Dependências de monitoramento e implantação de integridade do Microsoft Entra
Sua solução de relatório e monitoramento do Microsoft Entra depende dos requisitos legais, de segurança, operacionais e dos processos do seu ambiente. Use as seções a seguir para saber mais sobre opções de design e estratégia de implantação.
Benefícios dos relatórios e monitoramento do Microsoft Entra
O relatório de ID do Microsoft Entra tem uma exibição e logs da atividade do Microsoft Entra em seu ambiente: eventos de entrada e auditoria, também alterações em seu diretório.
Use a saída de dados para:
- Determine como seus aplicativos e serviços são usados.
- Detete riscos potenciais que afetam a saúde do seu ambiente.
- Solucione problemas que impedem que os usuários realizem o trabalho.
- obtenha informações vendo eventos de auditoria de alterações no diretório do Microsoft Entra.
O monitoramento do Microsoft Entra permite que você roteie seus logs gerados pelos relatórios de ID do Microsoft Entra para diferentes sistemas de destino. Em seguida, pode retê-los para utilização a longo prazo ou integrá-los com ferramentas de Gestão de Informações e Eventos de Segurança (SIEM) de terceiros para obter informações sobre o seu ambiente.
Com o monitoramento do Microsoft Entra, você pode rotear logs para:
- uma conta de armazenamento do Azure para fins de arquivamento.
- Logs do Azure Monitor, onde você pode analisar os dados, criar painéis e alertar sobre eventos específicos.
- um hub de eventos do Azure onde você pode se integrar com suas ferramentas SIEM existentes, como Splunk, Sumologic ou QRadar.
Pré-requisitos
Você precisará de uma licença do Microsoft Entra ID P1 ou P2 para acessar os logs de entrada do Microsoft Entra.
Para obter informações detalhadas sobre recursos e licenciamento, consulte o guia de preços do Microsoft Entra.
Para implantar o monitoramento e a integridade do Microsoft Entra, você precisará de um usuário que seja um Administrador Global ou Administrador de Segurança para o locatário do Microsoft Entra.
- Plataforma de dados do Azure Monitor
- Alterações de nomenclatura e terminologia do Azure Monitor
- Por quanto tempo o Microsoft Entra ID armazena dados de relatórios?
- Uma conta de armazenamento do Azure para a qual você tem
ListKeys
permissões. Recomendamos que utilize uma conta de armazenamento para fins gerais e não uma conta de armazenamento de Blobs. Para obter informações sobre os preços de armazenamento, veja a Calculadora de preços do Armazenamento do Azure. - Um namespace de Hubs de Eventos do Azure para integrar com soluções SIEM de terceiros.
- Um espaço de trabalho do Azure Log Analytics para enviar logs para logs do Azure Monitor.
Planejar e implantar um projeto de implantação de integridade e monitoramento do Microsoft Entra
Os relatórios e o monitoramento são usados para atender aos requisitos de negócios, obter informações sobre padrões de uso e aumentar a postura de segurança da sua organização. Neste projeto, você definirá os públicos que consumirão e monitorarão relatórios e definirá sua arquitetura de monitoramento do Microsoft Entra.
Partes interessadas, comunicações e documentação
Quando os projetos de tecnologia falham, normalmente o fazem devido a expectativas incompatíveis sobre efeitos, resultados e responsabilidades. Para evitar essas armadilhas, certifique-se de envolver as partes interessadas certas. Certifique-se também de que os papéis das partes interessadas no projeto sejam bem compreendidos, documentando as partes interessadas e suas contribuições e responsabilidades no projeto.
As partes interessadas precisam acessar os logs do Microsoft Entra para obter informações operacionais. Os usuários prováveis incluem membros da equipe de segurança, auditores internos ou externos e a equipe de operações de gerenciamento de identidade e acesso.
As funções do Microsoft Entra permitem que você delegue a capacidade de configurar e exibir relatórios do Microsoft Entra com base em sua função. Identifique quem em sua organização precisa de permissão para ler relatórios do Microsoft Entra e qual função seria apropriada para eles.
As seguintes funções podem ler relatórios do Microsoft Entra:
- Administrador Global do
- Administrador de Segurança
- Leitor de Segurança
- Leitor de relatórios
Saiba mais sobre as funções administrativas do Microsoft Entra. Aplique sempre o conceito de privilégios mínimos para reduzir o risco de comprometimento de uma conta. Considere a implementação do Privileged Identity Management para proteger ainda mais sua organização.
Envolver as partes interessadas
Projetos bem-sucedidos alinham expectativas, resultados e responsabilidades. Consulte Planos de implantação do Microsoft Entra. Documentar e comunicar as funções das partes interessadas que exigem contributos e responsabilização.
Plano de comunicação
Diga aos seus usuários quando e como a experiência deles mudará. Forneça informações de contato para suporte.
- Quais são, se houver, as ferramentas SIEM que você está usando.
- Sua infraestrutura do Azure, incluindo contas de armazenamento existentes e monitoramento que está sendo usado.
- Suas políticas de retenção organizacional para logs, incluindo quaisquer estruturas de conformidade aplicáveis necessárias.
Casos de uso de negócios
Para priorizar melhor os casos de uso e as soluções, organize as opções por "necessário para que a solução atenda às necessidades de negócios", "bom ter que atender às necessidades de negócios" e "não aplicável".
Considerações
- Retenção - Retenção de logs: armazene logs de auditoria e logs de entrada do Microsoft Entra por mais de 30 dias
- Analytics - Os logs podem ser pesquisados com ferramentas analíticas
- Informações operacionais e de segurança - Forneça acesso ao uso do aplicativo, erros de login, uso de autoatendimento, tendências, etc.
- Integração SIEM - Integre e transmita logs de entrada e logs de auditoria do Microsoft Entra para sistemas SIEM
Arquitetura da solução de monitoramento
Com o monitoramento do Microsoft Entra, você pode rotear os logs de atividades do Microsoft Entra e retê-los para relatórios e análises de longo prazo para obter insights do ambiente e integrá-los às ferramentas SIEM. Use o fluxograma de decisão a seguir para ajudar a selecionar uma arquitetura.
Arquivar logs em uma conta de armazenamento
Você pode manter os logs por mais tempo do que o período de retenção padrão roteando-os para uma conta de armazenamento do Azure.
Importante
Use esse método de arquivamento se não houver necessidade de integrar logs com um sistema SIEM ou se não houver necessidade de consultas e análises contínuas. Você pode usar pesquisas sob demanda.
Saiba mais:
- Por quanto tempo o Microsoft Entra ID armazena dados de relatórios?
- Tutorial: Arquivar logs do Microsoft Entra em uma conta de armazenamento do Azure
Transmitir logs para ferramentas de armazenamento e SIEM
- Integre os logs do Microsoft Entra com os logs do Azure Monitor.
- Analise os logs de atividade do Microsoft Entra com os logs do Azure Monitor.
- Saiba como transmitir registos a um hub de eventos.
- Saiba como Arquivar logs do Microsoft Entra em uma conta de Armazenamento do Azure.
- Encaminhar logs do Microsoft Entra para um hub de eventos
Próximos passos
- Considere a implementação do Privileged Identity Management
- Considere implementar o controle de acesso baseado em função do Azure
- Saiba mais sobre as políticas de retenção de relatórios.
- Analisar logs de atividade do Microsoft Entra com logs do Azure Monitor