Dependências de implantação de integridade e monitoramento do Microsoft Entra
A solução de monitoramento e relatório do Microsoft Entra depende dos requisitos legais, de segurança e operacionais, bem como do ambiente e dos processos existentes. Use as seções a seguir para saber mais sobre as opções de design e a estratégia de implantação.
Benefícios do relatório e monitoramento do Microsoft Entra
Os relatórios do Microsoft Entra ID têm uma exibição, bem como logs, da atividade do Microsoft Entra em seu ambiente: eventos de entrada e auditoria e alterações em seu diretório.
Use a saída de dados para:
- determinar como seus aplicativos e serviços são usados.
- detectar possíveis riscos que afetem a integridade do seu ambiente.
- solucionar problemas que impedem a conclusão dos trabalhos pelos usuários.
- obter insights vendo eventos de auditoria de alterações no diretório do Microsoft Entra.
O monitoramento do Microsoft Entra permite a você rotear os logs gerados pelo relatório do Microsoft Entra ID para diferentes sistemas de destino. Você pode mantê-lo para uso de longo prazo ou integrá-lo com ferramentas de gerenciamento de eventos e informações de segurança (SIEM) de terceiros para obter informações sobre seu ambiente.
Com o monitoramento do Microsoft Entra, você pode rotear logs para:
- uma conta de armazenamento do Azure para fins de arquivamento.
- Logs do Azure Monitor em que você pode analisar os dados, criar dashboards e alertar sobre eventos específicos.
- um hub de eventos do Azure em que você pode se integrar às suas ferramentas de SIEM existentes, como Splunk, Sumologic ou QRadar.
Pré-requisitos
Você precisará de uma licença do Microsoft Entra ID P1 ou P2 para acessar os logs de entrada do Microsoft Entra.
Para obter informações detalhadas sobre os recursos e o licenciamento, confira o Guia de preços do Microsoft Entra.
Para implantar o monitoramento e a integridade do Microsoft Entra, você precisará de um usuário que seja um administrador da segurança para o locatário do Microsoft Entra.
- Plataforma de dados do Azure Monitor
- Alterações de nomenclatura e de terminologia do Azure Monitor
- Por quanto tempo o Microsoft Entra ID armazena os dados de relatório?
- Uma conta de armazenamento do Azure para a qual você tem permissões
ListKeys
. Recomendamos que você use uma conta de armazenamento geral e não uma conta do Armazenamento de blobs. Para saber mais sobre preços do armazenamento, confira a Calculadora de preços do armazenamento do Azure. - Um namespace dos Hubs de Eventos do Azure para integração a soluções SIEM de terceiros.
- Um espaço de trabalho do Log Analytics do Azure para enviar logs aos logs do Azure Monitor.
Planejar e implantar um projeto de implantação de integridade e monitoramento do Microsoft Entra
Relatórios e monitoramento são usados para atender às suas necessidades de negócios, obter informações sobre padrões de uso e aumentar a postura de segurança de sua organização. Neste projeto, você definirá o público-alvo que consumirá e monitorará relatórios, bem como definirá sua arquitetura de monitoramento do Microsoft Entra.
Stakeholders, comunicações e documentação
Quando os projetos de tecnologia falham, isso normalmente acontece devido a expectativas incompatíveis de efeito, resultados e responsabilidades. Para evitar essas armadilhas, verifique se você está envolvendo os stakeholders corretos. Também verifique se as funções de stakeholder no projeto sejam bem compreendidas ao documentar os stakeholders, a entrada e as responsabilidades no projeto.
Os stakeholders precisam acessar os logs do Microsoft Entra para obter insights operacionais. Os usuários prováveis incluem membros da equipe de segurança, auditores internos ou externos e a equipe de operações de gerenciamento de identidade e acesso.
As funções do Microsoft Entra permitem delegar a capacidade de configurar e exibir relatórios do Microsoft Entra com base em sua função. Identifique quem em sua organização precisa de permissão para ler relatórios do Microsoft Entra e qual função seria apropriada para eles.
As seguintes funções podem ler relatórios do Microsoft Entra:
- Administrador de Segurança
- Leitor de segurança
- Leitor de Relatórios
Saiba mais sobre funções administrativas do Microsoft Entra. Sempre aplique o conceito de privilégios mínimos para reduzir o risco de um comprometimento de conta. Considere implementar o Privileged Identity Management para proteger ainda mais a sua organização.
Envolver stakeholders
Projetos bem-sucedidos alinham expectativas, resultados e responsabilidades. Consulte Planos de implantação do Microsoft Entra. Documente e comunique as funções de stakeholder que exigem entrada e responsabilidade.
Plano de comunicações
Informe aos usuários quando e como a experiência deles mudará. Forneça informações de contato para suporte.
- Quais são as ferramentas SIEM que você está usando.
- Sua infraestrutura do Azure, incluindo contas de armazenamento e monitoramento existentes que estão sendo usadas.
- Suas políticas de retenção organizacional para logs, incluindo todas as estruturas de conformidade aplicáveis necessárias.
Casos de uso de negócios
Para priorizar melhor os casos de uso e as soluções, organize as opções "necessárias para que a solução atenda às necessidades de negócios", "é bom ter que atender às necessidades de negócios" e "não aplicável".
Considerações
- Retenção – retenção de log: armazenar logs de auditoria e logs de entrada do Microsoft Entra por mais de 30 dias
- Análise – os logs são pesquisáveis com ferramentas analíticas
- Insights operacionais e de segurança – forneça acesso ao uso do aplicativo, erros de entrada, uso de autoatendimento, tendências etc.
- Integração de SIEM – integre e transmita logs de entrada do Microsoft Entra e logs de auditoria para sistemas SIEM
Arquitetura da solução de monitoramento
Com o monitoramento do Microsoft Entra, você pode rotear logs de atividades do Microsoft Entra e retê-los para relatórios e análises de longo prazo para obter insights de ambiente e integrá-los às ferramentas de SIEM. Use o fluxograma de decisão a seguir para ajudar a selecionar uma arquitetura.
Arquivar logs em uma conta de armazenamento
Você pode manter os logs por mais tempo que o período de retenção padrão roteando-os para uma conta de armazenamento do Azure.
Importante
Use esse método de arquivamento se não houver necessidade de integrar logs a um sistema de SIEM ou se não houver necessidade de consultas e análises contínuas. Você pode usar pesquisas sob demanda.
Saiba mais:
- Por quanto tempo o Microsoft Entra ID armazena os dados de relatório?
- Tutorial: Arquivar logs do Microsoft Entra em uma conta de armazenamento do Azure
Transmitir logs para ferramentas de armazenamento e SIEM
- Integrar logs do Microsoft Entra aos logs do Azure Monitor.
- Analisar os logs de atividade do Microsoft Entra com os logs do Azure Monitor.
- Saiba como enviar seus logs para um hub de eventos.
- Saiba como Arquivar logs do Microsoft Entra em uma conta de Armazenamento do Microsoft Azure.
- Rotear logs do Microsoft Entra para um hub de eventos
Próximas etapas
- Considere implementar Privileged Identity Management
- Considere a implementação do controle de acesso baseado em função do Azure
- Saiba mais sobre as políticas de retenção do relatório.
- Analisar os logs de atividade do Microsoft Entra com os logs do Azure Monitor