Журналы действий Azure AD в Azure Monitor
С помощью параметров диагностики в Azure Active Directory (Azure AD) можно маршрутизировать журналы действий в несколько конечных точек для долгосрочного хранения и аналитики данных. Эта функция позволяет следующее:
- Архивация журналов действий Azure AD в учетную запись хранения Azure.
- выполнять потоковую передачу журналов действий Azure AD в концентратор событий Azure для получения аналитики с использованием популярных инструментов управления информационной безопасностью и событиями безопасности (SIEM), такими как Splunk, QRadar и Microsoft Sentinel;
- интегрировать журналы действий Azure AD с пользовательскими решениями для ведения журналов путем потоковой передачи их в концентратор событий;
- Отправляйте журналы действий Azure AD в Azure Monitor, чтобы обеспечить широкие возможности визуализаций, мониторинга и оповещений о подключенных данных.
Поддерживаемые отчеты
Вы можете направлять Azure AD журналы аудита и входа в учетную запись хранения Azure, концентратор событий, Azure Monitor или пользовательское решение.
- Журналы аудита. Отчет о действиях журналов аудита предоставляет доступ к истории каждой задачи, выполняемой в клиенте.
- Журналы входов в систему. Отчет о действиях входов в систему позволяет определить, кто выполнил задачи, указанные в отчете журналов аудита.
- Журналы подготовки. С помощью журналов подготовки можно отслеживать пользователей, которые были созданы, обновлены и удалены во всех приложениях сторонних разработчиков.
- Журналы пользователей, совершающих риск. С помощью журналов пользователей, совершающих риск, можно отслеживать изменения в уровне риска пользователей и действиях по исправлению.
- Журналы обнаружения рисков. С помощью журналов обнаружения рисков вы можете отслеживать обнаружения рисков пользователей и анализировать тенденции в действиях с рисками, обнаруженные в вашей организации.
Начало работы
Чтобы использовать эту функцию, вам потребуется соответствующая лицензия и роли.
- Подписка Azure. Если у вас нет подписки Azure, можно зарегистрироваться и получить бесплатную пробную версию.
- Azure AD Free, базовая лицензия, лицензия Premium 1 или Premium 2. Тип лицензии клиента можно найти на странице Обзор в Azure AD.
- Лицензия Azure AD уровня "Премиум 1" или "Премиум 2" для доступа к журналам входа Azure AD на портале Azure.
- Доступ глобального администратора или администратора безопасности для клиента Azure AD.
В зависимости от того, куда вы хотите перенаправить данные журнала аудита, вам также потребуется одна из следующих конечных точек:
- Рабочая область Azure Log Analytics для отправки журналов Azure AD в Azure Monitor.
- Учетная запись хранения Azure, на которую у вас есть
ListKeysразрешения.- Рекомендуется использовать общую учетную запись хранения вместо учетной записи хранилища BLOB-объектов.
- Информацию о ценах на хранилище см. здесь.
- Пространство имен Центры событий Azure для интеграции со сторонними решениями.
После установки конечной точки перейдите в раздел Azure AD, а затем параметры диагностики. Здесь можно выбрать журналы для отправки в выбранную конечную точку. Дополнительные сведения см. в разделе Создание параметров диагностики статьи Параметры диагностики в Azure Monitor .
Рекомендации по затратам
Если у вас уже есть лицензия Azure AD, вам потребуется подписка Azure для настройки учетной записи хранения и Центров событий. Подписка Azure предоставляется бесплатно, но вам придется заплатить за использование ресурсов Azure, включая учетную запись хранения, используемую для архивации, и Центры событий, используемые для потоковой передачи. Количество данных и, следовательно, понесенные затраты могут значительно отличаться в зависимости от размера клиента.
Azure Monitor позволяет исключать целые события, поля или части полей при приеме журналов из Azure AD. Дополнительные сведения об этой функции экономии затрат см. в статье Преобразование сбора данных в Azure Monitor.
Размер хранилища для журналов действий
Каждое событие журнала аудита использует около 2 КБ хранилища данных. Журналы событий входа в систему занимают около 4 КБ данных. Для клиента, имеющего 100 000 пользователей, которые создают около 1,5 миллиона событий в день, потребуется около 3 ГБ хранилища данных в день. Поскольку записи происходят примерно пятиминутными пакетами, можно ожидать приблизительно 9 000 операций записей в месяц.
Следующая таблица содержит примерную стоимость, которая зависит от размера клиента, учетной записи хранения версии 2 общего назначения в регионе "Западная часть США" по крайней мере на один год. Для создания более точного подсчета объема данных, который предполагается для приложения, используйте Калькулятор цен.
| Категория журнала | Количество пользователей | Событий в день | Объем данных в месяц (прим.) | Затраты в месяц (прим.) | Затраты в год (прим.) |
|---|---|---|---|---|---|
| Аудит | 100 000 | 1,5 млн | 90 ГБ | 1,93 долл. США | 23,12 долл. США |
| Аудит | 1000 | 15 000 | 900 МБ | 0,02 долл. США | 0,24 долл. США |
| Вход в систему | 1000 | 34 800 | 4 ГБ | 0,13 долл. США | 1,56 долл. США |
| Вход в систему | 100 000 | 15 млн | 1,7 TБ | 35,41 долл. США | 424,92 долл. США |
Если вы хотите узнать, как долго данные о действиях хранятся в клиенте Premium, см. раздел Как долго в Azure AD хранятся данные?
Сообщения Центров событий для журналов действий
События отправляются пакетом как одно сообщение примерно с пятиминутными интервалами, содержащее все события этого временного интервала. Максимальный размер сообщения в Центрах событий составляет 256 КБ. Если общий размер всех сообщений за период времени превышает этот том, отправляется несколько сообщений.
Например, в клиентах, которые обслуживают большое количество пользователей (более 100 000), обычно возникает около 18 событий в секунду, что равно 5 400 событий каждые пять минут. Поскольку размер каждого события в журналах аудита составляет около 2 КБ, то в целом это значение соответствует 10,8 МБ данных. Таким образом, за пятиминутный интервал в концентратор событий отправляются 43 сообщения.
В следующей таблице приведены приблизительные затраты в месяц для базового концентратора событий в западной части США в зависимости от объема данных о событиях, которые могут отличаться от клиента к клиенту в зависимости от многих факторов, таких как поведение пользователя при входе и т. д. Чтобы вычислить точную оценку объема данных, ожидаемого для приложения, используйте калькулятор цен центров событий.
| Категория журнала | Количество пользователей | Событий за секунду | Событий за пятиминутный интервал | Объем каждого интервала | Сообщений за интервал | Сообщений за месяц | Затраты в месяц (прим.) |
|---|---|---|---|---|---|---|---|
| Аудит | 100 000 | 18 | 5 400 | 10,8 МБ | 43 | 371 520 | 10,83 долл. США |
| Аудит | 1000 | 0.1 | 52 | 104 КБ | 1 | 8 640 | 10,80 долл. США |
| Вход в систему | 100 000 | 18000 | 5,400,000 | 10.8 ГБ | 42188 | 364,504,320 | $23.9 |
| Вход в систему | 1000 | 178 | 53 400 | 106,8 MБ | 418 | 3 611 520 | 11,06 долл. США |
Рекомендации по затратам журналов Azure Monitor.
| Категория журнала | Количество пользователей | Событий в день | Событий в месяц (30 дней) | Стоимость в месяц в долларах США (оцен.) |
|---|---|---|---|---|
| Аудит и входы | 100 000 | 16,500,000 | 495,000,000 | $1093.00 |
| Аудит | 100 000 | 1,500,000 | 45 000 000 | $246.66 |
| Вход в систему | 100 000 | 15 000 000 | 450 000 000 | $847.28 |
Информация о расходах, связанных с управлением журналами Azure Monitor, приведена в разделе Сведения о ценах на журналы Azure Monitor.
Часто задаваемые вопросы
В этом разделе содержатся ответы на часто задаваемые вопросы и известные проблемы с журналами Azure AD в Azure Monitor.
Вопрос: Какие журналы включены?
Ответ: Журналы входа в систему и журналы аудита доступны для направления через эту функцию, несмотря на то, что события аудита в клиенте B2C в настоящее время не поддерживаются. Чтобы узнать, какие типы журналов и какие журналы компонентов поддерживаются в настоящее время, ознакомьтесь со статьями Интерпретация схемы журналов аудита Azure Active Directory в Azure Monitor и Интерпретация схемы журналов входа Azure Active Directory в Azure Monitor.
Вопрос: Через какое время после выполнения действия соответствующие журналы отобразятся в концентраторе событий?
Ответ: Журналы должны появляться в центре событий в течение двух-пяти минут после выполнения действия. Дополнительные сведения о Центрах событий см. в статье Что такое Центры событий Azure?
Вопрос: Через какое время после выполнения действия соответствующие журналы отобразятся в учетной записи хранения?
Ответ: Для учетных записей хранения Azure время ожидания составляет от 5 до 15 минут с момента выполнения действия.
Вопрос: Что произойдет, если администратор изменит срок хранения диагностической настройки?
Ответ: Новая политика хранения будет применяться к журналам, собранным после изменения. Журналы, собранные до изменения, не будут затронуты.
Вопрос: Сколько будет стоить хранение данных?
Ответ. Затраты на хранение зависят как от размеров журналов, так и от сроков их хранения. Сведения о размере ожидаемых затрат для клиентов, которые зависят от объема созданных журналов, см. в разделе Размер хранилища для журналов действий.
Вопрос: Сколько будет стоить потоковая передача данных в концентраторы событий?
Ответ: Стоимость потоковой передачи зависит от количества сообщений, получаемых за минуту. В этой статье рассматривается расчет затрат и перечислены оценки расходов, которые основаны на количестве сообщений.
Вопрос: Как интегрировать журналы действий Azure AD с системой SIEM?
Ответ: Это можно сделать двумя способами:
Используйте Azure Monitor с Центрами событий, чтобы выполнить потоковую передачу журналов в систему SIEM. Сначала выполните потоковую передачу журналов в концентратор событий, а затем настройте средство SIEM с помощью настроенного концентратора событий.
Используйте API Graph для отчетов для доступа к данным и передайте их в систему SIEM с помощью собственных скриптов.
Вопрос: Какие средства SIEM поддерживаются в настоящее время?
Ответ. Сейчас Azure Monitor поддерживается Splunk, IBM QRadar, Sumo Logic, ArcSight, LogRhythm и Logz.io. Дополнительные сведения о работе соединителей см. в статье Потоковая передача данных мониторинга Azure в концентратор событий для потребления внешним инструментом.
Вопрос: Как интегрировать журналы действий Azure AD с экземпляром Splunk?
Ответ: Сначала направьте журналы действий Azure AD в концентратор событий, а затем выполните следующие действия, чтобы интегрировать журналы действий со Splunk.
Вопрос: Как интегрировать журналы действий Azure AD с Sumo Logic?
Ответ: Сначала направьте журналы действий Azure AD в концентратор событий, а затем выполните следующие действия, чтобы установить приложение Azure AD и просмотреть панели мониторинга в SumoLogic.
Вопрос: Возможно ли получить доступ к данным из концентратора событий без использования внешнего средства SIEM?
Ответ. Да. Для доступа к журналам из пользовательского приложения можно использовать API Центров событий.
Дальнейшие действия
- создать учетную запись хранения;
- Руководство. Архивация журналов Azure Active Directory в учетной записи хранения Azure (предварительная версия)
- Руководство. Потоковая передача журналов Azure Active Directory в концентратор событий Azure (предварительная версия)
- Интеграция журналов действий с Azure Monitor