie obszaru roboczego usługi Log Analytics i przypisywanie ról może potrwać kilka minut, więc nie zamykaj okna przeglądarki.

Po zakończeniu instalacji zostanie wyświetlony komunikat potwierdzający. Wybierz pozycję Gotowe i skonfiguruj ustawienia diagnostyczne, aby rozpocząć wysyłanie dzienników i metryk do obszaru roboczego usługi Log Analytics.

Konfigurowanie ustawień diagnostycznych

Ustawienia diagnostyczne umożliwiają zbieranie dzienników zasobów i wysyłanie metryk platformy oraz dziennika aktywności do różnych miejsc docelowych. Możesz utworzyć maksymalnie pięć różnych ustawień diagnostycznych, aby wysyłać różne dzienniki i metryki do różnych miejsc docelowych. Aby skonfigurować ustawienia diagnostyczne w dzierżawie zewnętrznej, wykonaj następujące kroki.

1. Wybierz pozycję Dodaj ustawienia w obszarze Dodaj ustawienia diagnostyczne.
2. Jeśli wybierzesz pozycję Przejrzyj przed dodaniem ustawień, po prawej stronie będzie widoczna pozycja Subskrypcja i Grupa zasobów . Te pola są tylko do odczytu. Aby wprowadzić zmiany, usuń istniejące informacje o dostawcy usług i ponownie uruchom kreatora. Jeśli wybór jest zadowalający, wybierz pozycję Gotowe , aby przejść do następnego kroku. Ten krok jest opcjonalny.

Uwaga

Jeśli wybierzesz pozycję Przejrzyj przed dodaniem ustawień, po prawej stronie zostanie wyświetlona pozycja Subskrypcja i grupa zasobów . Te pola są tylko do odczytu. Aby wprowadzić zmiany, usuń istniejące informacje o dostawcy usług i uruchom ponownie kreatora.
Pozostaw otwarte okno podczas sprawdzania subskrypcji w tle. Jeśli zamkniesz lub odświeżysz okno przed zakończeniem sprawdzania, może być konieczne ponowne uruchomienie kreatora od uruchomienia instalacji.

3. Wybierz pozycję Dodaj ustawienie diagnostyczne , aby dodać nowe ustawienie lub Edytuj ustawienie , aby edytować istniejące. Jeśli chcesz wysyłać dane do wielu miejsc docelowych tego samego typu, może być konieczne użycie wielu ustawień diagnostycznych zasobu.
4. Nadaj ustawieniu nazwę opisową.
5. Dzienniki i metryki do kierowania: w przypadku dzienników wybierz grupę kategorii lub zaznacz poszczególne pola wyboru dla każdej kategorii danych, które chcesz wysłać do miejsc docelowych określonych później. Lista kategorii jest różna dla każdej usługi platformy Azure. Wybierz pozycję Wszystkie metryki , jeśli chcesz zebrać metryki platformy.
6. Szczegóły miejsca docelowego: zaznacz pole wyboru dla każdego miejsca docelowego, które powinno zostać uwzględnione w ustawieniach diagnostycznych, a następnie podaj szczegóły dla każdego z nich. Jeśli wybierzesz obszar roboczy usługi Log Analytics jako miejsce docelowe, może być konieczne określenie trybu zbierania. Aby uzyskać szczegółowe informacje, zobacz Tryb zbierania .

Wizualizowanie danych za pomocą zapytań dziennika

Po skonfigurowaniu ustawień diagnostycznych i danych przepływa do obszaru roboczego usługi Log Analytics użyj zapytań dzienników do analizowania i wizualizowania danych. Zapytania dzienników są zapisywane w języku Kusto Query Language (KQL) i mogą ułatwić uzyskanie szczegółowych informacji z zebranych dzienników i metryk. Te konfiguracje można ustawić zarówno w organizacji, jak i w dzierżawie zewnętrznej.

Tworzenie zapytania

Zapytania dzienników pomagają uzyskać największą wartość z danych zebranych w dziennikach usługi Azure Monitor. Zaawansowany język zapytań umożliwia łączenie danych z wielu tabel, agregowanie dużych zestawów danych i wykonywanie złożonych operacji przy minimalnej ilości kodu. Możesz odpowiedzieć na praktycznie dowolne pytanie i przeprowadzić analizę, o ile zbierasz dane pomocnicze i rozumiesz, jak utworzyć odpowiednie zapytanie. Aby uzyskać więcej informacji, zobacz Rozpoczynanie pracy z zapytaniami dzienników w usłudze Azure Monitor.

1. Zaloguj się do witryny Azure Portal.
2. Jeśli masz dostęp do wielu klientów, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się do klienta dotyczącego pracowników z menu Katalogi i subskrypcje.
3. W oknie obszaru roboczego usługi Log Analytics wybierz pozycję Dzienniki
4. W edytorze zapytań wklej następujące zapytanie w języku Kusto Query Language. To zapytanie pokazuje użycie zasad według operacji w ciągu ostatnich x dni. Domyślny czas trwania to 90 dni (90d). Zwróć uwagę, że zapytanie koncentruje się tylko na operacji, w której token lub kod jest wystawiany przez politykę.

AuditLogs
| where TimeGenerated  > ago(90d)
| where OperationName contains "issue"
| extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
| extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
| summarize SignInCount = count() by Policy, OperationName
| order by SignInCount desc  nulls last

5. Wybierz pozycję Uruchom. Wyniki zapytania są wyświetlane w dolnej części ekranu.
6. Aby zapisać zapytanie do późniejszego użycia, wybierz pozycję Zapisz.

7. Wypełnij następujące szczegóły:

• Nazwa — wprowadź nazwę zapytania.
• Zapisz jako — wybierz pozycję query.
• Kategoria — wybierz pozycję Log.

8. Wybierz pozycję Zapisz.

Możesz również zmienić zapytanie, aby wizualizować dane przy użyciu operatora renderowania.

  AuditLogs
  | where TimeGenerated  > ago(90d)
  | where OperationName contains "issue"
  | extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
  | extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
  | summarize SignInCount = count() by Policy
  | order by SignInCount desc  nulls last
  | render  piechart

Change the data retention period (Zmienianie okresu przechowywania danych)

Dzienniki usługi Azure Monitor skalują się, aby wspierać zbieranie, indeksowanie i przechowywanie ogromnych ilości danych każdego dnia z dowolnego źródła w Twoim przedsiębiorstwie lub będącego na platformie Azure. Domyślnie dzienniki są przechowywane przez 30 dni, ale można zwiększyć czas przechowywania do maksymalnie dwóch lat. Aby uzyskać więcej informacji, zobacz Zarządzanie użyciem i kosztami za pomocą dzienników usługi Azure Monitor. Po wybraniu warstwy cenowej możesz zmienić okres przechowywania danych.

Wyłączanie zbierania danych monitorowania

Aby zatrzymać zbieranie dzienników w obszarze roboczym usługi Log Analytics, usuń utworzone ustawienia diagnostyczne. Opłaty za przechowywanie danych dziennika, które zostały już zebrane w twoim obszarze roboczym, nadal są naliczane. Jeśli nie potrzebujesz już zebranych danych monitorowania, możesz usunąć obszar roboczy usługi Log Analytics i grupę zasobów utworzoną dla usługi Azure Monitor. Usunięcie obszaru roboczego usługi Log Analytics powoduje usunięcie wszystkich danych w obszarze roboczym i uniemożliwi naliczanie innych opłat za przechowywanie danych.

Używanie usługi Microsoft Sentinel z identyfikatorem zewnętrznym

Po przesłaniu dzienników identyfikatorów zewnętrznych z dzierżawy zewnętrznej do obszaru roboczego usługi Log Analytics w dzierżawie dla pracowników, można je zaimportować do usługi Microsoft Sentinel w celu monitorowania, ustalania reguł zdarzeń, tworzenia alertów i raportów. Należy skonfigurować usługę Sentinel z dzierżawy dla pracowników, ponieważ nie obsługuje się bezpośredniej konfiguracji z dzierżawy zewnętrznej. Aby użyć usługi Sentinel:

1. Wysyłanie logów do obszaru roboczego usługi Log Analytics w dzierżawie pracowniczej przez ustawienia diagnostyczne usługi Azure Monitor. Konfiguracja bezpośrednia w przypadku dzierżawy zewnętrznej nie jest obsługiwana.

2. W witrynie Azure Portal dodaj usługę Microsoft Sentinel do obszaru roboczego usługi Log Analytics. Aby uzyskać więcej informacji, zobacz Dołączanie do usługi Microsoft Sentinel.

3. W portalu usługi Defender otwórz centrum zawartości usługi Microsoft Sentinel i zainstaluj pakiet zawartości Entra ID.

Obsługiwane funkcje

• Analiza i alerty: Konfigurowanie reguł zdarzeń przy użyciu wstępnie utworzonych szablonów; wyzwalane alerty są wyświetlane poprawnie.

• Skoroszyty: Wizualizuj i analizuj zebrane dzienniki za pomocą wstępnie utworzonych skoroszytów.

Aby uzyskać więcej informacji, zobacz dokumentację usługi Microsoft Sentinel.

Te kroki umożliwiają scentralizowane monitorowanie, zarządzanie incydentami i wizualizację logów identyfikatorów zewnętrznych, korzystając z obsługiwanej konfiguracji najemcy dla pracowników.

Powiązana zawartość

• Korzystanie z dzienników inspekcji i przeglądów dostępu