Beroenden för övervakning och hälsodistribution i Microsoft Entra

  • Artikel

Din Microsoft Entra-rapporterings- och övervakningslösning är beroende av juridiska, säkerhetsmässiga, operativa krav och din miljös processer. Använd följande avsnitt för att lära dig mer om designalternativ och distributionsstrategi.

Fördelar med Microsoft Entra-rapportering och -övervakning

Microsoft Entra ID-rapportering har en vy och loggar över Microsoft Entra-aktivitet i din miljö: inloggnings- och granskningshändelser, även ändringar i din katalog.

Använd datautdata för att:

  • avgöra hur dina appar och tjänster används.
  • identifiera potentiella risker som påverkar miljöns hälsa.
  • felsöka problem som hindrar användarna från att få sitt arbete gjort.
  • få insikter genom att se granskningshändelser för ändringar i din Microsoft Entra-katalog.

Med Microsoft Entra-övervakning kan du dirigera dina loggar som genereras av Microsoft Entra ID-rapportering till olika målsystem. Du kan antingen behålla dem för långvarig användning eller integrera dem med SIEM-verktyg (säkerhetsinformation och händelsehantering) för att få insikter om din miljö.

Med Microsoft Entra-övervakning kan du dirigera loggar till:

  • ett Azure-lagringskonto i arkiveringssyfte.
  • Azure Monitor-loggar, där du kan analysera data, skapa instrumentpaneler och avisera om specifika händelser.
  • en Azure-händelsehubb där du kan integrera med dina befintliga SIEM-verktyg som Splunk, Sumologic eller QRadar.

Förutsättningar

Du behöver en Microsoft Entra ID P1- eller P2-licens för att få åtkomst till Inloggningsloggarna för Microsoft Entra.

Detaljerad information om funktioner och licensiering finns i prisguiden för Microsoft Entra.

För att distribuera Microsoft Entra-övervakning och hälsa behöver du en användare som är säkerhetsadministratör för Microsoft Entra-klientorganisationen.

Planera och distribuera ett Microsoft Entra-projekt för övervakning och hälsodistribution

Rapportering och övervakning används för att uppfylla dina affärskrav, få insikter om användningsmönster och öka organisationens säkerhetsstatus. I det här projektet definierar du de målgrupper som ska använda och övervaka rapporter och definiera din Microsoft Entra-övervakningsarkitektur.

Intressenter, kommunikation och dokumentation

När teknikprojekt misslyckas gör de vanligtvis det på grund av felaktiga förväntningar på effekt, resultat och ansvarsområden. Se till att du engagerar rätt intressenter för att undvika dessa fallgropar. Se också till att intressenternas roller i projektet förstås väl genom att dokumentera intressenterna och deras projektindata och ansvarsområden.

Intressenter måste få åtkomst till Microsoft Entra-loggar för att få operativa insikter. Troliga användare är medlemmar i säkerhetsteamet, interna eller externa granskare samt hanteringsteamet för identitets- och åtkomsthantering.

Med Microsoft Entra-roller kan du delegera möjligheten att konfigurera och visa Microsoft Entra-rapporter baserat på din roll. Identifiera vem i din organisation som behöver behörighet att läsa Microsoft Entra-rapporter och vilken roll som är lämplig för dem.

Följande roller kan läsa Microsoft Entra-rapporter:

  • Säkerhetsadministratör
  • Säkerhetsläsare
  • Rapportläsare

Läs mer om administrativa roller i Microsoft Entra. Använd alltid begreppet minsta behörighet för att minska risken för en kontokompromiss. Överväg att implementera Privileged Identity Management för att skydda din organisation ytterligare.

Engagera intressenter

Lyckade projekt anpassar förväntningar, resultat och ansvarsområden. Se Distributionsplaner för Microsoft Entra. Dokumentera och kommunicera roller för intressenter som kräver indata och ansvarsskyldighet.

Kommunikationsplan

Berätta för användarna när och hur deras upplevelse kommer att ändras. Ange kontaktuppgifter för support.

  • Vilka, om några, SIEM-verktyg som du använder.
  • Din Azure-infrastruktur, inklusive befintliga lagringskonton och övervakning som används.
  • Organisationens kvarhållningsprinciper för loggar, inklusive eventuella tillämpliga efterlevnadsramverk som krävs.

Användningsfall för företag

Om du vill prioritera användningsfallen och lösningarna bättre kan du ordna alternativen efter "krävs för att lösningen ska uppfylla affärsbehoven", "trevligt att behöva uppfylla affärsbehoven" och "inte tillämpligt".

Att tänka på

  • Kvarhållning – Loggkvarhållning: lagra granskningsloggar och logga in loggar för Microsoft Entra längre än 30 dagar
  • Analys – Loggar är sökbara med analysverktyg
  • Insikter om drift och säkerhet – Ge åtkomst till programanvändning, inloggningsfel, självbetjäningsanvändning, trender osv.
  • SIEM-integrering – Integrera och strömma Inloggningsloggar och granskningsloggar för Microsoft Entra till SIEM-system

Övervakningslösningsarkitektur

Med Microsoft Entra-övervakning kan du dirigera Microsoft Entra-aktivitetsloggar och behålla dem för långsiktig rapportering och analys för att få miljöinsikter och integrera dem med SIEM-verktyg. Använd följande beslutsflödesdiagram för att välja en arkitektur.

Beslutsmatris för arkitektur som behöver företag.

Arkivera loggar i ett lagringskonto

Du kan behålla loggar längre än standardkvarhållningsperioden genom att dirigera dem till ett Azure Storage-konto.

Viktigt!

Använd den här arkiveringsmetoden om det inte finns något behov av att integrera loggar med ett SIEM-system, eller om du inte behöver fortlöpande frågor och analyser. Du kan använda sökningar på begäran.

Läs mer:

Strömma loggar till lagrings- och SIEM-verktyg

Nästa steg