Planear uma Azure Ative Directory de comunicação e monitorização da implantação

A sua solução de reporte e monitorização da sua Azure Ative Directory (Azure AD) depende dos seus requisitos legais, de segurança e operacionais e do ambiente e processos existentes. Este artigo apresenta as várias opções de design e guia-o para a estratégia de implementação certa.

Benefícios da comunicação e monitorização da AZure AD

O relatório AD AD do Azure fornece uma visão abrangente e registos da atividade da AZure AD no seu ambiente, incluindo sinal em eventos, eventos de auditoria e alterações no seu diretório.

Os dados fornecidos permite-lhe:

  • determinar como as suas aplicações e serviços são usados.

  • detetar riscos potenciais que afetam a saúde do seu ambiente.

  • problemas de resolução de problemas que impedem os seus utilizadores de fazer o seu trabalho.

  • obter insights vendo eventos de auditoria de alterações ao seu diretório Azure AD.

Importante

A monitorização AD AZure permite-lhe direcionar os seus registos gerados pelo Azure AD reportando para diferentes sistemas-alvo. Em seguida, pode retê-los para utilização a longo prazo ou integrá-los com ferramentas de Gestão de Informações e Eventos de Segurança (SIEM) de terceiros para obter informações sobre o seu ambiente.

Com a monitorização AD Azure, pode encaminhar os registos para:

  • uma conta de armazenamento Azure para fins de arquivo.
  • Registos Azure Monitor, anteriormente conhecidos como espaço de trabalho Azure Log Analytics, onde pode analisar os dados, criar dashboards e alertar para eventos específicos.
  • um centro de eventos Azure onde pode integrar-se com as ferramentas SIEM existentes, tais como Splunk, Sumologic ou QRadar.

Nota

Recentemente começamos a usar os registos do Azure Monitor em vez de Log Analytics. Os dados de registo ainda são armazenados num espaço de trabalho do Log Analytics e ainda são recolhidos e analisados pelo mesmo serviço Log Analytics. Estamos a atualizar a terminologia para melhor refletir o papel dos registos no Azure Monitor. Consulte as alterações da terminologia do Azure Monitor para obter mais detalhes.

Saiba mais sobre as políticas de retenção de relatórios.

Licenciamento e pré-requisitos para a informação e monitorização da Azure AD

Você precisará de uma licença premium AZure AD para aceder ao sinal AZure AD em registos.

Para informações detalhadas sobre o recurso e licenciamento no guia de preços Azure Ative Directory.

Para implementar a monitorização e reportagem da Azure, precisará de um utilizador que seja administrador global ou administrador de segurança para o inquilino da AD Azure.

Dependendo do destino final dos seus dados de registo, necessitará de um dos seguintes dados:

  • Uma conta de armazenamento do Azure, para a qual tenha permissões ListKeys. Recomendamos que utilize uma conta de armazenamento para fins gerais e não uma conta de armazenamento de Blobs. Para obter informações sobre os preços de armazenamento, veja a Calculadora de preços do Armazenamento do Azure.

  • Um espaço de nome Hubs de Eventos do Azure para integrar com soluções SIEM de terceiros.

  • Um espaço de trabalho Azure Log Analytics para enviar registos para registos do Monitor Azure.

Planear um projeto de implantação e monitorização do Azure

Neste projeto, você definirá o público que irá consumir e monitorizar relatórios, e definir a sua arquitetura de monitorização AZure AD.

Envolver as partes interessadas certas

Quando os projetos tecnológicos falham, normalmente fazem-no devido a expectativas desajustadas no impacto, resultados e responsabilidades. Para evitar estas armadilhas, certifique-se de que está a envolver as partes interessadas certas. Além disso, certifique-se de que as funções das partes interessadas no projeto são bem compreendidas documentando as partes interessadas e os seus contributos e contas do projeto.

Planear as comunicações

A comunicação é fundamental para o sucesso de qualquer novo serviço. Comunicar proativamente com os seus utilizadores como a sua experiência vai mudar, quando vai mudar, e como ganhar apoio se eles experimentarem problemas.

Documente as suas atuais infraestruturas e políticas

A sua infraestrutura e políticas atuais irão impulsionar o seu design de relatórios e monitorização. Certifique-se de que sabe

  • O que, se houver, ferramentas SIEM que está a usar.

  • A sua infraestrutura Azure, incluindo as contas de armazenamento existentes e a monitorização que está a ser utilizada.

  • As suas políticas de retenção organizacional para registos, incluindo quaisquer quadros de conformidade aplicáveis necessários.

Planear uma implantação de relatórios e monitorização da Azure AD

O reporte e monitorização são usados para satisfazer os requisitos do seu negócio, obter insights sobre padrões de uso e aumentar a postura de segurança da sua organização.

Casos de uso de negócios

  • Necessário para uma solução para atender às necessidades do negócio
  • É bom ter de atender às necessidades do negócio
  • Não aplicável
Área Description
Retenção Retenção de registos superiores a 30 dias. Devido a requisitos legais ou empresariais, é necessário armazenar registos de auditoria e assinar em registos de Azure AD por mais de 30 dias.
Análise Os registos têm de ser pesmáveis. Os troncos armazenados devem ser pescêjáveis com ferramentas analíticas.
Informações Operacionais Informações para várias equipas. A necessidade de dar acesso a diferentes utilizadores para obter insights operacionais, tais como utilização de aplicações, assinar erros, uso de self-service, tendências, etc.
Informações de segurança Informações para várias equipas. A necessidade de dar acesso a diferentes utilizadores para obter insights operacionais, tais como utilização de aplicações, assinar erros, uso de self-service, tendências, etc.
Integração nos sistemas SIEM Integração SIEM. A necessidade de integrar e transmitir o sinal AZure AD em registos e registos de auditoria para os sistemas SIEM existentes.

Escolha uma arquitetura de solução de monitorização

Com a monitorização AZure AD, pode encaminhar os seus registos de atividade azure AD para um sistema que melhor satisfaça as suas necessidades de negócio. Em seguida, pode retê-los para relatórios e análises de longo prazo para obter insights sobre o seu ambiente, e integrá-lo com ferramentas SIEM.

Gráfico de fluxo de decisãoAn image showing what is described in subsequent sections

Registos de arquivo em uma conta de armazenamento

Ao encaminhar os registos para uma conta de armazenamento Azure, pode mantê-los por mais tempo do que o período de retenção padrão delineado nas nossas políticas de retenção. Utilize este método se precisar de arquivar os seus registos, mas não precisa de os integrar com um sistema SIEM, e não precisa de consultas e análises em curso. Ainda pode fazer pesquisas a pedido.

Saiba como encaminhar dados para a sua conta de armazenamento.

Enviar registos para registos do Monitor Azure

Os registos do Azure Monitor consolidam dados de monitorização de diferentes fontes. Também fornece um motor de linguagem de consulta e analítica que lhe dá informações sobre o funcionamento das suas aplicações e utilização de recursos. Ao enviar registos de atividade Azure AD para registos do Azure Monitor, pode rapidamente recuperar, monitorizar e alertar os dados recolhidos. Utilize este método quando não tiver uma solução SIEM existente para a qual pretende enviar os seus dados diretamente, mas que queira consultas e análises. Uma vez que os seus dados estão nos registos do Azure Monitor, pode enviá-lo para o centro de eventos e daí para um SIEM, se assim o desejar.

Saiba como enviar dados para os registos do Azure Monitor.

Também pode instalar as vistas pré-construídas para registos de atividades Azure AD para monitorizar cenários comuns envolvendo eventos de login e auditoria.

Saiba como instalar e utilizar vistas de análise de registos para registos de atividades Azure AD.

Faça logins de streaming para o seu centro de eventos Azure

Os registos de encaminhamento para um centro de eventos Azure permitem a integração com ferramentas SIEM de terceiros. Esta integração permite-lhe combinar dados de registo de atividade Azure AD com outros dados geridos pelo seu SIEM, para fornecer informações mais ricas sobre o seu ambiente.

Saiba como transmitir registos a um hub de eventos.

Plan Operations and Security for Azure AD reporting and monitoring

As partes interessadas precisam de aceder aos registos AZure AD para obter informações operacionais. Os utilizadores prováveis incluem membros da equipa de segurança, auditores internos ou externos, e a equipa de operações de gestão de identidade e acesso.

As funções AD do Azure permitem-lhe delegar a capacidade de configurar e visualizar relatórios AD Azure com base no seu papel. Identifique quem na sua organização precisa de permissão para ler relatórios Azure AD e que papel seria apropriado para eles.

As seguintes funções podem ler relatórios da AD Azure:

  • Admin Global

  • Administrador de Segurança

  • Leitor de Segurança

  • Leitor de Relatórios

Saiba mais sobre as funções administrativas do Azure Ad.

Aplique sempre o conceito de privilégios mínimos para reduzir o risco de um compromisso de conta. Considere implementar Privileged Identity Management para proteger ainda mais a sua organização.

Implementar relatórios e monitorização da AD Azure

Dependendo das decisões que tomou anteriormente usando a orientação de design acima, esta secção irá guiá-lo para a documentação sobre as diferentes opções de implementação.

Consumir e arquivar registos Azure AD

Encontrar relatórios de atividade no portal do Azure

Arquivo Azure AD registra-se em uma conta Azure Armazenamento

Implementar monitorização e análise

Enviar registos para o Azure Monitor

Instale e utilize as vistas de análise de registo para Azure Ative Directory

Analisar os registos de atividades do Azure Active Directory com os registos do Azure Monitor

Passos seguintes

Considere implementar Privileged Identity Management

Considere implementar o controlo de acesso baseado em funções do Azure (Azure RBAC)