Microsoft Entra tevékenységnapló-integrációk
A Microsoft Entra ID diagnosztikai beállításaival a tevékenységnaplókat több végpontra irányíthatja a hosszú távú adatmegőrzés és elemzés érdekében. Archiválhatja a tárolási naplókat, átirányíthatja a Biztonsági információk és eseménykezelési (SIEM) eszközökre, és integrálhatja a naplókat az Azure Monitor-naplókkal.
Ezekkel az integrációkkal gazdag vizualizációkat, monitorozást és riasztásokat engedélyezhet a csatlakoztatott adatokon. Ez a cikk az egyes integrációs típusokhoz vagy hozzáférési módszerekhez javasolt felhasználási módokat ismerteti. A Microsoft Entra tevékenységnaplóinak különböző végpontokra való küldésével kapcsolatos költségekre is vonatkoznak.
Támogatott jelentések
A következő naplók integrálhatók a számos végpont egyikével:
- A naplózási naplók tevékenységjelentése hozzáférést biztosít a bérlőben végrehajtott összes tevékenység előzményeihez.
- A bejelentkezési tevékenység jelentésével láthatja, hogy a felhasználók mikor próbálnak bejelentkezni az alkalmazásokba, vagy elháríthatják a bejelentkezési hibákat.
- A kiépítési naplókkal figyelheti, hogy mely felhasználók lettek létrehozva, frissítve és törölve az összes külső alkalmazásban.
- A kockázatos felhasználói naplók segítségével figyelheti a felhasználói kockázati szint változásait és a szervizelési tevékenységeket.
- A kockázatészlelési naplókkal monitorozhatja a felhasználók kockázatészleléseit, és elemezheti a szervezetben észlelt kockázati tevékenységek trendjeit.
Integrációs lehetőségek
Ha szeretné kiválasztani a Megfelelő módszert a Microsoft Entra-tevékenységnaplók tárolási vagy elemzési célú integrálásához, gondolja át az elérni kívánt általános feladatot. A lehetőségeket három fő kategóriába csoportosítottuk:
- Hibaelhárítás
- Hosszú távú tárolás
- Elemzés és monitorozás
Hibaelhárítás
Ha hibaelhárítási feladatokat végez, de 30 napnál hosszabb ideig nem kell megőriznie a naplókat, javasoljuk, hogy a tevékenységnaplók eléréséhez használja az Azure Portalt vagy a Microsoft Graphot. Szűrheti a naplókat a forgatókönyvhöz, és szükség szerint exportálhatja vagy letöltheti őket.
Ha hibaelhárítási feladatokat végez, és több mint 30 napig meg kell őriznie a naplókat, tekintse meg a hosszú távú tárolási lehetőségeket.
Hosszú távú tárolás
Ha hibaelhárítási feladatokat végez, és több mint 30 napig meg kell őriznie a naplókat, exportálhatja a naplókat egy Azure Storage-fiókba. Ez a lehetőség ideális arra, hogy ne tervezze gyakran lekérdezni ezeket az adatokat.
Ha több mint 30 napig szeretné lekérdezni azokat az adatokat, amelyeket 30 napnál hosszabb ideig őriz meg, tekintse meg az elemzési és monitorozási lehetőségeket.
Elemzés és monitorozás
Ha a forgatókönyv szerint több mint 30 napig kell megőriznie az adatokat, és rendszeresen szeretné lekérdezni az adatokat, néhány lehetőség van arra, hogy az adatokat SIEM-eszközökkel integrálja elemzési és monitorozási célokra.
Ha rendelkezik egy külső SIEM-eszközzel, javasoljuk, hogy állítson be egy Event Hubs-névteret és eseményközpontot, amelyen keresztül streamelheti az adatokat. Az eseményközpontokkal naplókat streamelhet az egyik támogatott SIEM-eszközre.
Ha nem tervez külső SIEM-eszközt használni, javasoljuk, hogy küldje el a Microsoft Entra tevékenységnaplóit az Azure Monitor-naplókba. Ezzel az integrációval lekérdezheti a tevékenységnaplókat a Log Analytics használatával. Az Azure Monitor-naplók mellett a Microsoft Sentinel közel valós idejű biztonsági észlelést és fenyegetéskeresést is biztosít. Ha később úgy dönt, hogy integrálódik a SIEM-eszközökkel, egy eseményközponton keresztül streamelheti a Microsoft Entra tevékenységnaplóit a többi Azure-adattal együtt.
Költségekkel kapcsolatos szempontok
A Log Analytics-munkaterületre történő adatküldés, a tárfiókban tárolt adatok archiválása vagy a naplók eseményközpontba való streamelése költsége is költséggel jár. Az adatok mennyisége és a felmerülő költségek jelentősen eltérhetnek a bérlő méretétől, a használt szabályzatok számától és akár a nap időpontjától függően.
Mivel a naplók végpontra való küldésének mérete és költsége nehezen kiszámítható, a várt költségek meghatározásának legpontosabb módja a naplók egy-két napos végpontra való átirányítása. Ezzel a pillanatképtel pontos előrejelzést kaphat a várható költségekről. A költségek becslését úgy is lekérheti, hogy letölt egy mintát a naplóiból, és ennek megfelelően megszorozza, hogy egy napra vonatkozóan becslést kapjon.
A Microsoft Entra-naplók Azure Monitor-naplókba való küldésével kapcsolatos egyéb szempontokat az alábbi Azure Monitor-költségadatokkal foglalkozó cikkek ismertetik:
- Az Azure Monitor naplózza a költségszámításokat és a beállításokat
- Azure Monitor – Költségek és használat
- Költségek optimalizálása az Azure Monitorban
Az Azure Monitor lehetővé teszi, hogy kizárja a teljes eseményeket, mezőket vagy mezők részeit a naplók Microsoft Entra-azonosítóból való betöltésekor. További információ erről a költségmegtakarítási funkcióról az Azure Monitor adatgyűjtési átalakításában.
Díjbecslés
A szervezet költségeinek becsléséhez megbecsülheti a naplók napi méretét vagy a naplók végponttal való integrálásának napi költségét.
A következő tényezők befolyásolhatják a szervezet költségeit:
- A naplóesemények körülbelül 2 KB adattárolást használnak
- A bejelentkezési naplóesemények átlagosan 11,5 KB adattárolást használnak
- Egy körülbelül 100 000 felhasználót használó bérlő körülbelül 1,5 millió eseményt okozhat naponta
- Az események körülbelül 5 perces időközökbe vannak kötve, és egyetlen üzenetként lesznek elküldve, amely az adott időkereten belüli összes eseményt tartalmazza
Napi naplóméret
A napi naplóméret becsléséhez gyűjtsön egy mintát a naplókból, módosítsa a mintát a bérlő méretének és beállításainak megfelelően, majd alkalmazza ezt a mintát az Azure díjkalkulátorára.
Ha korábban még nem töltött le naplókat a Microsoft Entra felügyeleti központból, tekintse át a Naplók letöltése a Microsoft Entra ID-ban című cikket. A szervezet méretétől függően előfordulhat, hogy a becslés megkezdéséhez másik mintaméretet kell választania. A következő mintaméretek jó kiindulópontok:
- 1000 rekord
- Nagy bérlők esetén 15 percnyi bejelentkezés
- Kis- és közepes bérlők esetén 1 óra bejelentkezés
Az adatminta rögzítésekor figyelembe kell vennie a felhasználók földrajzi eloszlását és csúcsidejének időtartamát is. Ha a szervezet egy régióban található, akkor valószínű, hogy a bejelentkezések körülbelül ugyanabban az időben tetőznek. Állítsa be a minta méretét, és amikor ennek megfelelően rögzíti a mintát.
Az adatmintát rögzítve szorozza meg ennek megfelelően, hogy megtudja, a fájl mekkora lesz egy napig.
A napi költség becslése
Ha szeretné tudni, hogy egy naplóintegráció mennyibe kerülhet a szervezet számára, egy-két napig engedélyezheti az integrációt. Ezt a lehetőséget akkor használja, ha a költségvetés lehetővé teszi az ideiglenes növekedést.
A naplóintegráció engedélyezéséhez kövesse a tevékenységnaplók Azure Monitor-naplókkal való integrálásáról szóló cikkben leírt lépéseket. Ha lehetséges, hozzon létre egy új erőforráscsoportot a kipróbálni kívánt naplókhoz és végpontokhoz. A szentelt erőforráscsoportokkal egyszerűen megtekintheti a költségelemzést, majd törölheti azt, ha elkészült.
Ha engedélyezve van az integráció, lépjen az Azure Portal>Cost Management>Cost Analysis szolgáltatásához. A költségek elemzésének számos módja van. Ez a Cost Management rövid útmutató segít az első lépésekben. Az alábbi képernyőképen szereplő ábrák példaként szolgálnak, és nem a tényleges összegek tükrözésére szolgálnak.
Győződjön meg arról, hogy az új erőforráscsoportot használja hatókörként. Fedezze fel a napi költségeket és előrejelzéseket, hogy képet kapjon arról, hogy mennyibe kerülhet a naplóintegráció.
Becsült költségek kiszámítása
Az Azure díjkalkulátor kezdőlapján megbecsülheti a különböző termékek költségeit.
Ha rendelkezik egy végpontnak küldött GB/nap becsléssel, adja meg ezt az értéket az Azure díjkalkulátorában. Az alábbi képernyőképen szereplő ábrák példaként szolgálnak, és nem a tényleges árak tükrözésére szolgálnak.
