Integrasi log aktivitas Microsoft Entra

  • Artikel

Dengan menggunakan pengaturan Diagnostik di ID Microsoft Entra, Anda dapat merutekan log aktivitas ke beberapa titik akhir untuk retensi dan wawasan data jangka panjang. Anda dapat mengarsipkan log untuk penyimpanan, merutekan ke alat Security Information and Event Management (SIEM), dan mengintegrasikan log dengan log Azure Monitor.

Dengan integrasi ini, Anda dapat mengaktifkan visualisasi, pemantauan, dan pemberitahuan yang kaya pada data yang terhubung. Artikel ini menjelaskan penggunaan yang direkomendasikan untuk setiap jenis integrasi atau metode akses. Pertimbangan biaya untuk mengirim log aktivitas Microsoft Entra ke berbagai titik akhir juga tercakup.

Laporan yang didukung

Log berikut dapat diintegrasikan dengan salah satu dari banyak titik akhir:

  • Laporan aktivitas log audit memberi Anda akses ke riwayat setiap tugas yang dilakukan di penyewa Anda.
  • Dengan laporan aktivitas masuk, Anda dapat melihat kapan pengguna mencoba masuk ke aplikasi Anda atau memecahkan masalah kesalahan masuk.
  • Dengan log provisi, Anda dapat memantau pengguna mana yang telah dibuat, diperbarui, dan dihapus di semua aplikasi pihak ketiga Anda.
  • Log pengguna berisiko membantu Anda memantau perubahan tingkat risiko pengguna dan aktivitas remediasi.
  • Dengan log deteksi risiko, Anda dapat memantau deteksi risiko pengguna dan menganalisis tren dalam aktivitas risiko yang terdeteksi di organisasi Anda.

Opsi integrasi

Untuk membantu memilih metode yang tepat untuk mengintegrasikan log aktivitas Microsoft Entra untuk penyimpanan atau analisis, pikirkan tentang tugas keseluruhan yang coba Anda selesaikan. Kami telah mengelompokkan opsi ke dalam tiga kategori utama:

  • Pemecahan Masalah
  • Penyimpanan jangka panjang
  • Analisis dan pemantauan

Pemecahan Masalah

Jika Anda melakukan tugas pemecahan masalah tetapi Anda tidak perlu menyimpan log selama lebih dari 30 hari, sebaiknya gunakan portal Azure atau Microsoft Graph untuk mengakses log aktivitas. Anda dapat memfilter log untuk skenario Anda dan mengekspor atau mengunduhnya sesuai kebutuhan.

Jika Anda melakukan tugas pemecahan masalah dan Anda perlu menyimpan log selama lebih dari 30 hari, lihat opsi penyimpanan jangka panjang.

Penyimpanan jangka panjang

Jika Anda melakukan tugas pemecahan masalah dan Anda perlu menyimpan log selama lebih dari 30 hari, Anda dapat mengekspor log Anda ke akun penyimpanan Azure. Opsi ini sangat ideal karena Anda tidak sering berencana mengkueri data tersebut.

Jika Anda perlu mengkueri data yang Anda pertahankan selama lebih dari 30 hari, lihat opsi analisis dan pemantauan.

Analisis dan pemantauan

Jika skenario Anda mengharuskan Anda menyimpan data selama lebih dari 30 hari dan Anda berencana untuk mengkueri data tersebut secara teratur, Anda memiliki beberapa opsi untuk mengintegrasikan data Anda dengan alat SIEM untuk analisis dan pemantauan.

Jika Anda memiliki alat SIEM pihak ketiga, sebaiknya siapkan namespace layanan Azure Event Hubs dan pusat aktivitas yang dapat Anda streaming datanya. Dengan pusat aktivitas, Anda dapat mengalirkan log ke salah satu alat SIEM yang didukung.

Jika Anda tidak berencana menggunakan alat SIEM pihak ketiga, sebaiknya kirim log aktivitas Microsoft Entra Anda ke log Azure Monitor. Dengan integrasi ini, Anda dapat mengkueri log aktivitas anda dengan Log Analytics. Selain log Azure Monitor, Microsoft Sentinel menyediakan deteksi keamanan hampir real-time dan perburuan ancaman. Jika Anda memutuskan untuk berintegrasi dengan alat SIEM nanti, Anda dapat melakukan streaming log aktivitas Microsoft Entra bersama dengan data Azure lainnya melalui pusat aktivitas.

Pertimbangan biaya

Ada biaya untuk mengirim data ke ruang kerja Analitik Log, pengarsipan data di akun penyimpanan, atau log streaming ke pusat aktivitas. Jumlah data dan biaya yang dikeluarkan dapat bervariasi secara signifikan tergantung pada ukuran penyewa, jumlah kebijakan yang digunakan, dan bahkan waktu hari.

Karena ukuran dan biaya untuk mengirim log ke titik akhir sulit diprediksi, cara paling akurat untuk menentukan biaya yang Diharapkan adalah dengan merutekan log Anda ke titik akhir selama satu atau dua hari. Dengan rekam jepret ini, Anda bisa mendapatkan prediksi yang akurat untuk biaya yang diharapkan. Anda juga bisa mendapatkan perkiraan biaya Anda dengan mengunduh sampel log Anda dan mengalikan yang sesuai untuk mendapatkan perkiraan selama satu hari.

Pertimbangan lain untuk mengirim log Microsoft Entra ke log Azure Monitor tercakup dalam artikel detail biaya Azure Monitor berikut:

Azure Monitor menyediakan opsi untuk mengecualikan seluruh peristiwa, bidang, atau bagian bidang saat menyerap log dari ID Microsoft Entra. Pelajari selengkapnya tentang fitur penghematan biaya ini dalam Transformasi pengumpulan data di Azure Monitor.

Perkirakan biaya Anda

Untuk memperkirakan biaya untuk organisasi Anda, Anda dapat memperkirakan ukuran log harian atau biaya harian untuk mengintegrasikan log Anda dengan titik akhir.

Faktor-faktor berikut dapat memengaruhi biaya untuk organisasi Anda:

  • Peristiwa log audit menggunakan sekitar 2 KB penyimpanan data
  • Peristiwa log masuk digunakan rata-rata 11,5 KB penyimpanan data
  • Penyewa sekitar 100.000 pengguna dapat dikenakan sekitar 1,5 juta peristiwa per hari
  • Peristiwa di-batch ke dalam interval sekitar 5 menit dan dikirim sebagai satu pesan yang berisi semua peristiwa dalam jangka waktu tersebut

Ukuran log harian

Untuk memperkirakan ukuran log harian, kumpulkan sampel log Anda, sesuaikan sampel untuk mencerminkan ukuran dan pengaturan penyewa Anda, lalu terapkan sampel tersebut ke kalkulator harga Azure.

Jika Anda belum mengunduh log dari pusat admin Microsoft Entra sebelumnya, tinjau artikel Cara mengunduh log di ID Microsoft Entra. Bergantung pada ukuran organisasi Anda, Anda mungkin perlu memilih ukuran sampel yang berbeda untuk memulai estimasi Anda. Ukuran sampel berikut adalah tempat yang baik untuk memulai:

  • 1000 rekaman
  • Untuk penyewa besar, 15 menit masuk
  • Untuk penyewa kecil hingga menengah, 1 jam masuk

Anda juga harus mempertimbangkan distribusi geografis dan jam sibuk pengguna Anda saat mengambil sampel data Anda. Jika organisasi Anda berbasis di satu wilayah, kemungkinan rincian masuk memuncak di sekitar waktu yang sama. Sesuaikan ukuran sampel Anda dan saat Anda mengambil sampel yang sesuai.

Dengan sampel data yang diambil, kalikan sesuai untuk mengetahui seberapa besar file akan selama satu hari.

Memperkirakan biaya harian

Untuk mendapatkan gambaran tentang berapa banyak biaya integrasi log untuk organisasi Anda, Anda dapat mengaktifkan integrasi selama satu atau dua hari. Gunakan opsi ini jika anggaran Anda memungkinkan peningkatan sementara.

Untuk mengaktifkan integrasi log, ikuti langkah-langkah dalam artikel Mengintegrasikan log aktivitas dengan log Azure Monitor. Jika memungkinkan, buat grup sumber daya baru untuk log dan titik akhir yang ingin Anda coba. Memiliki grup sumber daya yang setia memudahkan untuk melihat analisis biaya dan kemudian menghapusnya setelah Selesai.

Dengan integrasi diaktifkan, navigasikan ke portal Azure> Analisa Biaya Manajemen Kode.> Ada beberapa cara untuk menganalisis biaya. Mulai cepat Cost Management ini akan membantu Anda memulai. Gambar dalam cuplikan layar berikut digunakan untuk tujuan contoh dan tidak dimaksudkan untuk mencerminkan jumlah aktual.

Screenshot of a cost analysis breakdown as a pie chart.

Pastikan Anda menggunakan grup sumber daya baru sebagai cakupan. Jelajahi biaya harian dan prakiraan untuk mendapatkan gambaran tentang berapa banyak biaya integrasi log Anda.

Menghitung estimasi biaya

Dari halaman arahan kalkulator harga Azure, Anda dapat memperkirakan biaya untuk berbagai produk.

Setelah Anda memiliki perkiraan untuk GB/hari yang akan dikirim ke titik akhir, masukkan nilai tersebut di kalkulator harga Azure. Angka-angka dalam cuplikan layar berikut digunakan untuk tujuan contoh dan tidak dimaksudkan untuk mencerminkan harga aktual.

Screenshot of the Azure pricing calculator, with 8 GB/Day used as an example.

Langkah berikutnya