A Microsoft Entra monitorozási és állapotterjesztési függőségei
A Microsoft Entra jelentéskészítési és monitorozási megoldása a jogi, biztonsági, üzemeltetési követelményektől és a környezet folyamatától függ. Az alábbi szakaszokban megismerheti a tervezési lehetőségeket és az üzembe helyezési stratégiát.
A Microsoft Entra jelentéskészítésének és monitorozásának előnyei
A Microsoft Entra ID jelentéskészítés a Microsoft Entra tevékenységének nézetét és naplóit tartalmazza a környezetében: bejelentkezési és naplózási eseményeket, valamint a címtár módosításait.
Adatkimenet használata a következőhöz:
- határozza meg az alkalmazások és szolgáltatások használatát.
- észlelheti a környezet állapotát érintő lehetséges kockázatokat.
- elháríthatja azokat a problémákat, amelyek miatt a felhasználók nem végezhetik el a munkájukat.
- a Microsoft Entra-címtár változásainak naplózási eseményeit tekintheti meg.
A Microsoft Entra monitorozása lehetővé teszi, hogy a Microsoft Entra ID jelentéskészítés által létrehozott naplókat különböző célrendszerekbe irányítsa. Ezután megőrizheti őket hosszú távú használatra, vagy külső biztonságiinformáció- és eseménykezelési (SIEM-) eszközökkel integrálva elemezheti a környezetet.
A Microsoft Entra monitorozásával a naplókat a következőre irányíthatja:
- Egy Azure Storage-fiók archiválási célokra.
- Azure Monitor-naplók, ahol elemezheti az adatokat, irányítópultokat hozhat létre és riasztásokat készíthet adott eseményeken.
- Egy Azure-eseményközpont, ahol integrálható a meglévő SIEM-eszközökkel, például Aplunk, Sumologic vagy QRadar.
Előfeltételek
A Microsoft Entra bejelentkezési naplóinak eléréséhez P1 vagy P2 azonosítójú Microsoft Entra-licencre lesz szüksége.
A funkcióval és a licenccel kapcsolatos részletes információkért tekintse meg a Microsoft Entra díjszabási útmutatóját.
A Microsoft Entra monitorozásának és állapotának üzembe helyezéséhez szüksége lesz egy olyan felhasználóra, aki a Microsoft Entra-bérlő biztonsági Rendszergazda istratora.
- Az Azure Monitor adatplatformja
- Az Azure Monitor elnevezési és terminológiai változásai
- Mennyi ideig tárolja a Microsoft Entra ID a jelentéskészítési adatokat?
- Egy Azure Storage-fiók, amelyhez rendelkezik
ListKeys
engedélyekkel. Azt javasoljuk, hogy általános tárfiókot használjon, ne Blob Storage-fiókot. A tárolás díjszabásával kapcsolatban lásd az Azure Storage-díjkalkulátort. - Egy Azure Event Hubs-névtér, amely integrálható külső SIEM-megoldásokkal.
- Egy Azure Log Analytics-munkaterület, amely naplókat küld az Azure Monitor naplóinak.
Microsoft Entra monitorozási és állapotterjesztési projekt tervezése és üzembe helyezése
A jelentéskészítés és a monitorozás az üzleti követelményeknek való megfelelésre, a használati minták elemzésére és a szervezet biztonsági helyzetének növelésére szolgál. Ebben a projektben meg fogja határozni a jelentéseket használó és figyelő célközönségeket, és definiálja a Microsoft Entra monitorozási architektúráját.
Érdekelt felek, kommunikáció és dokumentáció
Ha a technológiai projektek meghiúsulnak, általában a hatásra, az eredményekre és a felelősségekre vonatkozó eltérő elvárások miatt teszik ezt. A buktatók elkerülése érdekében győződjön meg arról, hogy a megfelelő érdekelt feleket szeretné bevonni. Emellett az érdekelt felek és a projekt bemenetének és feladatainak dokumentálásával biztosíthatja, hogy a projektben érdekelt felek szerepkörei jól érthetők legyenek.
Az érdekelt feleknek hozzá kell férnie a Microsoft Entra-naplókhoz, hogy operatív megállapításokat szerezzenek. Valószínű, hogy a felhasználók közé tartoznak a biztonsági csapat tagjai, a belső vagy külső auditorok, valamint az identitás- és hozzáférés-kezelési üzemeltetési csapat.
A Microsoft Entra-szerepkörök lehetővé teszik a Microsoft Entra-jelentések konfigurálásának és megtekintésének képességét a szerepköre alapján. Annak azonosítása, hogy a szervezetében kinek van szüksége engedélyre a Microsoft Entra-jelentések olvasásához, és hogy milyen szerepkör lenne megfelelő számukra.
A következő szerepkörök olvashatják a Microsoft Entra-jelentéseket:
- Biztonsági rendszergazda
- Biztonsági olvasó
- Jelentésolvasó
További információ a Microsoft Entra Rendszergazda istrative szerepköreiről. Mindig alkalmazza a minimális jogosultságok fogalmát a fiókrombat kockázatának csökkentése érdekében. Fontolja meg a Privileged Identity Management implementálását a szervezet további védelme érdekében.
Érdekelt felek bevonása
A sikeres projektek összhangban vannak az elvárásokkal, az eredményekkel és a felelősségekkel. Lásd: Microsoft Entra üzembe helyezési csomagok. Dokumentálja és kommunikálja azokat az érdekelt szerepköröket, amelyek bemenetet és elszámoltathatóságot igényelnek.
Kommunikációs terv
Tájékoztassa a felhasználókat, hogy mikor és hogyan változnak a felhasználói élményük. Adja meg a támogatási kapcsolattartási adatokat.
- Mi, ha vannak ilyenek, a használt SIEM-eszközök.
- Azure-infrastruktúrája, beleértve a meglévő tárfiókokat és a monitorozást.
- A naplókra vonatkozó szervezeti adatmegőrzési szabályzatok, beleértve a szükséges megfelelőségi keretrendszereket is.
Üzleti használati esetek
A használati esetek és megoldások jobb rangsorolásához rendezze a lehetőségeket úgy, hogy "az üzleti igényeknek megfelelő megoldáshoz szükséges", "jó, hogy meg kell felelnie az üzleti igényeknek", és "nem alkalmazható".
Megfontolások
- Megőrzés – Naplómegőrzés: naplók tárolása és a Microsoft Entra bejelentkezési naplóinak tárolása 30 napnál hosszabb ideig
- Elemzés – A naplók elemzési eszközökkel kereshetők
- Működési és biztonsági elemzések – Hozzáférést biztosít az alkalmazáshasználathoz, a bejelentkezési hibákhoz, az önkiszolgáló használathoz, a trendekhez stb.
- SIEM-integráció – A Microsoft Entra bejelentkezési naplóinak és naplóinak integrálása és streamelése SIEM-rendszerekbe
A megoldásarchitektúra monitorozása
A Microsoft Entra monitorozásával átirányíthatja a Microsoft Entra tevékenységnaplóit, és megőrizheti őket a hosszú távú jelentéskészítéshez és elemzéshez, hogy környezeti elemzéseket nyerjen, és integrálhassa őket a SIEM-eszközökkel. Az architektúra kiválasztásához használja az alábbi döntési folyamatdiagramot.
Naplók archiválása tárfiókban
A naplókat az alapértelmezett megőrzési időszaknál hosszabb ideig is megőrizheti, ha egy Azure Storage-fiókhoz irányítja őket.
Fontos
Ezt az archiválási módszert akkor használja, ha nem szükséges naplókat integrálni egy SIEM-rendszerrel, vagy nincs szükség folyamatban lévő lekérdezésekre és elemzésekre. Igény szerinti kereséseket is használhat.
További információ:
- Mennyi ideig tárolja a Microsoft Entra ID a jelentéskészítési adatokat?
- Oktatóanyag: Microsoft Entra-naplók archiválása Azure-tárfiókba
Naplók streamelése tároló- és SIEM-eszközökre
- A Microsoft Entra-naplók integrálása az Azure Monitor-naplókkal.
- A Microsoft Entra tevékenységnaplóinak elemzése Azure Monitor-naplókkal.
- További információ a naplók eseményközpontokba való streameléséről.
- Megtudhatja, hogyan archiválhatja a Microsoft Entra-naplókat egy Azure Storage-fiókba.
- Microsoft Entra-naplók átirányítása eseményközpontba
Következő lépések
- Fontolja meg a Privileged Identity Management implementálását
- Fontolja meg az Azure szerepköralapú hozzáférés-vezérlésének implementálását
- További információ a jelentésmegőrzési szabályzatokról.
- A Microsoft Entra tevékenységnaplóinak elemzése Azure Monitor-naplókkal