Microsoft Entra 監視和健康情況部署相依性

您的 Microsoft Entra 報告和監視解決方案取決於法律、安全性、操作需求,以及您環境的程式。 使用下列各節來瞭解設計選項和部署策略。

Microsoft Entra 報告和監視的優點

Microsoft Entra ID 報告在您的環境中具有 Microsoft Entra 活動的檢視和記錄:登入和稽核事件,也會變更您的目錄。

使用資料輸出來:

  • 決定您的應用程式和服務的使用方式。
  • 偵測可能影響環境健康情況的潛在風險。
  • 針對防止使用者完成工作的問題進行疑難排解。
  • 查看 Microsoft Entra 目錄變更的稽核事件,以取得見解。

Microsoft Entra 監視可讓您將 Microsoft Entra ID 報告所產生的記錄路由傳送至不同的目標系統。 然後,您可以保留它以供長期使用,或將其與協力廠商安全性資訊與事件管理 (SIEM) 工具整合,以深入瞭解您的環境。

透過 Microsoft Entra 監視,您可以將記錄路由傳送至:

  • 用於封存用途的 Azure 儲存體帳戶。
  • Azure 監視器記錄,您可以在其中分析資料、建立儀表板,以及針對特定事件發出警示。
  • Azure 事件中樞,您可以與現有的 SIEM 工具整合,例如 Splunk、Sumologic 或 QRadar。

必要條件

您需要 Microsoft Entra ID P1 或 P2 授權,才能存取 Microsoft Entra 登入記錄。

如需詳細的功能和授權資訊,請參閱 Microsoft Entra 定價指南

若要部署 Microsoft Entra 監視和健康情況,您需要 Microsoft Entra 租使用者是全域管理員istrator 或 Security 管理員istrator 的使用者。

規劃和部署 Microsoft Entra 監視和健康情況部署專案

報告和監視可用來符合您的商務需求、深入瞭解使用模式,以及增加組織的安全性狀態。 在此專案中,您將定義將取用和監視報表的物件,並定義您的 Microsoft Entra 監視架構。

專案關係人、通訊和檔

當技術專案失敗時,通常會因為對效果、結果和責任的預期不符而這麼做。 若要避免這些陷阱, 請確定您參與正確的專案關係人 。 同時,藉由記錄專案關係人及其專案投入和責任,確保專案中的專案關係人角色能夠充分瞭解。

專案關係人必須存取 Microsoft Entra 記錄以取得作業見解。 可能的使用者包括安全性小組成員、內部或外部稽核員,以及身分識別和存取管理作業小組。

Microsoft Entra 角色可讓您委派根據角色設定及檢視 Microsoft Entra 報告的能力。 識別組織中誰需要讀取 Microsoft Entra 報告的許可權,以及哪些角色適合他們。

下列角色可以讀取 Microsoft Entra 報告:

  • 全域管理員
  • 安全性系統管理員
  • 安全性讀取者
  • 報告讀取者

深入瞭解 Microsoft Entra 管理員istrative 角色 。 一律套用最低許可權的概念,以減少帳戶入侵的風險。 請考慮實作 Privileged Identity Management ,以進一步保護您的組織。

與利害關係人互動

成功的專案符合期望、結果和責任。 請參閱 Microsoft Entra 部署計畫 。 記錄並傳達需要輸入和問責的專案關係人角色。

溝通計劃

告知您的使用者何時及如何變更其體驗。 提供支援連絡資訊。

  • 如果有的話,您正在使用的 SIEM 工具。
  • 您的 Azure 基礎結構,包括現有的儲存體帳戶和使用監視。
  • 適用于記錄的組織保留原則,包括所需的任何適用的合規性架構。

商務使用案例

若要更妥善地排定使用案例和解決方案的優先順序,請依「符合商務需求所需的解決方案」、「必須符合商務需求」和「不適用」來組織選項。

考量

  • 保留 - 記錄保留:儲存稽核記錄並登入 Microsoft Entra 超過 30 天的記錄
  • 分析 - 記錄可流量分析工具進行搜尋
  • 作業和安全性見解 - 提供應用程式使用方式、登入錯誤、自助式使用方式、趨勢等存取權。
  • SIEM 整合 - 將 Microsoft Entra 登入記錄和稽核記錄整合並串流至 SIEM 系統

監視解決方案架構

透過 Microsoft Entra 監視,您可以路由傳送 Microsoft Entra 活動記錄,並保留它們以供長期報告和分析,以取得環境見解,並將其與 SIEM 工具整合。 使用下列決策流程圖來協助選取架構。

Decision matrix for business-need architecture.

封存儲存體帳戶中的記錄

您可以將記錄路由傳送至 Azure 儲存體帳戶,以保留比預設保留期間更長的時間。

重要

如果不需要整合記錄與 SIEM 系統,或不需要進行中的查詢和分析,請使用這個封存方法。 您可以使用隨選搜尋。

深入了解:

將記錄串流至儲存體和 SIEM 工具

下一步