共用方式為


Microsoft Entra 活動記錄整合選項為何?

使用 Microsoft Entra ID 中的診斷設定,您可以將活動記錄路由到多個端點,以取得較長的資料保留期限和深入解析。 您可以封存記錄以儲存、路由至安全性資訊與事件管理 (SIEM) 工具,以及將記錄與 Azure 監視器記錄整合。

透過該整合,您可以對已連線的資料啟用豐富的視覺效果、監視和警示。 本文會說明每個整合類型或存取方法的建議用法。 也會涵蓋將 Microsoft Entra 活動記錄傳送至各種端點的成本考量。

支援的報告

下列記錄可以與其中一個端點整合:

  • 稽核記錄活動報告可讓您存取每個在租用戶中執行的工作的歷程記錄。
  • 透過登入活動報告,可以看到使用者何時嘗試登入您的應用程式,或針對登入錯誤進行疑難排解。
  • 藉由佈建記錄,可以監視已在所有協力廠商應用程式中更新和刪除的使用者。
  • 風險性使用者記錄讓您可以監視使用者風險層級和補救活動中的變更。
  • 有了風險偵測記錄,您可以監視使用者的風險偵測,以及分析在組織中偵測到的風險活動趨勢。

整合選項

若要協助選擇正確的方法來整合 Microsoft Entra 活動記錄以進行儲存或分析,請考慮一下您要完成的整體任務。 我們已將選項分組為三個主要類別:

  • 疑難排解
  • 長期儲存體
  • 分析與監視

基本疑難排解

如果您正在執行基本疑難排解工作,但不需要保留記錄超過 30 天,建議您使用 Microsoft Entra 系統管理中心或 Microsoft Graph API 來存取活動記錄。 您可以篩選案例的記錄,並視需要匯出或下載記錄。

如果您要執行疑難排解工作 您需要保留記錄超過 30 天,請查看長期儲存選項。

長期儲存

如果您要執行疑難排解工作,需要保留記錄超過 30 天,則可以將記錄匯出至 Azure 儲存體帳戶。 這個選項很適合您不打算經常查詢該數據,或需要儲存記錄以供合規性之用。

如果您需要查詢保留超過 30 天的資料,請參考分析和監視選項。

稽核與監視

如果您的案例要求您將資料保留超過 30 天,而且您計劃定期查詢該資料,您有幾個選項可將資料與 SIEM 工具整合,以進行分析和監視。

如果您使用非Microsoft SIEM 工具,建議您設定事件中樞命名空間和事件中樞,您可以在其中串流數據。 藉由事件中樞,可以將記錄串流至其中一個支援的 SIEM 工具。

如果您不打算使用協力廠商 SIEM 工具,建議您將 Microsoft Entra 活動記錄傳送至 Azure 監視器記錄。 透過這項整合,您可以在 Log Analytics 工作區查詢活動記錄。 一旦記錄與 Azure 監視器記錄整合之後,您就可以使用 Log Analytics 進行查詢,並設定活頁簿以進行進一步分析和警示。 建議您設定工作區來儲存記錄和不同的工作區,以與Log Analytics和活頁簿整合。

除了 Azure 監視器記錄之外,Microsoft Sentinel 還提供近乎即時的安全性偵測和威脅搜捕。 如果您稍後決定要與 SIEM 工具整合,您可以透過事件中樞串流 Microsoft Entra 活動記錄和其他 Azure 資料。

成本考量

將資料傳送至 Log Analytics 工作區、在儲存體帳戶中封存資料,或將記錄串流至事件中樞均會會產生成本。 資料量和連帶產生的成本會隨著租用戶大小、使用中的原則數目,甚至是一天中的時間而有大幅差異。 變更現有的診斷設定可能會產生新的費用。

由於將記錄傳送至端點的大小和成本難以預測,因此判斷預期成本最精確的方式是將記錄路由傳送至端點一兩天。 使用此快照集,您可以取得預期成本的準確預測。 您也可以下載記錄樣本並相應相乘來估算一天的費用,從而估算成本。

下列 Azure 監視器成本詳細資料文章會涵蓋將Microsoft Entra 記錄傳送至 Azure 監視器記錄的其他考量:

Azure 監視器會提供從 Microsoft Entra ID 內嵌記錄時排除整個事件、欄位或欄位部分的選項。 深入了解 Azure 監視器中資料收集轉換中的這項節省成本功能。

預估成本

若要估計貴組織的成本,您可以預估每日記錄大小或整合記錄與端點的每日成本。

下列因素可能會影響貴組織的成本:

  • 稽核記錄事件大約使用 2 KB 的資料儲存體
  • 登入記錄事件平均使用 11.5 KB 的資料儲存體
  • 大約 100,000 位使用者的租用戶每天可能會產生約 150 萬個事件
  • 事件會在約 5 分鐘的間隔進行分批處理,並以包含該時間範圍內所有事件的單一訊息形式傳送。

每日記錄大小

若要估計每日記錄大小,請收集記錄樣本、調整樣本以反映您的租用戶大小和設定,然後將該樣本套用至 Azure 定價計算機

如果您之前尚未從 Microsoft Entra 系統管理中心下載記錄,請檢閱 如何在 Microsoft Entra ID 下載記錄一文。 視組織大小而定,您可能需要選擇不同的樣本大小來開始估計。 下列樣本大小是很好的起點:

  • 1,000 筆記錄
  • 針對大型租用戶,15 分鐘的登入
  • 針對中小型租用戶,1 小時的登入

當您擷取資料樣本時,您也應該考慮使用者的地理分佈和尖峰時間。 如果您的組織以一個區域為基礎,則登入很可能會在同一時間達到尖峰。 據以調整樣本的大小和擷取樣本的時間。

擷取資料樣本時,據以相乘以找出一天檔案的大小。

估計每日成本

若要了解記錄整合對組織帶來的成本,您可以啟用整合一兩天。 如果您的預算可暫時增加,請使用此選項。

若要啟用記錄整合,請遵循整合活動記錄與 Azure 監視器記錄一文中的步驟。 可能的話,請為您想要試用的記錄和端點建立新的資源群組。擁有專用的資源群組可讓您輕鬆地檢視成本分析,然後在完成時加以刪除。

開啟整合後,瀏覽至 Azure 入口網站>成本管理>成本分析。 有數個方式可以分析成本。 這個成本管理快速入門應該可協助您開始使用。 下列螢幕擷取畫面中的數字會用於範例用途,不適合反映實際金額。

以圓形圖表示的成本分析明細的螢幕擷取畫面。

請確定您是使用新的資源群組作為範圍。 探索每日成本和預測,以了解記錄整合的成本。

計算估計成本

Azure 定價計算機登陸頁面,您可以預估各種產品的成本。

當您有將傳送至端點的 GB/天估計值之後,請在 Azure 定價計算機中輸入該值。 下列螢幕擷取畫面中的數字會用於範例用途,不適合反映實際價格。

Azure 定價計算機的螢幕擷取畫面,其中以 8 GB/天作為範例。