Microsoft Entra izleme ve sistem durumu dağıtım bağımlılıkları

Microsoft Entra raporlama ve izleme çözümünüz yasal, güvenlik, operasyonel gereksinimler ve ortamınızın süreçlerine bağlıdır. Tasarım seçenekleri ve dağıtım stratejisi hakkında bilgi edinmek için aşağıdaki bölümleri kullanın.

Microsoft Entra raporlama ve izlemenin avantajları

Microsoft Entra ID raporlaması, ortamınızdaki Microsoft Entra etkinliğinin bir görünümüne ve günlüklerine sahiptir: oturum açma ve denetim olayları, ayrıca dizininizde yapılan değişiklikler.

Veri çıkışını kullanarak:

  • uygulama ve hizmetlerinizin nasıl kullanıldığını saptayın.
  • ortamınızın durumunu etkileyen olası riskleri algılayın.
  • kullanıcılarınızın işlerini yapmasını engelleyen sorunları giderin.
  • Microsoft Entra dizininizdeki değişikliklerin denetim olaylarını görerek içgörüler elde edin.

Microsoft Entra izleme, Microsoft Entra ID raporlaması tarafından oluşturulan günlüklerinizi farklı hedef sistemlere yönlendirmenizi sağlar. Ardından bu günlükleri uzun vadeli kullanım için saklayabilir veya ortamınızla ilgili içgörülere ulaşmak için üçüncü taraf Güvenlik Bilgileri ve Olay Yönetimi (SIEM) araçlarıyla tümleştirebilirsiniz.

Microsoft Entra izleme ile günlükleri şu yollara yönlendirebilirsiniz:

  • arşivleme amacıyla bir Azure depolama hesabı.
  • Azure İzleyici günlüklerinde verileri analiz edebilir, panolar oluşturabilir ve belirli olaylarla ilgili uyarı alabilirsiniz.
  • Splunk, Sumologic veya QRadar gibi mevcut SIEM araçlarınızla tümleştirebileceğiniz bir Azure olay hub'ı.

Önkoşullar

Microsoft Entra oturum açma günlüklerine erişmek için bir Microsoft Entra ID P1 veya P2 lisansına sahip olmanız gerekir.

Ayrıntılı özellik ve lisanslama bilgileri için Bkz . Microsoft Entra fiyatlandırma kılavuzu.

Microsoft Entra izleme ve sistem durumunu dağıtmak için, Microsoft Entra kiracısı için Genel Yönetici istrator veya Güvenlik Yönetici istratörü olan bir kullanıcıya ihtiyacınız olacaktır.

Microsoft Entra izleme ve sistem durumu dağıtım projesi planlama ve dağıtma

Raporlama ve izleme, iş gereksinimlerinizi karşılamak, kullanım düzenleri hakkında içgörüler elde etmek ve kuruluşunuzun güvenlik duruşlarını artırmak için kullanılır. Bu projede, raporları kullanacak ve izleyecek hedef kitleleri tanımlayacak ve Microsoft Entra izleme mimarinizi tanımlayacaksınız.

Paydaşlar, iletişimler ve belgeler

Teknoloji projeleri başarısız olduğunda, genellikle etki, sonuç ve sorumluluklarla ilgili eşleşmeyen beklentiler nedeniyle bunu yapar. Bu tuzakları önlemek için doğru paydaşlarla etkileşimde olduğunuzdan emin olun. Ayrıca projedeki paydaş rollerinin, proje katılımcılarını ve proje giriş ve sorumluluklarını belgeleyerek iyi anlaşıldığından emin olun.

Proje katılımcılarının operasyonel içgörüler elde etmek için Microsoft Entra günlüklerine erişmesi gerekir. Büyük olasılıkla kullanıcılar güvenlik ekibi üyelerini, iç veya dış denetçileri ve kimlik ve erişim yönetimi operasyonları ekibini içerir.

Microsoft Entra rolleri, rolünüz temelinde Microsoft Entra raporlarını yapılandırma ve görüntüleme yeteneğine temsilci atamanızı sağlar. Kuruluşunuzdaki kimlerin Microsoft Entra raporlarını okuma iznine ihtiyacı olduğunu ve bunlara hangi rolün uygun olacağını belirleyin.

Aşağıdaki roller Microsoft Entra raporlarını okuyabilir:

  • Genel Yönetici
  • Güvenlik Yöneticisi
  • Güvenlik Okuyucusu
  • Rapor Okuyucusu

Microsoft Entra Yönetici istrative Roles hakkında daha fazla bilgi edinin. Hesabın risk altında olma riskini azaltmak için her zaman en az ayrıcalık kavramını uygulayın. Kuruluşunuzun güvenliğini daha da sağlamak için Privileged Identity Management'ı uygulamayı göz önünde bulundurun.

Paydaşlarla etkileşim kurma

Başarılı projeler beklentileri, sonuçları ve sorumlulukları uyumlu hale getirir. Bkz. Microsoft Entra dağıtım planları. Girdi ve sorumluluk gerektiren paydaş rollerini belgeleyin ve iletin.

İletişim planı

Kullanıcılarınıza deneyimlerinin ne zaman ve nasıl değişeceğini bildirin. Destek için iletişim bilgilerini sağlayın.

  • Varsa, kullandığınız SIEM araçları.
  • Mevcut depolama hesapları ve kullanılan izleme de dahil olmak üzere Azure altyapınız.
  • Gerekli geçerli uyumluluk çerçeveleri de dahil olmak üzere günlükler için kuruluş saklama ilkeleriniz.

İş kullanım örnekleri

Kullanım örneklerini ve çözümleri daha iyi önceliklendirmek için seçenekleri "iş gereksinimlerini karşılamak için çözüm gerekiyor", "iş gereksinimlerini karşılamak zorunda olmak güzel" ve "geçerli değil" olarak düzenleyin.

Dikkat edilmesi gereken noktalar

  • Bekletme - Günlük saklama: Microsoft Entra'nın denetim günlüklerini ve oturum açma günlüklerini 30 günden daha uzun süre depolayın
  • Analiz - Günlükler analiz araçlarıyla aranabilir
  • operasyonel ve güvenlik içgörüleri - Uygulama kullanımına, oturum açma hatalarına, self servis kullanımına, eğilimlere vb. erişim sağlayın.
  • SIEM tümleştirmesi - Microsoft Entra oturum açma günlüklerini ve denetim günlüklerini SIEM sistemlerine tümleştirme ve akışla aktarma

çözüm mimarisini izleme

Microsoft Entra izleme ile Microsoft Entra etkinlik günlüklerini yönlendirebilir, ortam içgörüleri elde etmek ve SIEM araçlarıyla tümleştirmek için bunları uzun vadeli raporlama ve analiz için saklayabilirsiniz. Bir mimari seçmenize yardımcı olması için aşağıdaki karar akış grafiğini kullanın.

Decision matrix for business-need architecture.

Depolama hesabında günlükleri arşivle

Günlükleri bir Azure depolama hesabına yönlendirerek varsayılan saklama süresinden daha uzun süre tutabilirsiniz.

Önemli

Günlükleri bir SIEM sistemiyle tümleştirmeye gerek yoksa veya devam eden sorgulara ve analize gerek yoksa bu arşiv yöntemini kullanın. İsteğe bağlı aramaları kullanabilirsiniz.

Daha fazla bilgi edinin:

Günlükleri depolamaya ve SIEM araçlarına akışla aktarma

Sonraki adımlar