Microsoft Entra monitoring and health deployment dependencies (Zależności monitorowania i kondycji firmy Microsoft)

Rozwiązanie do raportowania i monitorowania firmy Microsoft jest zależne od procesów prawnych, zabezpieczeń, wymagań operacyjnych i środowiska. Skorzystaj z poniższych sekcji, aby dowiedzieć się więcej o opcjach projektowania i strategii wdrażania.

Zalety raportowania i monitorowania firmy Microsoft Entra

Raportowanie identyfikatorów entra firmy Microsoft zawiera widok i dzienniki aktywności firmy Microsoft Entra w twoim środowisku: logowania i inspekcji zdarzeń, a także zmiany w katalogu.

Użyj danych wyjściowych, aby:

• określ sposób użycia aplikacji i usług.
• wykrywać potencjalne zagrożenia wpływające na kondycję środowiska.
• rozwiązywanie problemów uniemożliwiających użytkownikom wykonywanie pracy.
• Uzyskiwanie szczegółowych informacji dzięki wyświetlaniu zdarzeń inspekcji zmian w katalogu firmy Microsoft Entra.

Monitorowanie firmy Microsoft Entra umożliwia kierowanie dzienników generowanych przez raportowanie identyfikatorów Entra firmy Microsoft do różnych systemów docelowych. Możesz następnie przechowywać je na potrzeby długoterminowego użytkowania lub zintegrować je z narzędziami do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) innych firm, aby uzyskać wgląd w środowisko.

Dzięki monitorowaniu firmy Microsoft Entra można kierować dzienniki do:

• konto usługi Azure Storage do celów archiwalnych.
• Dzienniki usługi Azure Monitor, w których można analizować dane, tworzyć pulpity nawigacyjne i alerty dotyczące określonych zdarzeń.
• centrum zdarzeń platformy Azure, w którym można zintegrować z istniejącymi narzędziami SIEM, takimi jak Splunk, Sumologic lub QRadar.

Wymagania wstępne

Aby uzyskać dostęp do dzienników logowania firmy Microsoft, musisz mieć licencję microsoft Entra ID P1 lub P2.

Aby uzyskać szczegółowe informacje na temat funkcji i licencjonowania, zobacz Przewodnik cennika firmy Microsoft Entra.

Aby wdrożyć monitorowanie i kondycję firmy Microsoft Entra, musisz mieć użytkownika, który jest Administracja istratorem zabezpieczeń dla dzierżawy usługi Microsoft Entra.

• Platforma danych usługi Azure Monitor
• Zmiany nazewnictwa i terminologii usługi Azure Monitor
• Jak długo dane raportowania są przechowywane w usłudze Microsoft Entra ID?
• Konto usługi Azure Storage, dla którego masz ListKeys uprawnienia. Zalecamy używanie konta magazynu ogólnego, a nie konta magazynu obiektów blob. Aby uzyskać informacje o cenach magazynu, zobacz kalkulator cen usługi Azure Storage.
• Przestrzeń nazw usługi Azure Event Hubs do integracji z rozwiązaniami SIEM innych firm.
• Obszar roboczy usługi Azure Log Analytics do wysyłania dzienników do dzienników usługi Azure Monitor.

Planowanie i wdrażanie projektu wdrażania monitorowania i kondycji firmy Microsoft

Raportowanie i monitorowanie służy do spełniania wymagań biznesowych, uzyskiwania wglądu w wzorce użycia i zwiększania stanu zabezpieczeń organizacji. W tym projekcie zdefiniujesz odbiorców, którzy będą używać i monitorować raporty oraz zdefiniować architekturę monitorowania firmy Microsoft Entra.

Osoby biorące udział w projekcie, komunikacja i dokumentacja

Gdy projekty technologiczne kończą się niepowodzeniem, zazwyczaj robią to z powodu niezgodności oczekiwań dotyczących wpływu, wyników i obowiązków. Aby uniknąć tych pułapek, upewnij się, że angażujesz odpowiednich uczestników projektu. Upewnij się również, że role uczestników projektu są dobrze zrozumiałe, dokumentując uczestników projektu i ich wkład i obowiązki.

Uczestnicy projektu muszą uzyskać dostęp do dzienników firmy Microsoft Entra, aby uzyskać szczegółowe informacje operacyjne. Prawdopodobnie użytkownicy obejmują członków zespołu ds. zabezpieczeń, audytorów wewnętrznych lub zewnętrznych oraz zespół operacyjny ds. zarządzania tożsamościami i dostępem.

Role firmy Microsoft Entra umożliwiają delegowanie możliwości konfigurowania i wyświetlania raportów firmy Microsoft Entra na podstawie twojej roli. Zidentyfikuj, kto w twojej organizacji potrzebuje uprawnień do odczytywania raportów firmy Microsoft i jakiej roli będzie dla nich odpowiednia.

Następujące role mogą odczytywać raporty firmy Microsoft Entra:

• Administrator zabezpieczeń
• Czytelnik zabezpieczeń
• Czytelnik raportów

Dowiedz się więcej o rolach Administracja istracyjnych firmy Microsoft. Zawsze stosuj koncepcję najmniejszych uprawnień, aby zmniejszyć ryzyko naruszenia zabezpieczeń konta. Rozważ wdrożenie usługi Privileged Identity Management , aby dodatkowo zabezpieczyć organizację.

Angażowanie uczestników projektu

Udane projekty są zgodne z oczekiwaniami, wynikami i obowiązkami. Zobacz Plany wdrażania firmy Microsoft Entra. Dokumentowanie i przekazywanie ról uczestników projektu, które wymagają danych wejściowych i odpowiedzialności.

Plan komunikacji

Poinformuj użytkowników, kiedy i jak zmieni się ich środowisko. Podaj informacje kontaktowe na potrzeby pomocy technicznej.

• Co, jeśli istnieją, narzędzia SIEM używane.
• Infrastruktura platformy Azure, w tym istniejące konta magazynu i używane monitorowanie.
• Zasady przechowywania organizacji dla dzienników, w tym wszelkie wymagane odpowiednie struktury zgodności.

Przypadki użycia biznesowego

Aby lepiej określić priorytety przypadków użycia i rozwiązań, należy zorganizować opcje "wymagane do rozwiązania w celu zaspokojenia potrzeb biznesowych", "miłe, aby spełnić potrzeby biznesowe" i "nie dotyczy".

Kwestie wymagające rozważenia

• Przechowywanie — przechowywanie dzienników: przechowywanie dzienników inspekcji i dzienniki logowania w usłudze Microsoft Entra dłużej niż 30 dni
• Analiza — dzienniki można przeszukiwać za pomocą narzędzi analitycznych
• Szczegółowe informacje operacyjne i zabezpieczeń — zapewnianie dostępu do użycia aplikacji, błędów logowania, samoobsługowego użycia, trendów itp.
• Integracja rozwiązania SIEM — integrowanie i przesyłanie strumieniowe dzienników logowania i dzienników inspekcji firmy Microsoft do systemów SIEM

Architektura rozwiązania do monitorowania

Dzięki monitorowaniu firmy Microsoft Entra można kierować dzienniki aktywności firmy Microsoft i przechowywać je na potrzeby długoterminowego raportowania i analizy w celu uzyskania szczegółowych informacji o środowisku oraz zintegrować je z narzędziami SIEM. Użyj poniższego wykresu blokowego podejmowania decyzji, aby pomóc wybrać architekturę.

Archiwizowanie dzienników na koncie magazynu

Dzienniki można przechowywać dłużej niż domyślny okres przechowywania, rozsyłając je na konto usługi Azure Storage.

Więcej informacji:

• Jak długo dane raportowania są przechowywane w usłudze Microsoft Entra ID?
• Samouczek: archiwizowanie dzienników usługi Microsoft Entra na koncie usługi Azure Storage

Przesyłanie strumieniowe dzienników do magazynu i narzędzi SIEM

• Integrowanie dzienników firmy Microsoft Entra z dziennikami usługi Azure Monitor.
• Analizowanie dzienników aktywności firmy Microsoft Entra przy użyciu dzienników usługi Azure Monitor.
• Dowiedz się, jak wysyłać strumieniowo dzienniki do centrum zdarzeń.
• Dowiedz się, jak archiwizować dzienniki usługi Microsoft Entra na koncie usługi Azure Storage.
• Kierowanie dzienników firmy Microsoft do centrum zdarzeń

Następne kroki

• Rozważ wdrożenie usługi Privileged Identity Management
• Rozważ zaimplementowanie kontroli dostępu opartej na rolach platformy Azure
• Dowiedz się więcej o zasadach przechowywania raportów.
• Analizowanie dzienników aktywności firmy Microsoft Entra przy użyciu dzienników usługi Azure Monitor