Microsoft Entra-Abhängigkeiten zur Überwachung und Integritätsbereitstellung

Ihre Microsoft Entra-Lösung für die Berichterstellung und Überwachung hängt von gesetzlichen, sicherheitsrelevanten und betrieblichen Anforderungen sowie von den Prozessen in Ihrer Umgebung ab. In den folgenden Abschnitten finden Sie Informationen zu Entwurfsoptionen und zur Bereitstellungsstrategie.

Vorteile der Microsoft Entra-Berichterstellung und -Überwachung

Die Microsoft Entra ID-Berichterstellung bietet eine Ansicht und Protokolle zu den Microsoft Entra-Aktivitäten in Ihrer Umgebung. Diese umfassen Anmelde- und Überwachungsereignisse sowie Änderungen an Ihrem Verzeichnis.

Die Datenausgabe ermöglicht Ihnen Folgendes:

  • Ermitteln, wie Ihre Apps und Dienste genutzt werden
  • Erkennen potenzieller Risiken für die Integrität Ihrer Umgebung
  • Behandeln von Problemen, die Ihre Benutzer an der Erledigung ihrer Arbeit hindern
  • Gewinnen von Erkenntnissen durch die Überwachungsereignisse für Änderungen am Microsoft Entra-Verzeichnis.

Mit Microsoft Entra-Überwachung können Sie die von der Microsoft Entra ID-Berichterstellung generierten Protokolle an verschiedene Zielsysteme weiterleiten. Diese können dann entweder zur langfristigen Verwendung gespeichert oder in SIEM-Drittanbietertools (Security Information & Event Management) integriert werden, um Einblicke in Ihre Umgebung zu gewinnen.

Mit Microsoft Entra-Überwachung können Sie Protokolle folgendermaßen weiterleiten:

  • an ein Azure-Speicherkonto zu Archivierungszwecken
  • an Azure Monitor-Protokolle, um die Daten dort zu analysieren, Dashboards zu erstellen und Warnungen für bestimmte Ereignisse auszulösen
  • einen Azure Event Hub, in dem die Protokolle mit vorhandenen SIEM-Tools wie Splunk, Sumologic oder QRadar integriert werden können

Voraussetzungen

Sie benötigen eine Microsoft Entra ID P1- bzw. P2-Lizenz, um auf die Microsoft Entra-Anmeldeprotokolle zuzugreifen.

Ausführliche Informationen zu Features und Lizenzierung finden Sie im Leitfaden zu den Microsoft Entra-Preisen.

Zum Bereitstellen der Überwachung und Integrität in Microsoft Entra benötigen Sie eine*n Benutzer*in, der bzw. die die Rolle „globaler Administrator“ oder „Sicherheitsadministrator“ für den Microsoft Entra-Mandanten ist.

Planen und Bereitstellen eines Projekts für die Überwachungs- und Integritätsbereitstellung in Microsoft Entra

Berichterstellung und Überwachung werden verwendet, um Ihre geschäftlichen Anforderungen zu erfüllen, Einblicke in die Verwendungsmuster zu gewinnen und den Sicherheitsstatus Ihrer Organisation zu erhöhen. In diesem Projekt definieren Sie die Zielgruppen, die Berichte nutzen und überwachen, und Ihre Microsoft Entra-Überwachungsarchitektur.

Projektbeteiligte, Kommunikation und Dokumentation

Fehler in Technologieprojekten sind in der Regel auf nicht erfüllte Erwartungen auf den Gebieten Auswirkungen, Ergebnisse und Zuständigkeiten zurückzuführen. Diese können Sie vermeiden, indem Sie sicherstellen, dass Sie die richtigen Beteiligten hinzuziehen. Achten Sie zudem darauf, die Rolle der Beteiligten im Projekt präzise zu definieren, indem Sie die Beteiligten, ihren Projektbeitrag und ihre Verantwortungsbereiche dokumentieren.

Beteiligte müssen auf Microsoft Entra-Protokolle zugreifen können, um Einblicke in den Betrieb zu erhalten. Das betrifft am wahrscheinlichsten Mitglieder des Sicherheitsteams, interne oder externe Prüfer und das Betriebsteam für die Identitäts- und Zugriffsverwaltung.

Mit Microsoft Entra-Rollen können Sie die Möglichkeit zum Konfigurieren und Anzeigen von Microsoft Entra-Berichten auf ihrer Rolle basierend delegieren. Legen Sie fest, wer in Ihrer Organisation die Berechtigung zum Lesen von Microsoft Entra-Berichten benötigt und welche Rolle für diese Benutzer geeignet ist.

Folgende Rollen können Microsoft Entra-Berichte lesen:

  • Globaler Administrator
  • Sicherheitsadministrator
  • Sicherheitsleseberechtigter
  • Meldet Reader

Erfahren Sie mehr über Microsoft Entra-Administratorrollen. Wenden Sie immer das Konzept der geringsten Rechte an, um das Risiko einer Kontogefährdung zu verringern. Sie sollten Privileged Identity Management implementieren, um Ihre Organisation noch besser zu schützen.

Einbinden von Projektbeteiligten

Bei erfolgreichen Projekten werden Erwartungen, Ergebnisse und Verantwortungsbereiche aufeinander abgestimmt. Weitere Informationen finden Sie unter Microsoft Entra-Bereitstellungspläne. Dokumentieren und kommunizieren Sie die Rollen der Projektbeteiligten, die Input und Verantwortlichkeit erfordern.

Kommunikationsplan

Teilen Sie Ihren Benutzern mit, wann und wie sich die Umgebung ändern wird. Geben Sie Kontaktinformationen für den Support an.

  • welche SIEM-Tools Sie einsetzen (falls zutreffend)
  • Ihre Azure-Infrastruktur, einschließlich der vorhandenen Speicherkonten und der eingesetzten Überwachung
  • die Beibehaltungsrichtlinien Ihrer Organisation für Protokolle, einschließlich der erforderlichen geltenden Compliancevorgaben.

Anwendungsfälle für Unternehmen

Zur besseren Priorisierung der Anwendungsfälle und Lösungen können Sie die Optionen nach „erforderlich für die Lösung, um Geschäftsanforderungen zu erfüllen“, „wünschenswert, um Geschäftsanforderungen zu erfüllen“ und „nicht anwendbar“ sortieren.

Überlegungen

  • Aufbewahrung – Aufbewahrungsdauer für Protokolle: Speichern Sie Überwachungsprotokolle und Anmeldeprotokolle von Microsoft Entra länger als 30 Tage
  • Analysen: Protokolle müssen mit Analysetools durchsuchbar sein.
  • Betriebliche und sicherheitsrelevante Einblicke: Bieten Sie Zugriff auf Informationen in Bezug auf Anwendungsnutzung, Anmeldefehler, Self-Service-Nutzung, Trends usw.
  • SIEM-Integration: Integrieren und Streamen Sie Microsoft Entra-Anmeldeprotokolle und -Überwachungsprotokolle in SIEM-Systeme

Architektur der Überwachungslösung

Mit der Microsoft Entra-Überwachung können Sie Microsoft Entra-Aktivitätsprotokolle weiterleiten, sie für die langfristige Berichterstellung und Analyse aufbewahren, um Einblicke in die Umgebung zu erhalten, und sie in SIEM-Tools integrieren. Wählen Sie anhand des folgenden Flussdiagramms zum Entscheidungsprozess eine Architektur aus.

Decision matrix for business-need architecture.

Archivieren von Protokollen in einem Speicherkonto

Sie können Protokolle länger aufbewahren als die Standardaufbewahrungsdauer vorgibt, indem Sie die Protokolle an ein Azure-Speicherkonto weiterleiten.

Wichtig

Verwenden Sie diese Archivierungsmethode, wenn die Protokolle nicht in ein SIEM-System integriert werden müssen oder keine laufenden Abfragen und Analysen erforderlich sind. Sie können Suchvorgänge nach Bedarf durchführen.

Weitere Informationen:

Streamen von Protokollen in Speicher- und SIEM-Tools

Nächste Schritte