Dependências de implantação de integridade e monitoramento do Microsoft Entra

  • Artigo

A solução de monitoramento e relatório do Microsoft Entra depende dos requisitos legais, de segurança e operacionais, bem como do ambiente e dos processos existentes. Use as seções a seguir para saber mais sobre as opções de design e a estratégia de implantação.

Benefícios do relatório e monitoramento do Microsoft Entra

Os relatórios do Microsoft Entra ID têm uma exibição, bem como logs, da atividade do Microsoft Entra em seu ambiente: eventos de entrada e auditoria e alterações em seu diretório.

Use a saída de dados para:

  • determinar como seus aplicativos e serviços são usados.
  • detectar possíveis riscos que afetem a integridade do seu ambiente.
  • solucionar problemas que impedem a conclusão dos trabalhos pelos usuários.
  • obter insights vendo eventos de auditoria de alterações no diretório do Microsoft Entra.

O monitoramento do Microsoft Entra permite a você rotear os logs gerados pelo relatório do Microsoft Entra ID para diferentes sistemas de destino. Você pode mantê-lo para uso de longo prazo ou integrá-lo com ferramentas de gerenciamento de eventos e informações de segurança (SIEM) de terceiros para obter informações sobre seu ambiente.

Com o monitoramento do Microsoft Entra, você pode rotear logs para:

  • uma conta de armazenamento do Azure para fins de arquivamento.
  • Logs do Azure Monitor em que você pode analisar os dados, criar dashboards e alertar sobre eventos específicos.
  • um hub de eventos do Azure em que você pode se integrar às suas ferramentas de SIEM existentes, como Splunk, Sumologic ou QRadar.

Pré-requisitos

Você precisará de uma licença do Microsoft Entra ID P1 ou P2 para acessar os logs de entrada do Microsoft Entra.

Para obter informações detalhadas sobre os recursos e o licenciamento, confira o Guia de preços do Microsoft Entra.

Para implantar o monitoramento e a integridade do Microsoft Entra, você precisará de um usuário que seja um administrador da segurança para o locatário do Microsoft Entra.

Planejar e implantar um projeto de implantação de integridade e monitoramento do Microsoft Entra

Relatórios e monitoramento são usados para atender às suas necessidades de negócios, obter informações sobre padrões de uso e aumentar a postura de segurança de sua organização. Neste projeto, você definirá o público-alvo que consumirá e monitorará relatórios, bem como definirá sua arquitetura de monitoramento do Microsoft Entra.

Stakeholders, comunicações e documentação

Quando os projetos de tecnologia falham, isso normalmente acontece devido a expectativas incompatíveis de efeito, resultados e responsabilidades. Para evitar essas armadilhas, verifique se você está envolvendo os stakeholders corretos. Também verifique se as funções de stakeholder no projeto sejam bem compreendidas ao documentar os stakeholders, a entrada e as responsabilidades no projeto.

Os stakeholders precisam acessar os logs do Microsoft Entra para obter insights operacionais. Os usuários prováveis incluem membros da equipe de segurança, auditores internos ou externos e a equipe de operações de gerenciamento de identidade e acesso.

As funções do Microsoft Entra permitem delegar a capacidade de configurar e exibir relatórios do Microsoft Entra com base em sua função. Identifique quem em sua organização precisa de permissão para ler relatórios do Microsoft Entra e qual função seria apropriada para eles.

As seguintes funções podem ler relatórios do Microsoft Entra:

  • Administrador de Segurança
  • Leitor de segurança
  • Leitor de Relatórios

Saiba mais sobre funções administrativas do Microsoft Entra. Sempre aplique o conceito de privilégios mínimos para reduzir o risco de um comprometimento de conta. Considere implementar o Privileged Identity Management para proteger ainda mais a sua organização.

Envolver stakeholders

Projetos bem-sucedidos alinham expectativas, resultados e responsabilidades. Consulte Planos de implantação do Microsoft Entra. Documente e comunique as funções de stakeholder que exigem entrada e responsabilidade.

Plano de comunicações

Informe aos usuários quando e como a experiência deles mudará. Forneça informações de contato para suporte.

  • Quais são as ferramentas SIEM que você está usando.
  • Sua infraestrutura do Azure, incluindo contas de armazenamento e monitoramento existentes que estão sendo usadas.
  • Suas políticas de retenção organizacional para logs, incluindo todas as estruturas de conformidade aplicáveis necessárias.

Casos de uso de negócios

Para priorizar melhor os casos de uso e as soluções, organize as opções "necessárias para que a solução atenda às necessidades de negócios", "é bom ter que atender às necessidades de negócios" e "não aplicável".

Considerações

  • Retenção – retenção de log: armazenar logs de auditoria e logs de entrada do Microsoft Entra por mais de 30 dias
  • Análise – os logs são pesquisáveis com ferramentas analíticas
  • Insights operacionais e de segurança – forneça acesso ao uso do aplicativo, erros de entrada, uso de autoatendimento, tendências etc.
  • Integração de SIEM – integre e transmita logs de entrada do Microsoft Entra e logs de auditoria para sistemas SIEM

Arquitetura da solução de monitoramento

Com o monitoramento do Microsoft Entra, você pode rotear logs de atividades do Microsoft Entra e retê-los para relatórios e análises de longo prazo para obter insights de ambiente e integrá-los às ferramentas de SIEM. Use o fluxograma de decisão a seguir para ajudar a selecionar uma arquitetura.

Matriz de decisão para arquitetura de necessidade de negócios.

Arquivar logs em uma conta de armazenamento

Você pode manter os logs por mais tempo que o período de retenção padrão roteando-os para uma conta de armazenamento do Azure.

Importante

Use esse método de arquivamento se não houver necessidade de integrar logs a um sistema de SIEM ou se não houver necessidade de consultas e análises contínuas. Você pode usar pesquisas sob demanda.

Saiba mais:

Transmitir logs para ferramentas de armazenamento e SIEM

Próximas etapas