Závislosti nasazení služby Microsoft Entra a monitorování stavu
Řešení generování sestav a monitorování Microsoft Entra závisí na právních, bezpečnostních, provozních požadavcích a procesech vašeho prostředí. V následujících částech se dozvíte o možnostech návrhu a strategii nasazení.
Výhody generování sestav a monitorování Microsoft Entra
Vytváření sestav ID Microsoft Entra obsahuje zobrazení a protokoly aktivity Microsoft Entra ve vašem prostředí: události přihlášení a auditu, také změny ve vašem adresáři.
Pomocí výstupu dat můžete:
- určete, jak se používají vaše aplikace a služby.
- rozpozná potenciální rizika ovlivňující stav vašeho prostředí.
- vyřešte problémy, které uživatelům brání v práci.
- získejte přehled o událostech auditu změn v adresáři Microsoft Entra.
Monitorování Microsoft Entra umožňuje směrovat protokoly generované generováním sestav ID Microsoft Entra do různých cílových systémů. Následně je můžete ukládat pro účely dlouhodobého používání nebo integrovat s nástroji pro správu akcí a informací o zabezpečení (SIEM) třetích stran a získat tak přehled o vašem prostředí.
Pomocí monitorování Microsoft Entra můžete protokoly směrovat do:
- účet úložiště Azure pro účely archivace.
- Protokoly služby Azure Monitor, kde můžete analyzovat data, vytvářet řídicí panely a upozorňovat na konkrétní události.
- Centrum událostí Azure, kde můžete integrovat s existujícími nástroji SIEM, jako jsou Splunk, Sumologic nebo QRadar.
Požadavky
Pro přístup k protokolům přihlašování k Microsoft Entra budete potřebovat licenci Microsoft Entra ID P1 nebo P2.
Podrobné informace o funkcích a licencování najdete v průvodci cenami Microsoft Entra.
Pokud chcete nasadit monitorování a stav Microsoft Entra, budete potřebovat uživatele, který je Správa stratorem zabezpečení pro tenanta Microsoft Entra.
- Datová platforma služby Azure Monitor
- Změny názvů a terminologie služby Azure Monitor
- Jak dlouho Microsoft Entra ID ukládá data generování sestav?
- Účet úložiště Azure, ke kterému máte
ListKeys
oprávnění. Doporučujeme použít obecný účet úložiště, ne účet úložiště objektů blob. Informace o cenách úložiště najdete v cenové kalkulačce služby Azure Storage. - Obor názvů služby Azure Event Hubs pro integraci s řešeními SIEM třetích stran.
- Pracovní prostor Azure Log Analytics pro odesílání protokolů do protokolů služby Azure Monitor
Plánování a nasazení projektu monitorování a stavu Microsoft Entra
Vytváření sestav a monitorování se používá ke splnění obchodních požadavků, získání přehledů o vzorech využití a zvýšení stavu zabezpečení vaší organizace. V tomto projektu definujete cílové skupiny, které budou využívat a monitorovat sestavy, a definujete architekturu monitorování Microsoft Entra.
Zúčastněné strany, komunikace a dokumentace
Pokud technologické projekty selžou, obvykle to dělají kvůli neshodě očekávání ohledně účinku, výsledků a zodpovědností. Abyste se těmto nástrahám vyhnuli, zajistěte, abyste se zapojili do správných zúčastněných stran. Zajistěte také, aby role účastníků v projektu byly dobře srozumitelné tím, že zdokumentují zúčastněné strany a jejich vstupy a povinnosti.
Zúčastněné strany potřebují přístup k protokolům Microsoft Entra, aby získaly provozní přehledy. Mezi pravděpodobné uživatele patří členové týmu zabezpečení, interní nebo externí auditoři a provozní tým správy identit a přístupu.
Role Microsoft Entra umožňují delegovat možnost konfigurovat a zobrazovat sestavy Microsoft Entra na základě vaší role. Určete, kdo ve vaší organizaci potřebuje oprávnění ke čtení sestav Microsoft Entra a jaké role by pro ně byla vhodná.
Následující role mohou číst sestavy Microsoft Entra:
- Správce zabezpečení
- Čtenář zabezpečení
- Čtenář sestav
Přečtěte si další informace o Správa istrativních rolích Microsoft Entra. Vždy používejte koncept nejnižších oprávnění, abyste snížili riziko ohrožení účtu. Zvažte implementaci Privileged Identity Management pro lepší zabezpečení vaší organizace.
Zapojení zúčastněných stran
Úspěšné projekty odpovídají očekáváním, výsledkům a zodpovědnostem. Viz plány nasazení Microsoft Entra. Zdokumentujte a komunikujte s rolemi účastníků, které vyžadují vstup a odpovědnost.
Komunikační plán
Řekněte uživatelům, kdy a jak se jejich prostředí změní. Zadejte kontaktní informace pro podporu.
- Co když nějaké, nástroje SIEM, které používáte.
- Vaše infrastruktura Azure, včetně existujících účtů úložiště a monitorování, které se používají.
- Zásady uchovávání informací vaší organizace pro protokoly, včetně případných požadovaných architektur dodržování předpisů.
Obchodní případy použití
Pokud chcete lépe určit prioritu případů použití a řešení, uspořádejte možnosti podle "požadovaného řešení pro splnění obchodních potřeb", "pěkné, že je potřeba splnit obchodní potřeby" a "nepoužitelné".
Důležité informace
- Uchovávání – uchovávání protokolů: ukládání protokolů auditu a přihlašování protokolů Microsoft Entra déle než 30 dnů
- Analýza – Protokoly se dají prohledávat pomocí analytických nástrojů
- Provozní a bezpečnostní přehledy – Poskytují přístup k používání aplikací, chybám přihlašování, samoobslužným používáním, trendům atd.
- Integrace SIEM – Integrace a streamování protokolů přihlašování Microsoft Entra a protokolů auditu do systémů SIEM
Architektura řešení monitorování
Pomocí monitorování Microsoft Entra můžete směrovat protokoly aktivit Microsoft Entra a uchovávat je pro dlouhodobé generování sestav a analýzu, abyste získali přehledy o prostředí a integrovali je s nástroji SIEM. Následující vývojový diagram rozhodování vám pomůže vybrat architekturu.
Archivace protokolů v účtu úložiště
Protokoly můžete uchovávat déle, než je výchozí doba uchovávání, a to tak, že je nasměrujete do účtu úložiště Azure.
Důležité
Tuto metodu archivace použijte, pokud není potřeba integrovat protokoly se systémem SIEM nebo nepotřebujete průběžné dotazy a analýzy. Můžete použít vyhledávání na vyžádání.
Další informace:
- Jak dlouho Microsoft Entra ID ukládá data generování sestav?
- Kurz: Archivace protokolů Microsoft Entra do účtu úložiště Azure
Streamování protokolů do nástrojů úložiště a SIEM
- Integrujte protokoly Microsoft Entra s protokoly azure Monitoru.
- Analyzujte protokoly aktivit Microsoft Entra pomocí protokolů služby Azure Monitor.
- Informace o streamování protokolů do centra událostí.
- Zjistěte, jak archivovat protokoly Microsoft Entra do účtu azure Storage.
- Směrování protokolů Microsoft Entra do centra událostí
Další kroky
- Zvažte implementaci privileged Identity Management.
- Zvažte implementaci řízení přístupu na základě role v Azure.
- Přečtěte si další informace o zásadách uchovávání sestav.
- Analýza protokolů aktivit Microsoft Entra pomocí protokolů služby Azure Monitor