Afhankelijkheden van Microsoft Entra-bewaking en statusimplementatie

Uw Microsoft Entra-rapportage- en bewakingsoplossing is afhankelijk van juridische, beveiligings-, operationele vereisten en de processen van uw omgeving. Gebruik de volgende secties voor meer informatie over ontwerpopties en implementatiestrategie.

Voordelen van Microsoft Entra-rapportage en -bewaking

Microsoft Entra ID-rapportage heeft een weergave en logboeken van Microsoft Entra-activiteiten in uw omgeving: aanmeldings- en controlegebeurtenissen, ook wijzigingen in uw directory.

Gegevensuitvoer gebruiken om:

  • bepalen hoe uw apps en services worden gebruikt;
  • potentiĆ«le risico's detecteren die van invloed zijn op de status van uw omgeving;
  • problemen oplossen waardoor uw gebruikers hun werk niet kunnen doen;
  • krijg inzicht door controlegebeurtenissen van wijzigingen in uw Microsoft Entra-directory te bekijken.

Met Microsoft Entra-bewaking kunt u uw logboeken routeren die zijn gegenereerd door Microsoft Entra ID-rapportage naar verschillende doelsystemen. U kunt deze vervolgens behouden voor later gebruik of integreren met SIEM-hulpprogramma's (Security Information and Event Management) van derden om meer inzicht in uw omgeving te verkrijgen.

Met Microsoft Entra-bewaking kunt u logboeken routeren naar:

  • een Azure-opslagaccount voor archiveringsdoeleinden;
  • Azure Monitor-logboeken, waar u de gegevens kunt analyseren, dashboards kunt maken en waarschuwingen kunt ontvangen over specifieke gebeurtenissen.
  • een Azure Event Hub, waar u kunt integreren met uw bestaande SIEM-hulpprogramma's, zoals Splunk, Sumologic of QRadar.

Vereisten

U hebt een Microsoft Entra ID P1- of P2-licentie nodig voor toegang tot de aanmeldingslogboeken van Microsoft Entra.

Zie de prijshandleiding voor Microsoft Entra voor gedetailleerde informatie over functies en licenties.

Als u Microsoft Entra-bewaking en -status wilt implementeren, hebt u een gebruiker nodig die een Global Beheer istrator of Security Beheer istrator voor de Microsoft Entra-tenant is.

Een Microsoft Entra-bewakings- en statusimplementatieproject plannen en implementeren

Rapportage en bewaking worden gebruikt om te voldoen aan uw bedrijfsvereisten, inzicht te krijgen in gebruikspatronen en de stand van uw beveiliging van uw organisatie te verhogen. In dit project definieert u de doelgroepen die rapporten gebruiken en bewaken en definieert u uw Microsoft Entra-bewakingsarchitectuur.

Belanghebbenden, communicatie en documentatie

Wanneer technologieprojecten mislukken, doen ze dit meestal vanwege niet-overeenkomende verwachtingen op effect, resultaten en verantwoordelijkheden. U kunt deze valkuilen voorkomen door ervoor te zorgen dat u de juiste belanghebbenden inschakelt. Zorg er ook voor dat belanghebbenden in het project goed worden begrepen door de belanghebbenden en hun projectinvoer en verantwoordelijkheden te documenteren.

Belanghebbenden moeten toegang krijgen tot Microsoft Entra-logboeken om operationele inzichten te verkrijgen. Vermoedelijke gebruikers zijn onder anderen leden van het beveiligingsteam, interne of externe auditors en leden van het operations-team voor identiteits- en toegangsbeheer.

Met Microsoft Entra-rollen kunt u de mogelijkheid voor het configureren en weergeven van Microsoft Entra-rapporten delegeren op basis van uw rol. Bepaal wie in uw organisatie gemachtigd is om Microsoft Entra-rapporten te lezen en welke rol geschikt is voor hen.

De volgende rollen kunnen Microsoft Entra-rapporten lezen:

  • Globale beheerder
  • Beveiligingsbeheer
  • Beveiligingslezer
  • Rapportlezer

Meer informatie over Microsoft Entra Beheer istische rollen. Pas altijd het concept van minimale bevoegdheden toe om het risico op misbruik van accounts te verkleinen. Overweeg het implementeren van Privileged Identity Management om uw organisatie verder te beveiligen.

Belanghebbenden betrekken

Succesvolle projecten stemmen verwachtingen, resultaten en verantwoordelijkheden af. Zie Microsoft Entra-implementatieplannen. Documenteer en communiceer rollen van belanghebbenden die input en verantwoording vereisen.

Communicatieplan

Vertel uw gebruikers wanneer en hoe hun ervaring verandert. Geef contactgegevens op voor ondersteuning.

  • Wat de SIEM-hulpprogramma's die u eventueel gebruikt.
  • Uw Azure-infrastructuur, inclusief bestaande opslagaccounts en de gebruikte bewaking.
  • Het bewaarbeleid in uw organisatie voor logboeken, inclusief eventuele vereiste en toepasselijke frameworks voor naleving.

Zakelijke use-cases

Als u de use cases en oplossingen beter wilt prioriteren, moet u de opties ordenen op basis van 'vereist om te voldoen aan bedrijfsbehoeften', 'leuk om te voldoen aan bedrijfsbehoeften' en 'niet van toepassing'.

Overwegingen

  • Retentie - Logboekretentie : auditlogboeken opslaan en aanmeldingslogboeken van Microsoft Entra langer dan 30 dagen opslaan
  • Analyse : logboeken kunnen worden doorzocht met analysehulpprogramma's
  • Operationele en beveiligingsinzichten : toegang bieden tot toepassingsgebruik, aanmeldingsfouten, selfservicegebruik, trends, enzovoort.
  • SIEM-integratie - Aanmeldingslogboeken en auditlogboeken van Microsoft Entra integreren en streamen naar SIEM-systemen

Architectuur van bewakingsoplossing

Met Microsoft Entra-bewaking kunt u activiteitenlogboeken van Microsoft Entra routeren en bewaren voor langetermijnrapportage en -analyse om omgevingsinzichten te verkrijgen en te integreren met SIEM-hulpprogramma's. Gebruik het volgende beslissingsstroomdiagram om een architectuur te selecteren.

Decision matrix for business-need architecture.

Logboeken archiveren in een opslagaccount

U kunt logboeken langer bewaren dan de standaardretentieperiode door ze te routeren naar een Azure-opslagaccount.

Belangrijk

Gebruik deze archiveringsmethode als u logboeken niet hoeft te integreren met een SIEM-systeem of als u geen lopende query's en analyses nodig hebt. U kunt zoekopdrachten op aanvraag gebruiken.

Meer informatie:

Logboeken streamen naar opslag- en SIEM-hulpprogramma's

Volgende stappen