共用方式為

Microsoft Entra 活動記錄整合選項為何?

  • 發行項

使用 Microsoft Entra ID 中的診斷設定,您可以將活動記錄路由到多個端點,以取得較長的資料保留期限和深入解析。 您可以封存記錄以儲存、路由至安全性資訊與事件管理 (SIEM) 工具,以及將記錄與 Azure 監視器記錄整合。

透過該整合,您可以對已連線的資料啟用豐富的視覺效果、監視和警示。 本文會說明每個整合類型或存取方法的建議用法。 也會涵蓋將 Microsoft Entra 活動記錄傳送至各種端點的成本考量。

支援的報告

下列記錄可以與其中一個終端點整併:

  • 稽核記錄活動報告可讓您存取每個在租用戶中執行的工作的歷程記錄。
  • 透過登入活動報告,可以看到使用者何時嘗試登入您的應用程式,或針對登入錯誤進行疑難排解。
  • 透過 布建記錄,您可以監視所有非 Microsoft 應用程式中哪些使用者已被更新和刪除。
  • 風險性使用者記錄讓您可以監視使用者風險層級和補救活動中的變更。
  • 有了風險偵測記錄,您可以監視使用者的風險偵測,以及分析在組織中偵測到的風險活動趨勢。

整合選項

若要協助選擇正確的方法來整合 Microsoft Entra 活動記錄以進行儲存或分析,請考慮一下您要完成的整體任務。 我們已將選項分組為三個主要類別:

  • 疑難排解
  • 長期儲存
  • 分析與監視

基本疑難排解

如果您正在執行基本疑難排解工作,但不需要保留記錄超過 30 天,建議您使用 Microsoft Entra 系統管理中心或 Microsoft Graph API 來存取活動記錄。 您可以篩選案例的記錄,並視需要匯出或下載記錄。

如果您要執行疑難排解工作 您需要保留記錄超過 30 天,請查看長期儲存選項。

長期儲存

如果您要執行疑難排解工作,需要保留記錄超過 30 天,則可以將記錄匯出至 Azure 儲存體帳戶。 這個選項很適合您不打算經常查詢該數據,或需要儲存記錄以供合規性之用。

如果您需要查詢保留超過 30 天的資料,請參考分析和監視選項。

分析與監視

如果您的案例要求您將資料保留超過 30 天,而且您計劃定期查詢該資料,您有幾個選項可將資料與 SIEM 工具整合,以進行分析和監視。

如果您使用非Microsoft SIEM 工具,建議您設定事件中樞命名空間和事件中樞,您可以在其中串流數據。 藉由事件中樞,可以將記錄串流至其中一個支援的 SIEM 工具。

如果您不打算使用協力廠商 SIEM 工具,建議您將 Microsoft Entra 活動記錄傳送至 Azure 監視器記錄。 透過這項整合,您可以在 Log Analytics 工作區查詢活動記錄。 一旦記錄與 Azure 監視器記錄整合之後,您就可以使用 Log Analytics 進行查詢,並設定活頁簿以進行進一步分析和警示。 我們建議您設定一個工作區來儲存記錄,並設定另一個工作區以整合 Log Analytics 和活頁簿。

除了 Azure 監視器記錄之外,Microsoft Sentinel 還提供近乎即時的安全性偵測和威脅搜捕。 如果您稍後決定要與 SIEM 工具整合,您可以透過事件中樞串流 Microsoft Entra 活動記錄和其他 Azure 資料。

成本考量

將資料傳送至 Log Analytics 工作區、在儲存體帳戶中封存資料,或將記錄串流至事件中樞均會會產生成本。 資料量和連帶產生的成本會隨著租用戶大小、使用中的原則數目,甚至是一天中的時間而有大幅差異。 變更現有的診斷設定可能會產生新的費用。

由於將日誌傳遞到端點的資料量和成本難以預測,因此,判斷預期成本最精確的方式是將日誌繞送至端點一到兩天。 使用此快照集,您可以取得預期成本的準確預測。 您還可以通過下載日誌樣本,然後將其相乘來估算一天的費用,從而估算您的成本。

下列 Azure 監視器成本詳細資料文章會涵蓋將Microsoft Entra 記錄傳送至 Azure 監視器記錄的其他考量:

Azure 監視器提供選項,讓您可以在從 Microsoft Entra ID 接收記錄時排除整個事件、欄位或欄位的部分。 深入了解 Azure 監視器中資料收集轉換中的這項節省成本功能。

預估成本

若要估計貴組織的成本,您可以預估每日記錄大小或整合記錄與端點的每日成本。

下列因素可能會影響貴組織的成本:

  • 稽核記錄事件大約使用 2 KB 的資料儲存體
  • 登入記錄事件平均使用 11.5 KB 的資料儲存體
  • 大約 10 萬名使用者的租戶每天可能會發生約 150 萬個事件
  • 事件會在約 5 分鐘的間隔進行分批處理,並以包含該時間範圍內所有事件的單一訊息形式傳送。

每日記錄大小

若要估計每日記錄大小,請收集記錄樣本、調整樣本以反映您的租用戶大小和設定,然後將該樣本套用至 Azure 定價計算機

如果您之前尚未從 Microsoft Entra 系統管理中心下載記錄,請檢閱 如何在 Microsoft Entra ID 下載記錄一文。 視組織大小而定,您可能需要選擇不同的樣本大小來開始估計。 下列樣本大小是很好的起點:

  • 1,000 筆記錄
  • 針對大型租戶,提供 15 分鐘的登入服務時間
  • 針對中小型承租戶,提供 1 小時內的登入服務

當您擷取資料樣本時,您也應該考慮使用者的地理分佈和尖峰時間。 如果您的組織以一個區域為基礎,則登入很可能會在同一時間達到尖峰。 根據情況調整樣本的大小及擷取樣本的時間。

擷取資料樣本後,根據樣本資料進行相應的相乘,以計算出一天檔案的大小。

估計每日成本

若要了解記錄整合對組織帶來的成本,您可以啟用整合一兩天。 如果您的預算可暫時增加,請使用此選項。

若要啟用記錄整合,請遵循整合活動記錄與 Azure 監視器記錄一文中的步驟。 可能的話,請為您想要試用的記錄和端點建立新的資源群組。擁有專用的資源群組可讓您輕鬆地檢視成本分析,然後在完成時加以刪除。

開啟整合後,瀏覽至 Azure 入口網站>成本管理>成本分析。 有數個方式可以分析成本。 這個成本管理快速入門應該可協助您開始使用。 下列螢幕擷取畫面中的數字會用於範例用途,不適合反映實際金額。

以圓形圖表示的成本分析明細的螢幕擷取畫面。

請確定您使用新資源群組作為作用範圍。 探討每日成本和預測,以便於了解日誌整合可能的花費。

計算估計成本

Azure 定價計算機登陸頁面,您可以預估各種產品的成本。

當您有 GB/天的估計值準備傳送至端點後,請在 Azure 定價計算機中輸入該值。 下列螢幕擷取畫面中的數字會用於範例用途,不適合反映實際價格。

Azure 定價計算機的螢幕擷取畫面,其中以 8 GB/天作為範例。