Jakie są opcje integracji dziennika działań Microsoft Entra?

Za pomocą ustawień diagnostycznych w usłudze Microsoft Entra ID można kierować dzienniki aktywności do kilku punktów końcowych w celu długoterminowego przechowywania danych i szczegółowych informacji. Można archiwizować dzienniki do przechowywania, kierować do narzędzi do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz integrować dzienniki z dziennikami usługi Azure Monitor.

Dzięki tym integracji można włączyć zaawansowane wizualizacje, monitorowanie i alerty dotyczące połączonych danych. W tym artykule opisano zalecane zastosowania dla każdego typu integracji lub metody dostępu. Zagadnienia dotyczące kosztów wysyłania dzienników aktywności firmy Microsoft do różnych punktów końcowych są również omówione.

Obsługiwane raporty

Następujące dzienniki można zintegrować z jednym z wielu punktów końcowych:

• Raport aktywności dzienników inspekcji zapewnia dostęp do historii każdego zadania wykonywanego w Twojej dzierżawie.
• Korzystając z raportu aktywności logowania, możesz zobaczyć, kiedy użytkownicy próbują zalogować się do aplikacji lub rozwiązywać problemy z błędami logowania.
• Za pomocą dzienników aprowizacjimożna monitorować użytkowników, którzy byli aktualizowani i usuwani we wszystkich aplikacjach innych niż Microsoft.
• Dzienniki ryzykownych użytkowników pomagają monitorować zmiany poziomu ryzyka użytkownika i działania korygujące.
• Dzięki dziennikom wykrywania ryzyka można monitorować wykrycia ryzyka użytkownika i analizować trendy w aktywności ryzyka wykrytej w organizacji.

Opcje integracji

Aby pomóc wybrać właściwą metodę integracji dzienników aktywności Microsoft Entra do przechowywania lub analizy, pomyśl o ogólnym zadaniu, które chcesz osiągnąć. Opcje są pogrupowane w trzy główne kategorie:

• Rozwiązywanie problemów
• Długoterminowe przechowywanie
• Analiza i monitorowanie

Podstawowe rozwiązywanie problemów

Jeśli wykonujesz podstawowe zadania rozwiązywania problemów, ale nie musisz przechowywać dzienników przez ponad 30 dni, zalecamy używanie centrum administracyjnego firmy Microsoft Entra lub interfejsów API programu Microsoft Graph w celu uzyskania dostępu do dzienników aktywności. Dzienniki scenariusza można filtrować i eksportować lub pobierać w razie potrzeby.

Jeśli wykonujesz zadania rozwiązywania problemów i musisz zachować dzienniki przez ponad 30 dni, zapoznaj się z opcjami długoterminowego przechowywania.

Długoterminowe przechowywanie

Jeśli wykonujesz zadania rozwiązywania problemów i musisz przechowywać dzienniki przez ponad 30 dni, należy wyeksportować dzienniki na konto usługi Azure Storage. Ta opcja jest idealna, jeśli nie planujesz wykonywania zapytań dotyczących tych danych często lub trzeba przechowywać dzienniki w celach zgodności.

Jeśli musisz wykonać zapytanie dotyczące danych, które są przechowywane przez ponad 30 dni, zapoznaj się z opcjami analizy i monitorowania.

Analiza i monitorowanie

Jeśli scenariusz wymaga przechowywania danych przez ponad 30 dni i planujesz regularne wykonywanie zapytań o te dane, masz kilka opcji integracji danych z narzędziami SIEM do analizy i monitorowania.

Jeśli używasz narzędzia SIEM innej firmy niż Microsoft, zalecamy skonfigurowanie przestrzeni nazw usługi Event Hubs i centrum zdarzeń, w którym można przesyłać strumieniowo dane. Za pomocą centrum zdarzeń można przesyłać strumieniowo dzienniki do jednego z obsługiwanych narzędzi SIEM.

Jeśli nie planujesz korzystania z narzędzia SIEM innej firmy, zalecamy wysłanie dzienników aktywności firmy Microsoft Entra do dzienników usługi Azure Monitor. Dzięki tej integracji możesz wykonywać zapytania dotyczące dzienników aktywności w obszarze roboczym usługi Log Analytics. Po zintegrowaniu dzienników z dziennikami usługi Azure Monitor możesz wykonywać zapytania za pomocą usługi Log Analytics i konfigurować skoroszyty w celu dalszej analizy i zgłaszania alertów. Zalecamy skonfigurowanie obszaru roboczego do przechowywania dzienników i innego obszaru roboczego w celu integracji z usługą Log Analytics i skoroszytami.

Oprócz dzienników usługi Azure Monitor usługa Microsoft Sentinel zapewnia wykrywanie zabezpieczeń w czasie rzeczywistym i wyszukiwanie zagrożeń. Jeśli zdecydujesz się później zintegrować z narzędziami SIEM, możesz przesyłać strumieniowo dzienniki aktywności Microsoft Entra wraz z innymi danymi Azure za pośrednictwem centrum zdarzeń.

Kwestie związane z kosztami

Wysyłanie danych do obszaru roboczego usługi Log Analytics, archiwizacja danych na koncie przechowywania lub przesyłanie strumieniowe dzienników do centrum zdarzeń wiąże się z kosztami. Ilość danych i poniesione koszty mogą się znacznie różnić w zależności od rozmiaru dzierżawy, liczby używanych zasad, a nawet godziny dnia. Zmiana istniejącego ustawienia diagnostycznego może spowodować naliczanie nowych opłat.

Ponieważ rozmiar i koszt wysyłania dzienników do punktu końcowego są trudne do przewidzenia, najbardziej dokładnym sposobem określenia oczekiwanych kosztów jest kierowanie dzienników do punktu końcowego na dzień lub dwa. Dzięki tej migawce możesz uzyskać dokładną prognozę oczekiwanych kosztów. Możesz również uzyskać oszacowanie kosztów, pobierając próbkę zapisów i odpowiednio mnożąc, aby uzyskać oszacowanie na jeden dzień.

Inne zagadnienia dotyczące wysyłania dzienników usługi Microsoft Entra do dzienników usługi Azure Monitor zostały omówione w następujących artykułach dotyczących kosztów usługi Azure Monitor:

• Usługa Azure Monitor rejestruje obliczenia kosztów i opcje
• Koszt i użycie usługi Azure Monitor
• Optymalizowanie kosztów w usłudze Azure Monitor

Usługa Azure Monitor umożliwia wykluczanie całych zdarzeń, pól lub części pól podczas pobierania dzienników z Microsoft Entra ID. Dowiedz się więcej o tej funkcji pozwalającej oszczędzać koszty w transformacji zbierania danych w usłudze Azure Monitor.

Oszacuj koszty

Aby oszacować koszty organizacji, możesz oszacować dzienny rozmiar dziennika lub dzienny koszt integracji dzienników z punktem końcowym.

Następujące czynniki mogą mieć wpływ na koszty organizacji:

• Zdarzenia dziennika inspekcji używają około 2 KB magazynu danych
• Zdarzenia dziennika logowania używają średnio 11,5 KB magazynu danych
• Klient o około 100 000 użytkowników może generować około 1,5 miliona zdarzeń dziennie.
• Zdarzenia są grupowane w interwały trwające około 5 minut i przesyłane jako pojedynczy komunikat zawierający wszystkie zdarzenia w tym przedziale czasu.

Dzienny rozmiar dziennika

Aby oszacować dzienny rozmiar dziennika, zbierz próbkę dzienników, dostosuj ją, aby odzwierciedlała rozmiar i ustawienia dzierżawy, a następnie zastosuj tę próbkę w kalkulatorze cen Azure.

Jeśli wcześniej nie pobrano dzienników z centrum administracyjnego firmy Microsoft Entra, zapoznaj się z artykułem Jak pobrać dzienniki w usłudze Microsoft Entra ID . W zależności od rozmiaru organizacji może być konieczne wybranie innego rozmiaru próbki, aby rozpocząć szacowanie. Następujące rozmiary próbek są dobrym miejscem do rozpoczęcia:

• 1 000 rekordów
• W przypadku dużych najemców, 15 minut logowań
• W przypadku małych i średnich najemców, 1 godzina logowań

Podczas przechwytywania przykładu danych należy również wziąć pod uwagę rozkład geograficzny i godziny szczytu użytkowników. Jeśli Twoja organizacja jest oparta w jednym regionie, prawdopodobnie logowanie osiąga szczyt w tym samym czasie. Dostosuj rozmiar próbki i moment jej przechwytywania.

Po przechwyceniu próbki danych pomnóż odpowiednio jej rozmiar, aby dowiedzieć się, jak duży będzie plik na jeden dzień.

Szacowanie dziennego kosztu

Aby dowiedzieć się, ile mogłaby kosztować integracja dzienników dla Twojej organizacji, możesz włączyć integrację na jeden lub dwa dni. Użyj tej opcji, jeśli budżet zezwala na tymczasowe zwiększenie.

Aby włączyć integrację dzienników, wykonaj kroki opisane w artykule Integrowanie dzienników aktywności z dziennikami usługi Azure Monitor. Jeśli to możliwe, utwórz nową grupę zasobów dla dzienników i punktu końcowego, które chcesz wypróbować. Posiadanie dedykowanej grupy zasobów ułatwia wyświetlenie analizy kosztów, a następnie usunięcie jej po zakończeniu.

Po włączeniu integracji przejdź do portalu Azure>, Zarządzania kosztami> i Analizy kosztów. Istnieje kilka sposobów analizowania kosztów. Ten szybki start usługi Cost Management powinien pomóc w rozpoczęciu pracy. Liczby na poniższym zrzucie ekranu są używane do przykładowych celów i nie są przeznaczone do odzwierciedlenia rzeczywistych kwot.

Upewnij się, że używasz nowej grupy zasobów w charakterze zakresu. Zapoznaj się z kosztami dziennymi i prognozami, aby dowiedzieć się, ile może kosztować integracja logów.

Obliczanie szacowanych kosztów

Na stronie docelowej kalkulatora cen platformy Azure można oszacować koszty różnych produktów.

• Azure Monitor
• Usługa przechowywania Azure
• Azure Event Hubs
• Microsoft Sentinel

Po oszacowaniu liczby GB/dzień, która zostanie wysłana do punktu końcowego, wprowadź tę wartość w kalkulatorze cen platformy Azure. Liczby na poniższym zrzucie ekranu są używane do przykładowych celów i nie są przeznaczone do odzwierciedlenia rzeczywistych cen.