Microsoft Entra-Abhängigkeiten zur Überwachung und Integritätsbereitstellung
Ihre Microsoft Entra-Lösung für die Berichterstellung und Überwachung hängt von gesetzlichen, sicherheitsrelevanten und betrieblichen Anforderungen sowie von den Prozessen in Ihrer Umgebung ab. In den folgenden Abschnitten finden Sie Informationen zu Entwurfsoptionen und zur Bereitstellungsstrategie.
Vorteile der Microsoft Entra-Berichterstellung und -Überwachung
Die Microsoft Entra ID-Berichterstellung bietet eine Ansicht und Protokolle zu den Microsoft Entra-Aktivitäten in Ihrer Umgebung. Diese umfassen Anmelde- und Überwachungsereignisse sowie Änderungen an Ihrem Verzeichnis.
Die Datenausgabe ermöglicht Ihnen Folgendes:
- Ermitteln, wie Ihre Apps und Dienste genutzt werden
- Erkennen potenzieller Risiken für die Integrität Ihrer Umgebung
- Behandeln von Problemen, die Ihre Benutzer an der Erledigung ihrer Arbeit hindern
- Gewinnen von Erkenntnissen durch die Überwachungsereignisse für Änderungen am Microsoft Entra-Verzeichnis.
Mit Microsoft Entra-Überwachung können Sie die von der Microsoft Entra ID-Berichterstellung generierten Protokolle an verschiedene Zielsysteme weiterleiten. Diese können dann entweder zur langfristigen Verwendung gespeichert oder in SIEM-Drittanbietertools (Security Information & Event Management) integriert werden, um Einblicke in Ihre Umgebung zu gewinnen.
Mit Microsoft Entra-Überwachung können Sie Protokolle folgendermaßen weiterleiten:
- an ein Azure-Speicherkonto zu Archivierungszwecken
- an Azure Monitor-Protokolle, um die Daten dort zu analysieren, Dashboards zu erstellen und Warnungen für bestimmte Ereignisse auszulösen
- einen Azure Event Hub, in dem die Protokolle mit vorhandenen SIEM-Tools wie Splunk, Sumologic oder QRadar integriert werden können
Voraussetzungen
Sie benötigen eine Microsoft Entra ID P1- bzw. P2-Lizenz, um auf die Microsoft Entra-Anmeldeprotokolle zuzugreifen.
Ausführliche Informationen zu Features und Lizenzierung finden Sie im Leitfaden zu den Microsoft Entra-Preisen.
Zum Bereitstellen der Überwachung und Integrität in Microsoft Entra benötigen Sie eine*n Benutzer*in, der bzw. die die Rolle „globaler Administrator“ oder „Sicherheitsadministrator“ für den Microsoft Entra-Mandanten ist.
- Azure Monitor-Datenplattform
- Namens- und Terminologieänderungen bei Azure Monitor
- Wie lange speichert Microsoft Entra ID Berichtsdaten?
- Ein Azure-Speicherkonto, für das Sie über
ListKeys
-Berechtigungen verfügen. Wir empfehlen Ihnen, anstelle eines Blobspeicherkontos ein allgemeines Speicherkonto zu verwenden. Preisinformationen zur Speicherung erhalten Sie über den Azure Storage-Preisrechner. - ein Azure Event Hubs-Namespace, der mit SIEM-Drittanbieterlösungen integriert werden kann
- Einen Azure Log Analytics-Arbeitsbereich, um Protokolle an Azure Monitor-Protokolle zu senden.
Planen und Bereitstellen eines Projekts für die Überwachungs- und Integritätsbereitstellung in Microsoft Entra
Berichterstellung und Überwachung werden verwendet, um Ihre geschäftlichen Anforderungen zu erfüllen, Einblicke in die Verwendungsmuster zu gewinnen und den Sicherheitsstatus Ihrer Organisation zu erhöhen. In diesem Projekt definieren Sie die Zielgruppen, die Berichte nutzen und überwachen, und Ihre Microsoft Entra-Überwachungsarchitektur.
Projektbeteiligte, Kommunikation und Dokumentation
Fehler in Technologieprojekten sind in der Regel auf nicht erfüllte Erwartungen auf den Gebieten Auswirkungen, Ergebnisse und Zuständigkeiten zurückzuführen. Diese können Sie vermeiden, indem Sie sicherstellen, dass Sie die richtigen Beteiligten hinzuziehen. Achten Sie zudem darauf, die Rolle der Beteiligten im Projekt präzise zu definieren, indem Sie die Beteiligten, ihren Projektbeitrag und ihre Verantwortungsbereiche dokumentieren.
Beteiligte müssen auf Microsoft Entra-Protokolle zugreifen können, um Einblicke in den Betrieb zu erhalten. Das betrifft am wahrscheinlichsten Mitglieder des Sicherheitsteams, interne oder externe Prüfer und das Betriebsteam für die Identitäts- und Zugriffsverwaltung.
Mit Microsoft Entra-Rollen können Sie die Möglichkeit zum Konfigurieren und Anzeigen von Microsoft Entra-Berichten auf ihrer Rolle basierend delegieren. Legen Sie fest, wer in Ihrer Organisation die Berechtigung zum Lesen von Microsoft Entra-Berichten benötigt und welche Rolle für diese Benutzer geeignet ist.
Folgende Rollen können Microsoft Entra-Berichte lesen:
- Globaler Administrator
- Sicherheitsadministrator
- Sicherheitsleseberechtigter
- Meldet Reader
Erfahren Sie mehr über Microsoft Entra-Administratorrollen. Wenden Sie immer das Konzept der geringsten Rechte an, um das Risiko einer Kontogefährdung zu verringern. Sie sollten Privileged Identity Management implementieren, um Ihre Organisation noch besser zu schützen.
Einbinden von Projektbeteiligten
Bei erfolgreichen Projekten werden Erwartungen, Ergebnisse und Verantwortungsbereiche aufeinander abgestimmt. Weitere Informationen finden Sie unter Microsoft Entra-Bereitstellungspläne. Dokumentieren und kommunizieren Sie die Rollen der Projektbeteiligten, die Input und Verantwortlichkeit erfordern.
Kommunikationsplan
Teilen Sie Ihren Benutzern mit, wann und wie sich die Umgebung ändern wird. Geben Sie Kontaktinformationen für den Support an.
- welche SIEM-Tools Sie einsetzen (falls zutreffend)
- Ihre Azure-Infrastruktur, einschließlich der vorhandenen Speicherkonten und der eingesetzten Überwachung
- die Beibehaltungsrichtlinien Ihrer Organisation für Protokolle, einschließlich der erforderlichen geltenden Compliancevorgaben.
Anwendungsfälle für Unternehmen
Zur besseren Priorisierung der Anwendungsfälle und Lösungen können Sie die Optionen nach „erforderlich für die Lösung, um Geschäftsanforderungen zu erfüllen“, „wünschenswert, um Geschäftsanforderungen zu erfüllen“ und „nicht anwendbar“ sortieren.
Überlegungen
- Aufbewahrung – Aufbewahrungsdauer für Protokolle: Speichern Sie Überwachungsprotokolle und Anmeldeprotokolle von Microsoft Entra länger als 30 Tage
- Analysen: Protokolle müssen mit Analysetools durchsuchbar sein.
- Betriebliche und sicherheitsrelevante Einblicke: Bieten Sie Zugriff auf Informationen in Bezug auf Anwendungsnutzung, Anmeldefehler, Self-Service-Nutzung, Trends usw.
- SIEM-Integration: Integrieren und Streamen Sie Microsoft Entra-Anmeldeprotokolle und -Überwachungsprotokolle in SIEM-Systeme
Architektur der Überwachungslösung
Mit der Microsoft Entra-Überwachung können Sie Microsoft Entra-Aktivitätsprotokolle weiterleiten, sie für die langfristige Berichterstellung und Analyse aufbewahren, um Einblicke in die Umgebung zu erhalten, und sie in SIEM-Tools integrieren. Wählen Sie anhand des folgenden Flussdiagramms zum Entscheidungsprozess eine Architektur aus.
Archivieren von Protokollen in einem Speicherkonto
Sie können Protokolle länger aufbewahren als die Standardaufbewahrungsdauer vorgibt, indem Sie die Protokolle an ein Azure-Speicherkonto weiterleiten.
Wichtig
Verwenden Sie diese Archivierungsmethode, wenn die Protokolle nicht in ein SIEM-System integriert werden müssen oder keine laufenden Abfragen und Analysen erforderlich sind. Sie können Suchvorgänge nach Bedarf durchführen.
Weitere Informationen:
- Wie lange speichert Microsoft Entra ID Berichtsdaten?
- Tutorial: Archivieren von Microsoft Entra-Aktivitätsprotokollen in einem Azure-Speicherkonto
Streamen von Protokollen in Speicher- und SIEM-Tools
- Integration von Microsoft Entra ID-Protokollen in Azure Monitor-Protokolle.
- Analysieren von Microsoft Entra-Aktivitätsprotokolle mit Azure Monitor-Protokollen.
- Informationen zum Streamen von Protokollen an einen Event Hub finden Sie hier.
- Informationen zum Archivieren von Microsoft Entra-Protokollen in einem Azure-Speicherkonto.
- Weiterleitung von Microsoft Entra-Protokollen an einen Event Hub