Azure Active Directory raporlama ve izleme dağıtımı planlama

Azure Active Directory (Azure AD) raporlama ve izleme çözümünüz yasal, güvenlik ve operasyonel gereksinimlerinize ve mevcut ortamınıza ve süreçlerinize bağlıdır. Bu makalede çeşitli tasarım seçenekleri sunulur ve doğru dağıtım stratejisinde size yol gösterilir.

Azure AD raporlama ve izlemenin avantajları

Azure AD raporlama, oturum açma olayları, denetim olayları ve dizininizdeki değişiklikler dahil olmak üzere ortamınızdaki Azure AD etkinliğinin kapsamlı bir görünümünü ve günlüklerini sağlar.

Sağlanan verilerle:

  • uygulamalarınızın ve hizmetlerinizin nasıl kullanıldığını saptayın.

  • ortamınızın durumunu etkileyen olası riskleri tespit edin.

  • kullanıcılarınızın işlerini yapmasını engelleyen sorunları giderin.

  • Azure AD dizininizdeki değişikliklerin denetim olaylarını görerek içgörüler elde edin.

Önemli

Azure AD izleme, Azure AD raporlaması tarafından oluşturulan günlüklerinizi farklı hedef sistemlere yönlendirmenizi sağlar. Ardından bu günlükleri uzun vadeli kullanım için saklayabilir veya ortamınızla ilgili içgörülere ulaşmak için üçüncü taraf Güvenlik Bilgileri ve Olay Yönetimi (SIEM) araçlarıyla tümleştirebilirsiniz.

Azure AD izleme ile günlükleri şu yollara yönlendirebilirsiniz:

  • arşivleme amacıyla bir Azure depolama hesabı.
  • Daha önce Azure Log Analytics çalışma alanı olarak bilinen Azure İzleyici günlükleri. Burada verileri analiz edebilir, pano oluşturabilir ve belirli olaylarla ilgili uyarı alabilirsiniz.
  • Splunk, Sumologic veya QRadar gibi mevcut SIEM araçlarınızla tümleştirebileceğiniz bir Azure olay hub'ı.

Not

Kısa süre önce Log Analytics yerine Azure İzleyici günlükleri terimini kullanmaya başladık. Günlük verileri hala bir Log Analytics çalışma alanında depolanır ve aynı Log Analytics hizmeti tarafından toplanır ve analiz edilir. Terminolojiyi , Azure İzleyici'deki günlüklerin rolünü daha iyi yansıtacak şekilde güncelleştiriyoruz. Ayrıntılar için bkz. Azure İzleyici terminolojisi değişiklikleri .

Rapor bekletme ilkeleri hakkında daha fazla bilgi edinin.

Azure AD raporlama ve izleme için lisanslama ve önkoşullar

Azure AD oturum açma günlüklerine erişmek için bir Azure AD premium lisansına sahip olmanız gerekir.

Azure Active Directory fiyatlandırma kılavuzunda ayrıntılı özellik ve lisans bilgileri için.

Azure AD izleme ve raporlamayı dağıtmak için Azure AD kiracısının genel yöneticisi veya güvenlik yöneticisi olan bir kullanıcıya ihtiyacınız vardır.

Günlük verilerinizin son hedefine bağlı olarak aşağıdakilerden birine ihtiyacınız vardır:

  • ListKeys izinlerine sahip olduğunuz bir Azure depolama hesabı. Blob depolama hesabı değil genel bir depolama hesabı kullanmanızı öneririz. Depolamayla fiyatlandırma bilgileri için bkz. Azure Depolama fiyatlandırma hesaplayıcısı.

  • Üçüncü taraf SIEM çözümleriyle tümleştirmek için bir Azure Event Hubs ad alanı.

  • Günlükleri Azure İzleyici günlüklerine göndermek için bir Azure Log Analytics çalışma alanı.

Azure raporlama ve izleme dağıtım projesi planlama

Bu projede, raporları kullanacak ve izleyecek hedef kitleleri tanımlayacak ve Azure AD izleme mimarinizi tanımlayacaksınız.

Doğru paydaşlarla etkileşime geçin

Teknoloji projeleri başarısız olduğunda, genellikle etki, sonuçlar ve sorumluluklar üzerindeki eşleşmeyen beklentiler nedeniyle bunu yapar. Bu zorlukları önlemek için doğru paydaşlarla etkileşime girdiğinizden emin olun. Ayrıca projedeki paydaş rollerinin, proje katılımcılarının ve proje girişlerinin ve sorumluluklarının belgelenmesiyle iyi anlaşıldığından emin olun.

İletişimi planlama

İletişim, yeni bir hizmetin başarısı için kritik öneme sahiptir. Kullanıcılarınızla deneyimlerinin nasıl değişeceğini, ne zaman değişeceğini ve sorun yaşarlarsa nasıl destek kazanacaklarını proaktif bir şekilde iletin.

Geçerli altyapınızı ve ilkelerinizi belgele

Geçerli altyapınız ve ilkeleriniz raporlama ve izleme tasarımınızı yönlendirecektir. Bildiğinizden emin olun

  • Varsa, kullandığınız SIEM araçları.

  • Mevcut depolama hesapları ve kullanılan izleme dahil olmak üzere Azure altyapınız.

  • Gerekli tüm uyumluluk çerçeveleri de dahil olmak üzere günlükler için kurumsal saklama ilkeleriniz.

Azure AD raporlama ve izleme dağıtımı planlama

Raporlama ve izleme, iş gereksinimlerinizi karşılamak, kullanım desenleri hakkında içgörüler elde etmek ve kuruluşunuzun güvenlik duruşlarını artırmak için kullanılır.

İş kullanım örnekleri

  • çözümün iş gereksinimlerini karşılaması için gereklidir
  • İş ihtiyaçlarını karşılamak zorunda olmak güzel
  • Uygulanamaz
Alan Description
Bekletme 30 günden uzun günlük saklama. Yasal veya iş gereksinimleri nedeniyle denetim günlüklerini depolamak ve Azure AD'nin oturum açma günlüklerini 30 günden uzun süre saklamak gerekir.
Analiz Günlüklerin aranabilir olması gerekir. Depolanan günlüklerin analiz araçlarıyla aranabilir olması gerekir.
Operasyonel İçgörüler Çeşitli ekipler için Analizler. Farklı kullanıcılara uygulama kullanımı, oturum açma hataları, self servis kullanımı, eğilimler gibi operasyonel içgörüler elde etmek için erişim verme ihtiyacı.
Güvenlik Analizler Çeşitli ekipler için Analizler. Uygulama kullanımı, oturum açma hataları, self servis kullanımı, eğilimler vb. gibi operasyonel içgörüler elde etmek için farklı kullanıcılara erişim verme ihtiyacı.
SIEM sistemlerinde tümleştirme SIEM tümleştirmesi. Azure AD oturum açma günlüklerini ve denetim günlüklerini mevcut SIEM sistemleriyle tümleştirme ve akışla aktarma gereksinimi.

İzleme çözümü mimarisi seçme

Azure AD izleme ile Azure AD etkinlik günlüklerinizi iş gereksinimlerinizi en iyi karşılayan bir sisteme yönlendirebilirsiniz. Daha sonra ortamınızla ilgili içgörüler elde etmek ve bunu SIEM araçlarıyla tümleştirmek için bunları uzun vadeli raporlama ve analiz için saklayabilirsiniz.

Karar akışı grafiğiAn image showing what is described in subsequent sections

Depolama hesabında günlükleri arşivle

Günlükleri bir Azure depolama hesabına yönlendirerek, saklama ilkelerimizde belirtilen varsayılan saklama süresinden daha uzun süre saklayabilirsiniz. Günlüklerinizi arşivlediğiniz halde bunları bir SIEM sistemiyle tümleştirmeniz gerekmiyorsa ve devam eden sorgulara ve analizlere ihtiyacınız yoksa bu yöntemi kullanın. yine de isteğe bağlı aramalar yapabilirsiniz.

Verileri depolama hesabınıza yönlendirmeyi öğrenin.

Günlükleri Azure İzleyici günlüklerine gönderme

Azure İzleyici günlükleri , farklı kaynaklardan izleme verilerini birleştirir. Ayrıca, uygulamalarınızın çalışmasına ve kaynak kullanımına ilişkin içgörüler sağlayan bir sorgu dili ve analiz altyapısı sağlar. Azure AD etkinlik günlüklerini Azure İzleyici günlüklerine göndererek toplanan verileri hızla alabilir, izleyebilir ve uyarı alabilirsiniz. Verilerinizi doğrudan göndermek ancak sorgular ve analizler yapmak istediğiniz mevcut bir SIEM çözümünüz yoksa bu yöntemi kullanın. Verileriniz Azure İzleyici günlüklerine eklendikten sonra isterseniz olay hub'ına ve oradan SIEM'e gönderebilirsiniz.

Azure İzleyici günlüklerine veri göndermeyi öğrenin.

Oturum açma ve denetim olaylarıyla ilgili yaygın senaryoları izlemek için Azure AD etkinlik günlükleri için önceden oluşturulmuş görünümleri de yükleyebilirsiniz.

Azure AD etkinlik günlükleri için Log Analytics görünümlerini yüklemeyi ve kullanmayı öğrenin.

Günlükleri Azure olay hub'ınıza akışla aktarma

Günlükleri bir Azure olay hub'ına yönlendirmek, üçüncü taraf SIEM araçlarıyla tümleştirmeyi sağlar. Bu tümleştirme, ortamınıza daha zengin içgörüler sağlamak için Azure AD etkinlik günlüğü verilerini SIEM'iniz tarafından yönetilen diğer verilerle birleştirmenizi sağlar.

Olay hub'ına günlük akışı yapmayı öğrenin.

Azure AD raporlama ve izleme için İşlemleri ve Güvenliği Planlama

Proje katılımcılarının operasyonel içgörüler elde etmek için Azure AD günlüklerine erişmesi gerekir. Büyük olasılıkla kullanıcılar güvenlik ekibi üyelerini, iç veya dış denetçileri ve kimlik ve erişim yönetimi işlemleri ekibini içerir.

Azure AD rolleri, rolünüz temelinde Azure AD Raporlarını yapılandırma ve görüntüleme olanağını temsilci olarak atamanızı sağlar. Kuruluşunuzdaki kimlerin Azure AD raporlarını okumak için izne ihtiyacı olduğunu ve bunlara hangi rolün uygun olacağını belirleyin.

Aşağıdaki roller Azure AD raporlarını okuyabilir:

  • Genel Yönetici

  • Güvenlik Yöneticisi

  • Güvenlik Okuyucusu

  • Rapor Okuyucusu

Azure AD Yönetim Rolleri hakkında daha fazla bilgi edinin.

Hesabın güvenliğinin aşılmasına neden olan riski azaltmak için her zaman en düşük ayrıcalıklar kavramını uygulayın. Kuruluşunuzun güvenliğini daha da sağlamak için Privileged Identity Management uygulamayı göz önünde bulundurun.

Azure AD raporlama ve izlemesini dağıtma

Yukarıdaki tasarım kılavuzunu kullanarak daha önce almış olduğunuz kararlara bağlı olarak, bu bölüm size farklı dağıtım seçenekleriyle ilgili belgelere yol gösterir.

Azure AD günlüklerini kullanma ve arşivle

Azure portalda etkinlik raporlarını bulma

Azure AD günlüklerini bir Azure Depolama hesabında arşivleyin

İzleme ve analiz uygulama

Günlükleri Azure İzleyici'ye gönderme

Azure Active Directory için Log Analytics görünümlerini yükleme ve kullanma

Azure AD etkinlik günlüklerini Azure İzleyici günlükleriyle analiz etme

Sonraki adımlar

Privileged Identity Management uygulamayı göz önünde bulundurun

Azure rol tabanlı erişim denetimi (Azure RBAC) uygulamayı göz önünde bulundurun