Зависимости мониторинга и работоспособности развертывания Microsoft Entra

  • Статья

Ваше решение для создания отчетов и мониторинга Microsoft Entra зависит от юридических, безопасности, операционных требований и процессов вашей среды. Используйте следующие разделы, чтобы узнать о вариантах разработки и стратегии развертывания.

Преимущества отчетов и мониторинга Microsoft Entra

Отчеты идентификатора Microsoft Entra содержат представление и журналы действий Microsoft Entra в вашей среде: события входа и аудита, а также изменения в каталоге.

Используйте выходные данные для:

  • определять, как используются приложения и службы;
  • обнаружить потенциальные риски, которые могут повлиять на работоспособность среды;
  • устранить неполадки, влияющие на работу пользователей;
  • получайте аналитические сведения, просматривая события аудита изменений в каталоге Microsoft Entra.

Мониторинг Microsoft Entra позволяет направлять журналы, созданные отчетами идентификатора Microsoft Entra, в разные целевые системы. Эти журналы затем можно сохранить для долговременного использования или интегрировать со сторонними средствами для управления сведениями и событиями безопасности (SIEM), чтобы получать аналитические сведения о своей среде.

С помощью мониторинга Microsoft Entra можно маршрутизировать журналы:

  • учетную запись хранения Azure для архивации;
  • Журналы Azure Monitor, где можно анализировать данные, создавать панели мониторинга и оповещать о конкретных событиях.
  • концентратор событий Azure, поддерживающий интеграцию с существующими средствами SIEM, такими как Splunk, Sumologic или QRadar.

Необходимые компоненты

Для доступа к журналам входа Microsoft Entra ID P1 или P2 потребуется лицензия Microsoft Entra ID P1 или P2.

Подробные сведения о функциях и лицензировании см. в руководстве по ценам на Microsoft Entra.

Для развертывания мониторинга и работоспособности Microsoft Entra потребуется пользователь, который является Администратор istrator для клиента Microsoft Entra.

Планирование и развертывание проекта мониторинга и работоспособности Microsoft Entra

Отчеты и мониторинг используются для удовлетворения бизнес-требований, получения ценных сведений о характере использования и улучшения состояния безопасности вашей организации. В этом проекте вы определите аудитории, которые будут использовать и отслеживать отчеты, и определять архитектуру мониторинга Microsoft Entra.

Заинтересованные лица, коммуникации и документация

Если технологические проекты завершаются неудачей, они обычно делают это из-за несоответствия ожиданий на влияние, результаты и обязанности. Чтобы избежать этих ловушек, привлеките правильных заинтересованных лиц Кроме того, убедитесь, что роли заинтересованных лиц в проекте хорошо поняты, документируя заинтересованных лиц и их входные данные проекта и обязанности.

Заинтересованным лицам необходимо получить доступ к журналам Microsoft Entra для получения операционных аналитических сведений. В число вероятных пользователей входят члены группы безопасности, внутренние или внешние аудиторы, а также группа по управлению доступом и удостоверениями.

Роли Microsoft Entra позволяют делегировать возможность настраивать и просматривать отчеты Microsoft Entra на основе вашей роли. Определите, кто в вашей организации должен иметь разрешение на чтение отчетов Microsoft Entra и какую роль подходит для них.

Следующие роли могут читать отчеты Microsoft Entra:

  • Администратор безопасности
  • Читатель сведений о безопасности
  • Читатель отчетов

Узнайте больше о ролях Microsoft Entra Администратор istrative Role. Всегда применяйте принцип предоставления минимальных прав, чтобы снизить риск компрометации учетной записи. Рассмотрите возможность реализации управления привилегированными пользователями для усиления защиты организации.

Привлечение заинтересованных лиц

Успешные проекты соответствуют ожиданиям, результатам и обязанностям. См. планы развертывания Microsoft Entra. Документируйте и сообщайте роли заинтересованных лиц, требующие ввода и подотчетности.

План коммуникаций

Сообщите пользователям, когда и как их взаимодействие изменится. Укажите контактные данные для поддержки.

  • Какие средства SIEM вы используете, если таковые имеются.
  • Вашу инфраструктуру Azure, включая существующие учетные записи хранения и средства мониторинга.
  • Политики хранения для журналов в организации, включая все применимые платформы соответствия требованиям.

Варианты использования для бизнеса

Чтобы лучше определить приоритеты вариантов использования и решений, упорядочение вариантов путем "необходимых для решения для удовлетворения бизнес-потребностей", "хорошо, чтобы соответствовать бизнес-потребностям", и "неприменимо".

Рекомендации

  • Хранение — хранение журналов: хранение журналов аудита и вход журналов Microsoft Entra дольше 30 дней
  • Аналитика. Журналы доступны для поиска с помощью средств аналитики
  • Операционные и аналитические сведения о безопасности. Предоставление доступа к использованию приложений, ошибкам входа, самостоятельному использованию, тенденциям и т. д.
  • Интеграция SIEM . Интеграция и потоковая передача журналов входа Microsoft Entra и журналов аудита в системы SIEM

Архитектура решения мониторинга

С помощью мониторинга Microsoft Entra можно направлять журналы действий Microsoft Entra и сохранять их для долгосрочного создания отчетов и анализа для получения аналитических сведений об среде и интеграции с средствами SIEM. Используйте следующую блок-диаграмму принятия решений, чтобы помочь выбрать архитектуру.

Матрица принятия решений для архитектуры, необходимой для бизнеса.

Архивация журналов в учетной записи хранения

Журналы можно хранить дольше периода хранения по умолчанию, перенаправив их в учетную запись хранения Azure.

Внимание

Используйте этот метод архивации, если нет необходимости интегрировать журналы с системой SIEM или нет необходимости выполнять текущие запросы и анализ. Вы можете использовать поиск по запросу.

Подробнее:

Потоковая передача журналов в хранилище и средства SIEM

Следующие шаги