Dependências de monitoramento e implantação de integridade do Microsoft Entra

Sua solução de relatório e monitoramento do Microsoft Entra depende dos requisitos legais, de segurança, operacionais e dos processos do seu ambiente. Use as seções a seguir para saber mais sobre opções de design e estratégia de implantação.

Benefícios dos relatórios e monitoramento do Microsoft Entra

O relatório de ID do Microsoft Entra tem uma exibição e logs da atividade do Microsoft Entra em seu ambiente: eventos de entrada e auditoria, também alterações em seu diretório.

Use a saída de dados para:

  • Determine como seus aplicativos e serviços são usados.
  • Detete riscos potenciais que afetam a saúde do seu ambiente.
  • Solucione problemas que impedem que os usuários realizem o trabalho.
  • obtenha informações vendo eventos de auditoria de alterações no diretório do Microsoft Entra.

O monitoramento do Microsoft Entra permite que você roteie seus logs gerados pelos relatórios de ID do Microsoft Entra para diferentes sistemas de destino. Em seguida, pode retê-los para utilização a longo prazo ou integrá-los com ferramentas de Gestão de Informações e Eventos de Segurança (SIEM) de terceiros para obter informações sobre o seu ambiente.

Com o monitoramento do Microsoft Entra, você pode rotear logs para:

  • uma conta de armazenamento do Azure para fins de arquivamento.
  • Logs do Azure Monitor, onde você pode analisar os dados, criar painéis e alertar sobre eventos específicos.
  • um hub de eventos do Azure onde você pode se integrar com suas ferramentas SIEM existentes, como Splunk, Sumologic ou QRadar.

Pré-requisitos

Você precisará de uma licença do Microsoft Entra ID P1 ou P2 para acessar os logs de entrada do Microsoft Entra.

Para obter informações detalhadas sobre recursos e licenciamento, consulte o guia de preços do Microsoft Entra.

Para implantar o monitoramento e a integridade do Microsoft Entra, você precisará de um usuário que seja um Administrador Global ou Administrador de Segurança para o locatário do Microsoft Entra.

Planejar e implantar um projeto de implantação de integridade e monitoramento do Microsoft Entra

Os relatórios e o monitoramento são usados para atender aos requisitos de negócios, obter informações sobre padrões de uso e aumentar a postura de segurança da sua organização. Neste projeto, você definirá os públicos que consumirão e monitorarão relatórios e definirá sua arquitetura de monitoramento do Microsoft Entra.

Partes interessadas, comunicações e documentação

Quando os projetos de tecnologia falham, normalmente o fazem devido a expectativas incompatíveis sobre efeitos, resultados e responsabilidades. Para evitar essas armadilhas, certifique-se de envolver as partes interessadas certas. Certifique-se também de que os papéis das partes interessadas no projeto sejam bem compreendidos, documentando as partes interessadas e suas contribuições e responsabilidades no projeto.

As partes interessadas precisam acessar os logs do Microsoft Entra para obter informações operacionais. Os usuários prováveis incluem membros da equipe de segurança, auditores internos ou externos e a equipe de operações de gerenciamento de identidade e acesso.

As funções do Microsoft Entra permitem que você delegue a capacidade de configurar e exibir relatórios do Microsoft Entra com base em sua função. Identifique quem em sua organização precisa de permissão para ler relatórios do Microsoft Entra e qual função seria apropriada para eles.

As seguintes funções podem ler relatórios do Microsoft Entra:

  • Administrador Global do
  • Administrador de Segurança
  • Leitor de Segurança
  • Leitor de relatórios

Saiba mais sobre as funções administrativas do Microsoft Entra. Aplique sempre o conceito de privilégios mínimos para reduzir o risco de comprometimento de uma conta. Considere a implementação do Privileged Identity Management para proteger ainda mais sua organização.

Envolver as partes interessadas

Projetos bem-sucedidos alinham expectativas, resultados e responsabilidades. Consulte Planos de implantação do Microsoft Entra. Documentar e comunicar as funções das partes interessadas que exigem contributos e responsabilização.

Plano de comunicação

Diga aos seus usuários quando e como a experiência deles mudará. Forneça informações de contato para suporte.

  • Quais são, se houver, as ferramentas SIEM que você está usando.
  • Sua infraestrutura do Azure, incluindo contas de armazenamento existentes e monitoramento que está sendo usado.
  • Suas políticas de retenção organizacional para logs, incluindo quaisquer estruturas de conformidade aplicáveis necessárias.

Casos de uso de negócios

Para priorizar melhor os casos de uso e as soluções, organize as opções por "necessário para que a solução atenda às necessidades de negócios", "bom ter que atender às necessidades de negócios" e "não aplicável".

Considerações

  • Retenção - Retenção de logs: armazene logs de auditoria e logs de entrada do Microsoft Entra por mais de 30 dias
  • Analytics - Os logs podem ser pesquisados com ferramentas analíticas
  • Informações operacionais e de segurança - Forneça acesso ao uso do aplicativo, erros de login, uso de autoatendimento, tendências, etc.
  • Integração SIEM - Integre e transmita logs de entrada e logs de auditoria do Microsoft Entra para sistemas SIEM

Arquitetura da solução de monitoramento

Com o monitoramento do Microsoft Entra, você pode rotear os logs de atividades do Microsoft Entra e retê-los para relatórios e análises de longo prazo para obter insights do ambiente e integrá-los às ferramentas SIEM. Use o fluxograma de decisão a seguir para ajudar a selecionar uma arquitetura.

Decision matrix for business-need architecture.

Arquivar logs em uma conta de armazenamento

Você pode manter os logs por mais tempo do que o período de retenção padrão roteando-os para uma conta de armazenamento do Azure.

Importante

Use esse método de arquivamento se não houver necessidade de integrar logs com um sistema SIEM ou se não houver necessidade de consultas e análises contínuas. Você pode usar pesquisas sob demanda.

Saiba mais:

Transmitir logs para ferramentas de armazenamento e SIEM

Próximos passos