Microsoft Entra 監視和健康情況部署相依性
您的 Microsoft Entra 報告和監視解決方案取決於法律、安全性、操作需求,以及您環境的程式。 使用下列各節來瞭解設計選項和部署策略。
Microsoft Entra 報告和監視的優點
Microsoft Entra ID 報告在您的環境中具有 Microsoft Entra 活動的檢視和記錄:登入和稽核事件,也會變更您的目錄。
使用資料輸出來:
- 決定您的應用程式和服務的使用方式。
- 偵測可能影響環境健康情況的潛在風險。
- 針對防止使用者完成工作的問題進行疑難排解。
- 查看 Microsoft Entra 目錄變更的稽核事件,以取得見解。
Microsoft Entra 監視可讓您將 Microsoft Entra ID 報告所產生的記錄路由傳送至不同的目標系統。 然後,您可以保留它以供長期使用,或將其與協力廠商安全性資訊與事件管理 (SIEM) 工具整合,以深入瞭解您的環境。
透過 Microsoft Entra 監視,您可以將記錄路由傳送至:
- 用於封存用途的 Azure 儲存體帳戶。
- Azure 監視器記錄,您可以在其中分析資料、建立儀表板,以及針對特定事件發出警示。
- Azure 事件中樞,您可以與現有的 SIEM 工具整合,例如 Splunk、Sumologic 或 QRadar。
必要條件
您需要 Microsoft Entra ID P1 或 P2 授權,才能存取 Microsoft Entra 登入記錄。
如需詳細的功能和授權資訊,請參閱 Microsoft Entra 定價指南 。
若要部署 Microsoft Entra 監視和健康情況,您需要 Microsoft Entra 租使用者是全域管理員istrator 或 Security 管理員istrator 的使用者。
- Azure 監視器資料平台
- Azure 監視器命名和術語變更
- Microsoft Entra ID 會儲存報告資料多久?
- 您具有
ListKeys
許可權的 Azure 儲存體帳戶。 我們建議您使用一般儲存體帳戶,而不是 Blob 儲存體帳戶。 如需儲存體定價資訊,請參閱 Azure 儲存體定價計算機 。 - 要與協力廠商 SIEM 解決方案整合的Azure 事件中樞命名空間。
- 將記錄傳送至 Azure 監視器記錄的 Azure Log Analytics 工作區。
規劃和部署 Microsoft Entra 監視和健康情況部署專案
報告和監視可用來符合您的商務需求、深入瞭解使用模式,以及增加組織的安全性狀態。 在此專案中,您將定義將取用和監視報表的物件,並定義您的 Microsoft Entra 監視架構。
專案關係人、通訊和檔
當技術專案失敗時,通常會因為對效果、結果和責任的預期不符而這麼做。 若要避免這些陷阱, 請確定您參與正確的專案關係人 。 同時,藉由記錄專案關係人及其專案投入和責任,確保專案中的專案關係人角色能夠充分瞭解。
專案關係人必須存取 Microsoft Entra 記錄以取得作業見解。 可能的使用者包括安全性小組成員、內部或外部稽核員,以及身分識別和存取管理作業小組。
Microsoft Entra 角色可讓您委派根據角色設定及檢視 Microsoft Entra 報告的能力。 識別組織中誰需要讀取 Microsoft Entra 報告的許可權,以及哪些角色適合他們。
下列角色可以讀取 Microsoft Entra 報告:
- 全域管理員
- 安全性系統管理員
- 安全性讀取者
- 報告讀取者
深入瞭解 Microsoft Entra 管理員istrative 角色 。 一律套用最低許可權的概念,以減少帳戶入侵的風險。 請考慮實作 Privileged Identity Management ,以進一步保護您的組織。
與利害關係人互動
成功的專案符合期望、結果和責任。 請參閱 Microsoft Entra 部署計畫 。 記錄並傳達需要輸入和問責的專案關係人角色。
溝通計劃
告知您的使用者何時及如何變更其體驗。 提供支援連絡資訊。
- 如果有的話,您正在使用的 SIEM 工具。
- 您的 Azure 基礎結構,包括現有的儲存體帳戶和使用監視。
- 適用于記錄的組織保留原則,包括所需的任何適用的合規性架構。
商務使用案例
若要更妥善地排定使用案例和解決方案的優先順序,請依「符合商務需求所需的解決方案」、「必須符合商務需求」和「不適用」來組織選項。
考量
- 保留 - 記錄保留:儲存稽核記錄並登入 Microsoft Entra 超過 30 天的記錄
- 分析 - 記錄可流量分析工具進行搜尋
- 作業和安全性見解 - 提供應用程式使用方式、登入錯誤、自助式使用方式、趨勢等存取權。
- SIEM 整合 - 將 Microsoft Entra 登入記錄和稽核記錄整合並串流至 SIEM 系統
監視解決方案架構
透過 Microsoft Entra 監視,您可以路由傳送 Microsoft Entra 活動記錄,並保留它們以供長期報告和分析,以取得環境見解,並將其與 SIEM 工具整合。 使用下列決策流程圖來協助選取架構。
封存儲存體帳戶中的記錄
您可以將記錄路由傳送至 Azure 儲存體帳戶,以保留比預設保留期間更長的時間。
重要
如果不需要整合記錄與 SIEM 系統,或不需要進行中的查詢和分析,請使用這個封存方法。 您可以使用隨選搜尋。
深入了解:
將記錄串流至儲存體和 SIEM 工具
- 整合 Microsoft Entra 記錄與 Azure 監視器記錄 。
- 使用 Azure 監視器記錄分析 Microsoft Entra 活動記錄 。
- 瞭解如何將 記錄串流至事件中樞 。
- 瞭解如何將 Microsoft Entra 記錄封存至Azure 儲存體帳戶 。
- 將 Microsoft Entra 記錄路由傳送至事件中樞