Dependensi pemantauan dan penyebaran kesehatan Microsoft Entra

  • Artikel

Solusi pelaporan dan pemantauan Microsoft Entra Anda bergantung pada proses hukum, keamanan, operasional, dan lingkungan Anda. Gunakan bagian berikut untuk mempelajari tentang opsi desain dan strategi penyebaran.

Manfaat pelaporan dan pemantauan Microsoft Entra

Pelaporan ID Microsoft Entra memiliki tampilan, dan log, aktivitas Microsoft Entra di lingkungan Anda: peristiwa masuk dan audit, juga berubah ke direktori Anda.

Gunakan output data untuk:

  • menentukan bagaimana aplikasi dan layanan Anda digunakan.
  • mendeteksi potensi risiko yang memengaruhi kesehatan lingkungan Anda.
  • memecahkan masalah yang mencegah pengguna Anda menyelesaikan pekerjaan mereka.
  • dapatkan wawasan dengan melihat peristiwa audit perubahan pada direktori Microsoft Entra Anda.

Pemantauan Microsoft Entra memungkinkan Anda merutekan log yang dihasilkan oleh pelaporan ID Microsoft Entra ke sistem target yang berbeda. Anda bisa mempertahankan log untuk penggunaan jangka panjang atau mengintegrasikannya dengan alat Security Information and Event Management (SIEM) pihak ketiga untuk mendapatkan wawasan tentang lingkungan Anda.

Dengan pemantauan Microsoft Entra, Anda dapat merutekan log ke:

  • akun penyimpanan Azure untuk tujuan pengarsipan.
  • Log Azure Monitor, tempat Anda dapat menganalisis data, membuat dasbor, dan memberi tahu peristiwa tertentu.
  • hub peristiwa Azure di mana Anda dapat mengintegrasikan dengan alat SIEM yang ada seperti Splunk, Sumologic, atau QRadar.

Prasyarat

Anda memerlukan lisensi Microsoft Entra ID P1 atau P2 untuk mengakses log masuk Microsoft Entra.

Untuk informasi fitur dan lisensi terperinci, lihat panduan harga Microsoft Entra.

Untuk menyebarkan pemantauan dan kesehatan Microsoft Entra, Anda memerlukan pengguna yang merupakan Administrator Keamanan untuk penyewa Microsoft Entra.

Merencanakan dan menyebarkan proyek pemantauan dan penyebaran kesehatan Microsoft Entra

Pelaporan dan pemantauan digunakan untuk memenuhi kebutuhan bisnis Anda, mendapatkan wawasan tentang pola penggunaan dan meningkatkan postur keamanan organisasi Anda. Dalam proyek ini, Anda akan menentukan audiens yang akan menggunakan dan memantau laporan, dan menentukan arsitektur pemantauan Microsoft Entra Anda.

Pemangku kepentingan, komunikasi, dan dokumentasi

Ketika proyek teknologi gagal, mereka biasanya melakukannya karena harapan yang tidak cocok pada efek, hasil, dan tanggung jawab. Untuk menghindari kegagalan ini, pastikan Anda melibatkan pemangku kepentingan yang tepat. Pastikan juga bahwa peran pemangku kepentingan dalam proyek dipahami dengan baik dengan mendokumenkan pemangku kepentingan serta input dan tanggung jawab proyek mereka.

Pemangku kepentingan perlu mengakses log Microsoft Entra untuk mendapatkan wawasan operasional. Pengguna yang mungkin termasuk anggota tim keamanan, auditor internal atau eksternal, dan tim operasi manajemen identitas dan akses.

Peran Microsoft Entra memungkinkan Anda mendelegasikan kemampuan untuk mengonfigurasi dan melihat laporan Microsoft Entra berdasarkan peran Anda. Identifikasi siapa di organisasi Anda yang memerlukan izin untuk membaca laporan Microsoft Entra dan peran apa yang sesuai untuk mereka.

Peran berikut dapat membaca laporan Microsoft Entra:

  • Administrator Keamanan
  • Pembaca Keamanan
  • Pembaca Laporan

Pelajari Selengkapnya Tentang Peran Administratif Microsoft Entra. Selalu terapkan konsep hak istimewa paling sedikit untuk mengurangi risiko kompromi akun. Pertimbangkan penerapan Privileged Identity Management untuk lebih mengamankan organisasi Anda.

Melibatkan pemangku kepentingan

Proyek yang berhasil menyelaraskan ekspektasi, hasil, dan tanggung jawab. Lihat, paket penyebaran Microsoft Entra. Dokumentasikan dan komunikasikan peran pemangku kepentingan yang memerlukan input dan akuntabilitas.

Rencana komunikasi

Beri tahu pengguna Anda kapan, dan bagaimana, pengalaman mereka akan berubah. Berikan informasi kontak untuk dukungan.

  • Apa, jika ada, alat SIEM yang Anda gunakan.
  • Infrastruktur Azure Anda, termasuk akun penyimpanan yang sudah ada dan pemantauan yang digunakan.
  • Kebijakan retensi organisasi Anda untuk log, termasuk kerangka kerja kepatuhan yang berlaku yang diperlukan.

Kasus penggunaan bisnis

Untuk lebih memprioritaskan kasus dan solusi penggunaan, atur opsi dengan "diperlukan solusi untuk memenuhi kebutuhan bisnis," "senang harus memenuhi kebutuhan bisnis," dan "tidak berlaku."

Pertimbangan

  • Retensi - Retensi log: menyimpan log audit dan log masuk Microsoft Entra lebih dari 30 hari
  • Analitik - Log dapat dicari dengan alat analitik
  • Wawasan operasional dan keamanan - Menyediakan akses ke penggunaan aplikasi, kesalahan masuk, penggunaan layanan mandiri, tren, dll.
  • Integrasi SIEM - Mengintegrasikan dan mengalirkan log masuk Microsoft Entra dan log audit ke sistem SIEM

Arsitektur solusi pemantauan

Dengan pemantauan Microsoft Entra, Anda dapat merutekan log aktivitas Microsoft Entra dan menyimpannya untuk pelaporan dan analisis jangka panjang untuk mendapatkan wawasan lingkungan, dan mengintegrasikannya dengan alat SIEM. Gunakan bagan alur keputusan berikut untuk membantu memilih arsitektur.

Matriks keputusan untuk arsitektur kebutuhan bisnis.

Mengarsipkan log ke akun penyimpanan

Anda dapat menyimpan log lebih lama dari periode retensi default dengan merutekannya ke akun penyimpanan Azure.

Penting

Gunakan metode arsip ini jika tidak perlu mengintegrasikan log dengan sistem SIEM, atau tidak perlu kueri dan analisis yang sedang berlangsung. Anda dapat menggunakan pencarian sesuai permintaan.

Selengkapnya:

Mengalirkan log ke penyimpanan dan alat SIEM

Langkah berikutnya