Plánování nasazení Azure Active Directory vytváření sestav a monitorování

Vaše Azure Active Directory vytváření sestav a monitorování (Azure AD) závisí na vašich právních, bezpečnostních a provozních požadavcích a na stávajícím prostředí a procesech. Tento článek představuje různé možnosti návrhu a provede vás správnou strategií nasazení.

Výhody generování sestav a monitorování Azure AD

Generování sestav Azure AD poskytuje komplexní zobrazení a protokoly aktivit Azure AD ve vašem prostředí, včetně událostí přihlášení, událostí auditu a změn v adresáři.

Poskytnutá data vám umožní:

  • určit, jak se vaše aplikace a služby používají.

  • detekce potenciálních rizik ovlivňujících stav vašeho prostředí.

  • řešení potíží, které brání uživatelům v práci.

  • Zobrazením událostí auditu změn v adresáři Služby Azure AD získáte přehled.

Důležité

Monitorování Azure AD umožňuje směrovat protokoly generované generováním sestav Azure AD do různých cílových systémů. Následně je můžete ukládat pro účely dlouhodobého používání nebo integrovat s nástroji pro správu akcí a informací o zabezpečení (SIEM) třetích stran a získat tak přehled o vašem prostředí.

S monitorováním Azure AD můžete směrovat protokoly do:

  • účet úložiště Azure pro účely archivace.
  • Azure Monitor, dříve označované jako pracovní prostor služby Azure Log Analytics, kde můžete analyzovat data, vytvářet řídicí panely a upozorovat na konkrétní události.
  • Centrum událostí Azure, kde můžete provést integraci se stávajícími nástroji SIEM, jako je Splunk, Sumologic nebo QRadar.

Poznámka

Nedávno jsme začali používat termín Azure Monitor protokolů místo Log Analytics. Data protokolu se stále ukládají v pracovním prostoru služby Log Analytics a stále se shromažďují a analyzují stejnou službou Log Analytics. Terminologii aktualizujeme tak, aby lépe odrážela roli protokolů v Azure Monitor. Podrobnosti Azure Monitor v části o změnách terminologie.

Přečtěte si další informace o zásadách uchovávání sestav.

Licencování a požadavky pro generování sestav a monitorování Azure AD

Pro přístup k protokolům přihlášení k Azure AD budete potřebovat licenci Azure AD Premium.

Podrobné informace o funkcích a licencování najdete v Azure Active Directory s cenami.

K nasazení monitorování a generování sestav Azure AD budete potřebovat uživatele, který je globálním správcem nebo správcem zabezpečení pro tenanta Azure AD.

V závislosti na konečném cíli dat protokolu budete potřebovat jednu z následujících možností:

  • Účet úložiště Azure, pro který máte oprávnění ListKeys. Doporučujeme použít obecný účet úložiště, ne účet úložiště objektů blob. Informace o cenách úložiště najdete v cenové kalkulačce služby Azure Storage.

  • Obor Azure Event Hubs pro integraci s řešeními SIEM třetích stran.

  • Pracovní prostor Azure Log Analytics pro odesílání protokolů do Azure Monitor protokolů.

Plánování projektu nasazení generování sestav a monitorování Azure

V tomto projektu definujete cílové skupiny, které budou využívat a monitorovat sestavy, a definujete architekturu monitorování Azure AD.

Zapojení správných účastníků

Pokud technologické projekty selžou, obvykle to dělají kvůli neshodě očekávání ohledně dopadu, výsledků a zodpovědností. Abyste se těmto nástrahám vyhnuli, ujistěte se, že zapojujte správné účastníky. Také zajistěte, aby role účastníků v projektu byly dobře srozumitelné, a to dokumentací zúčastněných stran a jejich vstupů do projektu a jejich odpovědností.

Plán komunikace

Komunikace je pro úspěch jakékoli nové služby zásadní. Proaktivně komunikujte s uživateli o tom, jak se jejich prostředí změní, kdy se změní a jak získat podporu, pokud dojde k problémům.

Zdokumentování aktuální infrastruktury a zásad

Váš návrh vytváření sestav a monitorování bude řídit vaše aktuální infrastruktura a zásady. Ujistěte se, že znáte

  • Co, pokud nějaké máte, nástroje SIEM, které používáte.

  • Vaše infrastruktura Azure, včetně stávajících účtů úložiště a monitorování, které se používají.

  • Zásady uchovávání protokolů vaší organizace, včetně příslušných požadovaných architektur dodržování předpisů.

Plánování nasazení generování sestav a monitorování Azure AD

Vytváření sestav a monitorování slouží ke splnění obchodních požadavků, získání přehledu o vzorech použití a ke zvýšení stavu zabezpečení vaší organizace.

Obchodní případy použití

  • Vyžaduje se pro řešení pro splnění obchodních potřeb.
  • Je skvělé splnit obchodní potřeby.
  • Neuvedeno
Plošný Popis
Uchovávání Uchovávání protokolů po dobu delší než 30 dnů. Z důvodu právních nebo obchodních požadavků je nutné ukládat protokoly auditu a protokoly přihlašování služby Azure AD delší než 30 dnů.
Analýzy Protokoly musí být prohledáovatelné. Uložené protokoly musí být možné prohledávat pomocí analytických nástrojů.
Operational Insights Přehledy pro různé týmy. Potřeba poskytnout přístup různým uživatelům k získání provozních přehledů, jako je využití aplikace, chyby přihlášení, samoobslužné využití, trendy atd.
Zabezpečení Přehledy Přehledy pro různé týmy. Potřeba poskytnout přístup různým uživatelům k získání provozních přehledů, jako je využití aplikace, chyby přihlášení, samoobslužné využití, trendy atd.
Integrace v systémech SIEM Integrace siem. Potřeba integrovat a streamovat protokoly přihlášení a auditování Azure AD do stávajících systémů SIEM.

Volba architektury řešení monitorování

Pomocí monitorování Azure AD můžete směrovat protokoly aktivit Azure AD do systému, který nejlépe vyhovuje vašim obchodním potřebám. Potom je můžete uchovávat pro dlouhodobé vytváření sestav a analýzu, abyste získali přehled o vašem prostředí a integrili je s nástroji SIEM.

Vývojový diagram rozhodováníObrázek znázorňující, co je popsáno v následujících částech

Archivace protokolů v účtu úložiště

Směrováním protokolů do účtu úložiště Azure je můžete ponechat po dobu delší, než je výchozí doba uchovávání uvedená v našich zásadách uchovávání informací. Tuto metodu použijte, pokud potřebujete archivovat protokoly, ale nepotřebujete je integrovat se systémem SIEM a nepotřebujete průběžné dotazy a analýzy. Stále můžete vyhledávat na vyžádání.

Informace o směrování dat do účtu úložiště.

Odesílání protokolů do Azure Monitor protokolů

Azure Monitor protokoly konsoliduje data monitorování z různých zdrojů. Poskytuje také dotazovací jazyk a analytický modul, který poskytuje přehled o provozu aplikací a využití prostředků. Odesláním protokolů aktivit Azure AD do Azure Monitor můžete rychle načítat shromážděná data, monitorovat je a upozorovat na je. Tuto metodu použijte, pokud nemáte existující řešení SIEM, do kterého chcete odesílat data přímo, ale chcete dotazy a analýzu. Jakmile jsou data v Azure Monitor, můžete je pak odeslat do centra událostí a odtud do SIEM, pokud chcete.

Zjistěte, jak odesílat data do Azure Monitor protokolů.

Můžete také nainstalovat předem vytvořená zobrazení pro protokoly aktivit Azure AD, abyste mohli monitorovat běžné scénáře týkající se událostí přihlášení a auditu.

Zjistěte, jak nainstalovat a používat zobrazení analytiky protokolů pro protokoly aktivit Azure AD.

Streamování protokolů do centra událostí Azure

Směrování protokolů do centra událostí Azure umožňuje integraci s nástroji SIEM třetích stran. Tato integrace umožňuje kombinovat data protokolu aktivit Azure AD s jinými daty spravovanými vaším siem, abyste měli lepší přehled o vašem prostředí.

Informace o streamování protokolů do centra událostí.

Plánování provozu a zabezpečení pro generování sestav a monitorování Azure AD

Zúčastněné strany potřebují přístup k protokolům Azure AD, aby získaly informace o provozu. Mezi pravděpodobné uživatele patří členové bezpečnostního týmu, interní nebo externí auditoři a provozní tým pro správu identit a přístupu.

Role Azure AD umožňují delegovat možnost konfigurace a zobrazení sestav Azure AD na základě vaší role. Zjistěte, kdo ve vaší organizaci potřebuje oprávnění ke čtení sestav Azure AD a jaká role by pro ně byla vhodná.

Sestavy Azure AD mohou číst následující role:

  • Globální správce

  • Správce zabezpečení

  • Čtenář zabezpečení

  • Čtenář sestav

Přečtěte si další informace o rolích pro správu Azure AD.

Vždy použijte koncept nejmenších oprávnění, abyste snížili riziko ohrožení zabezpečení účtu. Zvažte Privileged Identity Management zabezpečení vaší organizace.

Nasazení generování sestav a monitorování Azure AD

V závislosti na rozhodnutích, která jste udělali dříve s využitím výše uvedených pokynů k návrhu, vás tato část provede dokumentací k různým možnostem nasazení.

Používání a archivace protokolů Azure AD

Vyhledání sestav aktivit na webu Azure Portal

Archivace protokolů Azure AD do Azure Storage účtu

Implementace monitorování a analýzy

Odeslání protokolů do Azure Monitor

Instalace a používání zobrazení Log Analytics pro Azure Active Directory

Analýza protokolů aktivit Azure AD s Azure Monitor protokoly

Další kroky

Zvažte implementaci Privileged Identity Management

Zvažte implementaci řízení přístupu na základě role v Azure (Azure RBAC).