Microsoft Entra 监视和运行状况部署依赖项

Microsoft Entra 报告和监视解决方案取决于法律、安全、运营等方面的要求以及环境的流程。 使用以下部分，了解设计选项和部署策略。

Microsoft Entra 报告和监视的优势

Microsoft Entra ID 报告具有环境中 Microsoft Entra 活动的视图和日志：登录事件、审核事件以及对目录所做的更改。

使用数据输出来完成以下操作：

• 确定如何使用应用和服务。
• 检测影响环境运行状况的潜在风险。
• 排查妨碍用户完成其工作的问题。
• 通过查看对 Microsoft Entra 目录的更改的审核事件来获取见解。

利用 Microsoft Entra 监视，可以将 Microsoft Entra ID 报表生成的日志路由到不同的目标系统。 然后，可以将其保存以供长期使用，或者将其与第三方安全信息和事件管理 (SIEM) 工具集成，以便获取有关环境的见解。

利用 Microsoft Entra 监视，可以将日志路由到：

• Azure 存储帐户，以便进行存档。
• Azure Monitor 日志，可以在其中分析数据、创建仪表板，并对特定事件发出警报。
• Azure 事件中心，可以在其中与现有的 SIEM 工具（如 Splunk、Sumologic 或 QRadar）集成。

先决条件

需要 Microsoft Entra ID P1 或 P2 许可证才能访问 Microsoft Entra 登录日志。

有关详细功能和许可信息，请参阅 Microsoft Entra 定价指南。

若要部署 Microsoft Entra 监视和运行状况，需要一个拥有 Microsoft Entra 租户的全局管理员或安全管理员身份的用户。

• Azure Monitor 数据平台
• Azure Monitor 命名和术语更改
• Microsoft Entra ID 会将报告数据存储多长时间？
• 你对其拥有 ListKeys 权限的 Azure 存储帐户。 建议使用常规存储帐户而非 Blob 存储帐户。 有关存储定价信息，请参阅 Azure 存储定价计算器。
• 用于与第三方 SIEM 解决方案集成的 Azure 事件中心命名空间。
• 用于将日志发送到 Azure Monitor 日志的 Azure Log Analytics 工作区。

规划和部署 Microsoft Entra 监视和运行状况部署项目

报表和监视用于满足业务需求，深入了解使用模式，以及改善组织的安全状态。 在此项目中，你将定义那些将会消耗和监视报表的受众，并定义 Microsoft Entra 监视体系结构。

利益干系人、通信和文档

如果技术项目失败，它们通常是由于在影响、结果和责任方面不符合预期而导致的。 为了避免这些缺陷，请确保让正确的利益干系人参与。 另外，请确保通过记录利益干系人及其项目输入和责任，使项目中利益干系人的角色得到充分了解。

利益干系人需要访问 Microsoft Entra 日志来获取操作见解。 可能的用户包括安全团队成员、内部或外部审计人员，以及标识和访问管理操作团队。

利用 Microsoft Entra 角色，可以根据自己的角色来委托配置和查看 Microsoft Entra 报表的功能。 确定组织中的哪些人员需要读取 Microsoft Entra 报表的权限以及哪些角色适用于这些人员。

以下角色可以读取 Microsoft Entra 报表：

• 全局管理员
• 安全管理员
• 安全读取者
• 报告读者

详细了解 Microsoft Entra 管理角色。 始终应用最小特权的概念以降低帐户泄露的风险。 请考虑实现 Privileged Identity Management，以进一步保护组织。

与利益干系人互动

成功项目符合预期、结果和责任。 请参阅 Microsoft Entra 部署计划。 记录并传达需要输入和责任的利益干系人角色。

沟通计划

告知用户其体验何时变化及其变化方式。 提供用于支持的联系人信息。

• 你在使用哪些的 SIEM 工具（如果有）。
• 你的 Azure 基础结构，包括现有的存储帐户和正在使用的监视。
• 你的组织为日志制定的保留策略，包括所需的任何适用的符合性框架。

业务用例

若要更好地确定用例和解决方案的优先级，请按“满足业务需求所需的解决方案”、“满足业务需求”和“不适用”来组织选项。

注意事项

• 保留 - 日志保留：存储 Microsoft Entra 的审核日志和登录日志 30 天以上
• 分析 - 日志可通过分析工具搜索
• 操作和安全见解 - 提供对应用程序使用情况、登录错误、自助服务使用情况、趋势等的访问权限
• SIEM 集成 - 将 Microsoft Entra 登录日志和审核日志集成并流式传输到 SIEM 系统

监视解决方案体系结构

借助 Microsoft Entra 监视，可以路由 Microsoft Entra 活动日志并将其保留，以便进行长期报告和分析，从而获取环境见解，并将其与 SIEM 工具集成。 使用以下决策流程图来帮助选择体系结构。

在存储帐户中将日志存档

通过将日志路由到 Azure 存储帐户，可以将其保留更长一段时间（与默认保持期相比）。

了解详细信息：

• Microsoft Entra ID 会将报告数据存储多长时间？
• 教程：将 Microsoft Entra 日志存档到 Azure 存储帐户

将日志流式传输到存储和 SIEM 工具

• 将 Microsoft Entra 日志与 Azure Monitor 日志集成。
• 使用 Azure Monitor 日志分析 Microsoft Entra 活动日志。
• 了解如何将日志流式传输到事件中心。
• 了解如何将 Microsoft Entra 日志存档到 Azure 存储帐户。
• 将 Microsoft Entra 日志路由到事件中心

后续步骤

• 考虑实现 Privileged Identity Management
• 考虑实现 Azure 基于角色的访问控制
• 详细了解报告保留策略。
• 使用 Azure Monitor 日志分析 Microsoft Entra 活动日志