Afhankelijkheden van Microsoft Entra-bewaking en statusimplementatie
Uw Microsoft Entra-rapportage- en bewakingsoplossing is afhankelijk van juridische, beveiligings-, operationele vereisten en de processen van uw omgeving. Gebruik de volgende secties voor meer informatie over ontwerpopties en implementatiestrategie.
Voordelen van Microsoft Entra-rapportage en -bewaking
Microsoft Entra ID-rapportage heeft een weergave en logboeken van Microsoft Entra-activiteiten in uw omgeving: aanmeldings- en controlegebeurtenissen, ook wijzigingen in uw directory.
Gegevensuitvoer gebruiken om:
- bepalen hoe uw apps en services worden gebruikt;
- potentiƫle risico's detecteren die van invloed zijn op de status van uw omgeving;
- problemen oplossen waardoor uw gebruikers hun werk niet kunnen doen;
- krijg inzicht door controlegebeurtenissen van wijzigingen in uw Microsoft Entra-directory te bekijken.
Met Microsoft Entra-bewaking kunt u uw logboeken routeren die zijn gegenereerd door Microsoft Entra ID-rapportage naar verschillende doelsystemen. U kunt deze vervolgens behouden voor later gebruik of integreren met SIEM-hulpprogramma's (Security Information and Event Management) van derden om meer inzicht in uw omgeving te verkrijgen.
Met Microsoft Entra-bewaking kunt u logboeken routeren naar:
- een Azure-opslagaccount voor archiveringsdoeleinden;
- Azure Monitor-logboeken, waar u de gegevens kunt analyseren, dashboards kunt maken en waarschuwingen kunt ontvangen over specifieke gebeurtenissen.
- een Azure Event Hub, waar u kunt integreren met uw bestaande SIEM-hulpprogramma's, zoals Splunk, Sumologic of QRadar.
Vereisten
U hebt een Microsoft Entra ID P1- of P2-licentie nodig voor toegang tot de aanmeldingslogboeken van Microsoft Entra.
Zie de prijshandleiding voor Microsoft Entra voor gedetailleerde informatie over functies en licenties.
Als u Microsoft Entra-bewaking en -status wilt implementeren, hebt u een gebruiker nodig die een Beveiligings-Beheer istrator is voor de Microsoft Entra-tenant.
- Azure Monitor-gegevensplatform
- Wijzigingen in naamgeving en terminologie in Azure Monitor
- Hoe lang slaat Microsoft Entra ID rapportagegegevens op?
- Een Azure-opslagaccount waarvoor u machtigingen hebt
ListKeys
. We raden u aan om een algemeen opslagaccount te gebruiken en geen Blob Storage-account. Raadpleeg de Azure Storage-prijscalculator voor opslagprijzen. - Een Azure Event Hubs-naamruimte om te integreren met SIEM-oplossingen van derden.
- Een Azure Log Analytics-werkruimte om logboeken naar Azure Monitor-logboeken te verzenden.
Een Microsoft Entra-bewakings- en statusimplementatieproject plannen en implementeren
Rapportage en bewaking worden gebruikt om te voldoen aan uw bedrijfsvereisten, inzicht te krijgen in gebruikspatronen en de stand van uw beveiliging van uw organisatie te verhogen. In dit project definieert u de doelgroepen die rapporten gebruiken en bewaken en definieert u uw Microsoft Entra-bewakingsarchitectuur.
Belanghebbenden, communicatie en documentatie
Wanneer technologieprojecten mislukken, doen ze dit meestal vanwege niet-overeenkomende verwachtingen op effect, resultaten en verantwoordelijkheden. U kunt deze valkuilen voorkomen door ervoor te zorgen dat u de juiste belanghebbenden inschakelt. Zorg er ook voor dat belanghebbenden in het project goed worden begrepen door de belanghebbenden en hun projectinvoer en verantwoordelijkheden te documenteren.
Belanghebbenden moeten toegang krijgen tot Microsoft Entra-logboeken om operationele inzichten te verkrijgen. Vermoedelijke gebruikers zijn onder anderen leden van het beveiligingsteam, interne of externe auditors en leden van het operations-team voor identiteits- en toegangsbeheer.
Met Microsoft Entra-rollen kunt u de mogelijkheid voor het configureren en weergeven van Microsoft Entra-rapporten delegeren op basis van uw rol. Bepaal wie in uw organisatie gemachtigd is om Microsoft Entra-rapporten te lezen en welke rol geschikt is voor hen.
De volgende rollen kunnen Microsoft Entra-rapporten lezen:
- Beveiligingsbeheer
- Beveiligingslezer
- Rapportenlezer
Meer informatie over Microsoft Entra Beheer istische rollen. Pas altijd het concept van minimale bevoegdheden toe om het risico op misbruik van accounts te verkleinen. Overweeg het implementeren van Privileged Identity Management om uw organisatie verder te beveiligen.
Belanghebbenden betrekken
Succesvolle projecten stemmen verwachtingen, resultaten en verantwoordelijkheden af. Zie Microsoft Entra-implementatieplannen. Documenteer en communiceer rollen van belanghebbenden die input en verantwoording vereisen.
Communicatieplan
Vertel uw gebruikers wanneer en hoe hun ervaring verandert. Geef contactgegevens op voor ondersteuning.
- Wat de SIEM-hulpprogramma's die u eventueel gebruikt.
- Uw Azure-infrastructuur, inclusief bestaande opslagaccounts en de gebruikte bewaking.
- Het bewaarbeleid in uw organisatie voor logboeken, inclusief eventuele vereiste en toepasselijke frameworks voor naleving.
Zakelijke use-cases
Als u de use cases en oplossingen beter wilt prioriteren, moet u de opties ordenen op basis van 'vereist om te voldoen aan bedrijfsbehoeften', 'leuk om te voldoen aan bedrijfsbehoeften' en 'niet van toepassing'.
Overwegingen
- Retentie - Logboekretentie : auditlogboeken opslaan en aanmeldingslogboeken van Microsoft Entra langer dan 30 dagen opslaan
- Analyse : logboeken kunnen worden doorzocht met analysehulpprogramma's
- Operationele en beveiligingsinzichten : toegang bieden tot toepassingsgebruik, aanmeldingsfouten, selfservicegebruik, trends, enzovoort.
- SIEM-integratie - Aanmeldingslogboeken en auditlogboeken van Microsoft Entra integreren en streamen naar SIEM-systemen
Architectuur van bewakingsoplossing
Met Microsoft Entra-bewaking kunt u activiteitenlogboeken van Microsoft Entra routeren en bewaren voor langetermijnrapportage en -analyse om omgevingsinzichten te verkrijgen en te integreren met SIEM-hulpprogramma's. Gebruik het volgende beslissingsstroomdiagram om een architectuur te selecteren.
Logboeken archiveren in een opslagaccount
U kunt logboeken langer bewaren dan de standaardretentieperiode door ze te routeren naar een Azure-opslagaccount.
Belangrijk
Gebruik deze archiveringsmethode als u logboeken niet hoeft te integreren met een SIEM-systeem of als u geen lopende query's en analyses nodig hebt. U kunt zoekopdrachten op aanvraag gebruiken.
Meer informatie:
- Hoe lang slaat Microsoft Entra ID rapportagegegevens op?
- Zelfstudie: Microsoft Entra-logboeken archiveren naar een Azure-opslagaccount
Logboeken streamen naar opslag- en SIEM-hulpprogramma's
- Integreer Microsoft Entra-logboeken met Azure Monitor-logboeken.
- Analyseer activiteitenlogboeken van Microsoft Entra met Azure Monitor-logboeken.
- Ontdek hoe u logboeken streamt naar een Event Hub.
- Meer informatie over het archiveren van Microsoft Entra-logboeken naar een Azure Storage-account.
- Microsoft Entra-logboeken routeren naar een Event Hub
Volgende stappen
- Overweeg het implementeren van Privileged Identity Management
- Overweeg om op rollen gebaseerd toegangsbeheer van Azure te implementeren
- Meer informatie over het retentiebeleid voor rapporten.
- Activiteitenlogboeken van Microsoft Entra analyseren met Azure Monitor-logboeken