Závislosti nasazení služby Microsoft Entra a monitorování stavu

  • Článek

Řešení generování sestav a monitorování Microsoft Entra závisí na právních, bezpečnostních, provozních požadavcích a procesech vašeho prostředí. V následujících částech se dozvíte o možnostech návrhu a strategii nasazení.

Výhody generování sestav a monitorování Microsoft Entra

Vytváření sestav ID Microsoft Entra obsahuje zobrazení a protokoly aktivity Microsoft Entra ve vašem prostředí: události přihlášení a auditu, také změny ve vašem adresáři.

Pomocí výstupu dat můžete:

  • určete, jak se používají vaše aplikace a služby.
  • rozpozná potenciální rizika ovlivňující stav vašeho prostředí.
  • vyřešte problémy, které uživatelům brání v práci.
  • získejte přehled o událostech auditu změn v adresáři Microsoft Entra.

Monitorování Microsoft Entra umožňuje směrovat protokoly generované generováním sestav ID Microsoft Entra do různých cílových systémů. Následně je můžete ukládat pro účely dlouhodobého používání nebo integrovat s nástroji pro správu akcí a informací o zabezpečení (SIEM) třetích stran a získat tak přehled o vašem prostředí.

Pomocí monitorování Microsoft Entra můžete protokoly směrovat do:

  • účet úložiště Azure pro účely archivace.
  • Protokoly služby Azure Monitor, kde můžete analyzovat data, vytvářet řídicí panely a upozorňovat na konkrétní události.
  • Centrum událostí Azure, kde můžete integrovat s existujícími nástroji SIEM, jako jsou Splunk, Sumologic nebo QRadar.

Požadavky

Pro přístup k protokolům přihlašování k Microsoft Entra budete potřebovat licenci Microsoft Entra ID P1 nebo P2.

Podrobné informace o funkcích a licencování najdete v průvodci cenami Microsoft Entra.

Pokud chcete nasadit monitorování a stav Microsoft Entra, budete potřebovat uživatele, který je Správa stratorem zabezpečení pro tenanta Microsoft Entra.

Plánování a nasazení projektu monitorování a stavu Microsoft Entra

Vytváření sestav a monitorování se používá ke splnění obchodních požadavků, získání přehledů o vzorech využití a zvýšení stavu zabezpečení vaší organizace. V tomto projektu definujete cílové skupiny, které budou využívat a monitorovat sestavy, a definujete architekturu monitorování Microsoft Entra.

Zúčastněné strany, komunikace a dokumentace

Pokud technologické projekty selžou, obvykle to dělají kvůli neshodě očekávání ohledně účinku, výsledků a zodpovědností. Abyste se těmto nástrahám vyhnuli, zajistěte, abyste se zapojili do správných zúčastněných stran. Zajistěte také, aby role účastníků v projektu byly dobře srozumitelné tím, že zdokumentují zúčastněné strany a jejich vstupy a povinnosti.

Zúčastněné strany potřebují přístup k protokolům Microsoft Entra, aby získaly provozní přehledy. Mezi pravděpodobné uživatele patří členové týmu zabezpečení, interní nebo externí auditoři a provozní tým správy identit a přístupu.

Role Microsoft Entra umožňují delegovat možnost konfigurovat a zobrazovat sestavy Microsoft Entra na základě vaší role. Určete, kdo ve vaší organizaci potřebuje oprávnění ke čtení sestav Microsoft Entra a jaké role by pro ně byla vhodná.

Následující role mohou číst sestavy Microsoft Entra:

  • Správce zabezpečení
  • Čtenář zabezpečení
  • Čtenář sestav

Přečtěte si další informace o Správa istrativních rolích Microsoft Entra. Vždy používejte koncept nejnižších oprávnění, abyste snížili riziko ohrožení účtu. Zvažte implementaci Privileged Identity Management pro lepší zabezpečení vaší organizace.

Zapojení zúčastněných stran

Úspěšné projekty odpovídají očekáváním, výsledkům a zodpovědnostem. Viz plány nasazení Microsoft Entra. Zdokumentujte a komunikujte s rolemi účastníků, které vyžadují vstup a odpovědnost.

Komunikační plán

Řekněte uživatelům, kdy a jak se jejich prostředí změní. Zadejte kontaktní informace pro podporu.

  • Co když nějaké, nástroje SIEM, které používáte.
  • Vaše infrastruktura Azure, včetně existujících účtů úložiště a monitorování, které se používají.
  • Zásady uchovávání informací vaší organizace pro protokoly, včetně případných požadovaných architektur dodržování předpisů.

Obchodní případy použití

Pokud chcete lépe určit prioritu případů použití a řešení, uspořádejte možnosti podle "požadovaného řešení pro splnění obchodních potřeb", "pěkné, že je potřeba splnit obchodní potřeby" a "nepoužitelné".

Důležité informace

  • Uchovávání – uchovávání protokolů: ukládání protokolů auditu a přihlašování protokolů Microsoft Entra déle než 30 dnů
  • Analýza – Protokoly se dají prohledávat pomocí analytických nástrojů
  • Provozní a bezpečnostní přehledy – Poskytují přístup k používání aplikací, chybám přihlašování, samoobslužným používáním, trendům atd.
  • Integrace SIEM – Integrace a streamování protokolů přihlašování Microsoft Entra a protokolů auditu do systémů SIEM

Architektura řešení monitorování

Pomocí monitorování Microsoft Entra můžete směrovat protokoly aktivit Microsoft Entra a uchovávat je pro dlouhodobé generování sestav a analýzu, abyste získali přehledy o prostředí a integrovali je s nástroji SIEM. Následující vývojový diagram rozhodování vám pomůže vybrat architekturu.

Rozhodovací matice pro architekturu obchodních potřeb

Archivace protokolů v účtu úložiště

Protokoly můžete uchovávat déle, než je výchozí doba uchovávání, a to tak, že je nasměrujete do účtu úložiště Azure.

Důležité

Tuto metodu archivace použijte, pokud není potřeba integrovat protokoly se systémem SIEM nebo nepotřebujete průběžné dotazy a analýzy. Můžete použít vyhledávání na vyžádání.

Další informace:

Streamování protokolů do nástrojů úložiště a SIEM

Další kroky