Microsoft Entra izleme ve sistem durumu dağıtım bağımlılıkları
Microsoft Entra raporlama ve izleme çözümünüz yasal, güvenlik, operasyonel gereksinimler ve ortamınızın süreçlerine bağlıdır. Tasarım seçenekleri ve dağıtım stratejisi hakkında bilgi edinmek için aşağıdaki bölümleri kullanın.
Microsoft Entra raporlama ve izlemenin avantajları
Microsoft Entra ID raporlaması, ortamınızdaki Microsoft Entra etkinliğinin bir görünümüne ve günlüklerine sahiptir: oturum açma ve denetim olayları, ayrıca dizininizde yapılan değişiklikler.
Veri çıkışını kullanarak:
- uygulama ve hizmetlerinizin nasıl kullanıldığını saptayın.
- ortamınızın durumunu etkileyen olası riskleri algılayın.
- kullanıcılarınızın işlerini yapmasını engelleyen sorunları giderin.
- Microsoft Entra dizininizdeki değişikliklerin denetim olaylarını görerek içgörüler elde edin.
Microsoft Entra izleme, Microsoft Entra ID raporlaması tarafından oluşturulan günlüklerinizi farklı hedef sistemlere yönlendirmenizi sağlar. Ardından bu günlükleri uzun vadeli kullanım için saklayabilir veya ortamınızla ilgili içgörülere ulaşmak için üçüncü taraf Güvenlik Bilgileri ve Olay Yönetimi (SIEM) araçlarıyla tümleştirebilirsiniz.
Microsoft Entra izleme ile günlükleri şu yollara yönlendirebilirsiniz:
- arşivleme amacıyla bir Azure depolama hesabı.
- Azure İzleyici günlüklerinde verileri analiz edebilir, panolar oluşturabilir ve belirli olaylarla ilgili uyarı alabilirsiniz.
- Splunk, Sumologic veya QRadar gibi mevcut SIEM araçlarınızla tümleştirebileceğiniz bir Azure olay hub'ı.
Önkoşullar
Microsoft Entra oturum açma günlüklerine erişmek için bir Microsoft Entra ID P1 veya P2 lisansına sahip olmanız gerekir.
Ayrıntılı özellik ve lisanslama bilgileri için Bkz . Microsoft Entra fiyatlandırma kılavuzu.
Microsoft Entra izleme ve sistem durumunu dağıtmak için, Microsoft Entra kiracısı için Genel Yönetici istrator veya Güvenlik Yönetici istratörü olan bir kullanıcıya ihtiyacınız olacaktır.
- Azure İzleyici veri platformu
- Azure İzleyici adlandırma ve terminoloji değişiklikleri
- Microsoft Entra ID raporlama verilerini ne kadar süreyle depolar?
- İzinleriniz
ListKeys
olan bir Azure depolama hesabı. Blob depolama hesabı değil genel bir depolama hesabı kullanmanızı öneririz. Depolamayla fiyatlandırma bilgileri için bkz. Azure Depolama fiyatlandırma hesaplayıcısı. - Üçüncü taraf SIEM çözümleriyle tümleştirmek için bir Azure Event Hubs ad alanı.
- Günlükleri Azure İzleyici günlüklerine göndermek için bir Azure Log Analytics çalışma alanı.
Microsoft Entra izleme ve sistem durumu dağıtım projesi planlama ve dağıtma
Raporlama ve izleme, iş gereksinimlerinizi karşılamak, kullanım düzenleri hakkında içgörüler elde etmek ve kuruluşunuzun güvenlik duruşlarını artırmak için kullanılır. Bu projede, raporları kullanacak ve izleyecek hedef kitleleri tanımlayacak ve Microsoft Entra izleme mimarinizi tanımlayacaksınız.
Paydaşlar, iletişimler ve belgeler
Teknoloji projeleri başarısız olduğunda, genellikle etki, sonuç ve sorumluluklarla ilgili eşleşmeyen beklentiler nedeniyle bunu yapar. Bu tuzakları önlemek için doğru paydaşlarla etkileşimde olduğunuzdan emin olun. Ayrıca projedeki paydaş rollerinin, proje katılımcılarını ve proje giriş ve sorumluluklarını belgeleyerek iyi anlaşıldığından emin olun.
Proje katılımcılarının operasyonel içgörüler elde etmek için Microsoft Entra günlüklerine erişmesi gerekir. Büyük olasılıkla kullanıcılar güvenlik ekibi üyelerini, iç veya dış denetçileri ve kimlik ve erişim yönetimi operasyonları ekibini içerir.
Microsoft Entra rolleri, rolünüz temelinde Microsoft Entra raporlarını yapılandırma ve görüntüleme yeteneğine temsilci atamanızı sağlar. Kuruluşunuzdaki kimlerin Microsoft Entra raporlarını okuma iznine ihtiyacı olduğunu ve bunlara hangi rolün uygun olacağını belirleyin.
Aşağıdaki roller Microsoft Entra raporlarını okuyabilir:
- Genel Yönetici
- Güvenlik Yöneticisi
- Güvenlik Okuyucusu
- Rapor Okuyucusu
Microsoft Entra Yönetici istrative Roles hakkında daha fazla bilgi edinin. Hesabın risk altında olma riskini azaltmak için her zaman en az ayrıcalık kavramını uygulayın. Kuruluşunuzun güvenliğini daha da sağlamak için Privileged Identity Management'ı uygulamayı göz önünde bulundurun.
Paydaşlarla etkileşim kurma
Başarılı projeler beklentileri, sonuçları ve sorumlulukları uyumlu hale getirir. Bkz. Microsoft Entra dağıtım planları. Girdi ve sorumluluk gerektiren paydaş rollerini belgeleyin ve iletin.
İletişim planı
Kullanıcılarınıza deneyimlerinin ne zaman ve nasıl değişeceğini bildirin. Destek için iletişim bilgilerini sağlayın.
- Varsa, kullandığınız SIEM araçları.
- Mevcut depolama hesapları ve kullanılan izleme de dahil olmak üzere Azure altyapınız.
- Gerekli geçerli uyumluluk çerçeveleri de dahil olmak üzere günlükler için kuruluş saklama ilkeleriniz.
İş kullanım örnekleri
Kullanım örneklerini ve çözümleri daha iyi önceliklendirmek için seçenekleri "iş gereksinimlerini karşılamak için çözüm gerekiyor", "iş gereksinimlerini karşılamak zorunda olmak güzel" ve "geçerli değil" olarak düzenleyin.
Dikkat edilmesi gereken noktalar
- Bekletme - Günlük saklama: Microsoft Entra'nın denetim günlüklerini ve oturum açma günlüklerini 30 günden daha uzun süre depolayın
- Analiz - Günlükler analiz araçlarıyla aranabilir
- operasyonel ve güvenlik içgörüleri - Uygulama kullanımına, oturum açma hatalarına, self servis kullanımına, eğilimlere vb. erişim sağlayın.
- SIEM tümleştirmesi - Microsoft Entra oturum açma günlüklerini ve denetim günlüklerini SIEM sistemlerine tümleştirme ve akışla aktarma
çözüm mimarisini izleme
Microsoft Entra izleme ile Microsoft Entra etkinlik günlüklerini yönlendirebilir, ortam içgörüleri elde etmek ve SIEM araçlarıyla tümleştirmek için bunları uzun vadeli raporlama ve analiz için saklayabilirsiniz. Bir mimari seçmenize yardımcı olması için aşağıdaki karar akış grafiğini kullanın.
Depolama hesabında günlükleri arşivle
Günlükleri bir Azure depolama hesabına yönlendirerek varsayılan saklama süresinden daha uzun süre tutabilirsiniz.
Önemli
Günlükleri bir SIEM sistemiyle tümleştirmeye gerek yoksa veya devam eden sorgulara ve analize gerek yoksa bu arşiv yöntemini kullanın. İsteğe bağlı aramaları kullanabilirsiniz.
Daha fazla bilgi edinin:
- Microsoft Entra ID raporlama verilerini ne kadar süreyle depolar?
- Öğretici: Microsoft Entra günlüklerini bir Azure depolama hesabında arşivleyin
Günlükleri depolamaya ve SIEM araçlarına akışla aktarma
- Microsoft Entra günlüklerini Azure İzleyici günlükleriyle tümleştirin.
- Azure İzleyici günlükleriyle Microsoft Entra etkinlik günlüklerini analiz edin.
- Olay hub'ına günlük akışı yapmayı öğrenin.
- Microsoft Entra günlüklerini bir Azure Depolama hesabında arşivlemeyi öğrenin.
- Microsoft Entra günlüklerini bir olay hub'ına yönlendirme
Sonraki adımlar
- Privileged Identity Management uygulamayı göz önünde bulundurun
- Azure rol tabanlı erişim denetimini uygulamayı göz önünde bulundurun
- Rapor saklama ilkeleri hakkında daha fazla bilgi edinin.
- Azure İzleyici günlükleriyle Microsoft Entra etkinlik günlüklerini analiz etme