Pianificare una distribuzione Azure Active Directory report e monitoraggio

La Azure Active Directory (Azure AD) per la creazione di report e il monitoraggio dipende dai requisiti legali, di sicurezza e operativi e dall'ambiente e dai processi esistenti. Questo articolo presenta le varie opzioni di progettazione e illustra la strategia di distribuzione più appropriata.

Vantaggi della creazione Azure AD e del monitoraggio

Azure AD report offre una visualizzazione completa e i log delle attività Azure AD nell'ambiente, inclusi gli eventi di accesso, gli eventi di controllo e le modifiche alla directory.

I dati forniti consentono di:

  • determinare come vengono usate le app e i servizi.

  • rilevare i potenziali rischi che influiscono sull'integrità dell'ambiente.

  • risolvere i problemi che impediscono agli utenti di lavorare.

  • Per ottenere informazioni dettagliate, vedere gli eventi di controllo delle modifiche Azure AD directory.

Importante

Azure AD monitoraggio consente di instradare i log generati Azure AD report a sistemi di destinazione diversi. dove sarà poi possibile conservarli per l'uso a lungo termine o integrarli con strumenti per informazioni di sicurezza e gestione degli eventi di terze parti per ottenere informazioni dettagliate sull'ambiente.

Con Azure AD monitoraggio, è possibile instradare i log a:

  • un account di archiviazione di Azure per scopi di archiviazione.
  • Monitoraggio di Azure log, noti in precedenza come area di lavoro Di Log Analytics di Azure, in cui è possibile analizzare i dati, creare dashboard e avvisare eventi specifici.
  • un hub eventi di Azure in cui è possibile eseguire l'integrazione con gli strumenti SIEM esistenti, ad esempio Splunk, Sumologic o QRadar.

Nota

Di recente è stato iniziato a usare il termine log Monitoraggio di Azure anziché Log Analytics. I dati di log vengono comunque archiviati in un'area di lavoro Log Analytics e vengano ancora raccolti e analizzati dallo stesso servizio Log Analytics. Si sta procedendo a un aggiornamento della terminologia per riflettere meglio il ruolo dei log in Monitoraggio di Azure. Per informazioni dettagliate, vedere Modifiche della terminologia di Monitoraggio di Azure.

Altre informazioni sui criteri di conservazione dei report.

Licenze e prerequisiti per i report e il monitoraggio di Azure AD

Per accedere ai log di accesso di Azure AD, è necessario avere una licenza Premium di Azure AD.

Per informazioni dettagliate su funzionalità e licenze, vedere la guida ai prezzi di Azure Active Directory.

Per distribuire funzionalità di monitoraggio e report di Azure AD, è necessario avere il ruolo di amministratore globale o amministratore della sicurezza per il tenant di Azure AD.

A seconda della destinazione finale dei dati di log, è necessario avere uno degli elementi seguenti:

  • Un account di archiviazione di Azure, con autorizzazioni ListKeys. È consigliabile usare un account di archiviazione generale invece di un account di archiviazione BLOB. Per informazioni sui prezzi di archiviazione, vedere il calcolatore dei prezzi di Archiviazione di Azure.

  • Uno spazio dei nomi di Hub eventi di Azure per l'integrazione con soluzioni SIEM di terze parti.

  • Un'area di lavoro Azure Log Analytics per inviare log a log di Monitoraggio di Azure.

Pianificare un progetto di distribuzione di report e monitoraggio di Azure

In questo progetto si definiranno i destinatari che consumeranno e monitoreranno i report e si definirà l'Azure AD di monitoraggio.

Coinvolgere gli stakeholder appropriati

Quando i progetti tecnologici non hanno successo, in genere la causa è legata alle diverse aspettative in merito a conseguenze, risultati e responsabilità. Per evitare queste insidie, assicurarsi di coinvolgere gli stakeholder più interessati. Assicurarsi inoltre che i ruoli degli stakeholder nel progetto siano ben compresi documentando gli stakeholder e i relativi input e responsabilità del progetto.

Pianificare le comunicazioni

La comunicazione è fondamentale per il successo di un nuovo servizio. Comunica in modo proattivo con gli utenti su come cambierà l'esperienza, quando verrà modificata, e su come ottenere supporto in caso di problemi.

Documentare l'infrastruttura e i criteri correnti

L'infrastruttura e i criteri correnti guidano la progettazione di report e monitoraggio. Assicurarsi di sapere

  • Eventuali strumenti SIEM in uso.

  • Infrastruttura di Azure, inclusi gli account di archiviazione esistenti e il monitoraggio in uso.

  • I criteri di conservazione dell'organizzazione per i log, inclusi i framework di conformità applicabili necessari.

Pianificare una distribuzione Azure AD report e monitoraggio

I report e il monitoraggio vengono usati per soddisfare i requisiti aziendali, ottenere informazioni dettagliate sui modelli di utilizzo e aumentare il comportamento di sicurezza dell'organizzazione.

Casi d'uso aziendali

  • Obbligatorio per soddisfare le esigenze aziendali della soluzione
  • È necessario soddisfare le esigenze aziendali
  • Non applicabile
Area Descrizione
Conservazione Conservazione dei log di più di 30 giorni. A causa di requisiti legali o aziendali, è necessario archiviare i log di controllo e accedere ai log di Azure AD più di 30 giorni.
Analytics I log devono essere ricercabili. I log archiviati devono essere ricercabili con strumenti analitici.
Operational Insights Insights per vari team. La necessità di concedere l'accesso a utenti diversi per ottenere informazioni operative, ad esempio l'utilizzo delle applicazioni, gli errori di accesso, l'utilizzo self-service, le tendenze e così via.
Sicurezza Insights Insights per vari team. La necessità di concedere l'accesso a utenti diversi per ottenere informazioni operative, ad esempio l'utilizzo delle applicazioni, gli errori di accesso, l'utilizzo self-service, le tendenze e così via.
Integrazione nei sistemi SIEM Integrazione SIEM. Necessità di integrare e trasmettere in streaming Azure AD log di accesso e di controllo ai sistemi SIEM esistenti.

Scegliere un'architettura di soluzione di monitoraggio

Con Azure AD monitoraggio, è possibile instradare i log attività Azure AD a un sistema che soddisfi meglio le esigenze aziendali. È quindi possibile conservarle per la creazione di report e l'analisi a lungo termine per ottenere informazioni dettagliate sull'ambiente e integrarle con gli strumenti SIEM.

Diagramma del flusso decisionaleImmagine che mostra ciò che viene descritto nelle sezioni successive

Archiviare i log in un account di archiviazione

Indirizzando i log a un account di archiviazione di Azure, è possibile mantenerli per più tempo rispetto al periodo di conservazione predefinito descritto nei criteri di conservazione. Usare questo metodo se è necessario archiviare i log, ma non è necessario integrarli con un sistema SIEM e non sono necessarie query e analisi in corso. È comunque possibile eseguire ricerche su richiesta.

Informazioni su come indirizzare i dati all'account di archiviazione.

Inviare log ai log di Monitoraggio di Azure

Monitoraggio di Azure log consolidano i dati di monitoraggio da origini diverse. Fornisce anche un linguaggio di query e un motore di analisi che offre informazioni dettagliate sul funzionamento delle applicazioni e sull'uso delle risorse. Inviando Azure AD log attività ai log Monitoraggio di Azure, è possibile recuperare, monitorare e avvisare rapidamente i dati raccolti. Usare questo metodo quando non si ha una soluzione SIEM esistente a cui si vogliono inviare i dati direttamente, ma si vogliono eseguire query e analisi. Una volta che i dati sono Monitoraggio di Azure log, è possibile inviarli all'hub eventi e, se lo si desidera, a un SIEM.

Vedere come inviare dati ai log di Monitoraggio di Azure.

È anche possibile installare le visualizzazioni predefinite per i log Azure AD attività per monitorare scenari comuni che coinvolgono gli eventi di accesso e controllo.

Vedere come installare e usare le viste di analisi dei log per i log attività di Azure AD.

Trasmettere i log all'hub eventi di Azure

Il routing dei log a un hub eventi di Azure consente l'integrazione con strumenti SIEM di terze parti. Questa integrazione consente di combinare i dati di log attività di Azure AD con altri dati gestiti dallo strumento per informazioni di sicurezza e gestione degli eventi, per fornire informazioni dettagliate più estese per il proprio ambiente.

Informazioni su come trasmettere i log a un hub eventi.

Pianificare le operazioni e la sicurezza per Azure AD report e monitoraggio

Gli stakeholder devono accedere Azure AD log per ottenere informazioni operative. È probabile che gli utenti includano membri del team di sicurezza, revisori interni o esterni e il team operativo di gestione delle identità e degli accessi.

Azure AD ruoli consentono di delegare la possibilità di configurare e visualizzare Azure AD report in base al ruolo. Identificare chi nell'organizzazione necessita dell'autorizzazione per Azure AD report e quale ruolo sarebbe appropriato per loro.

I ruoli seguenti possono leggere Azure AD report:

  • Amministratore globale

  • Amministrazione della protezione

  • Ruolo con autorizzazioni di lettura per la sicurezza

  • Lettore di report

Altre informazioni sui Azure AD amministrativi.

Applicare sempre il concetto di privilegi minimi per ridurre il rischio di compromissione di un account. È consigliabile implementare Privileged Identity Management per proteggere ulteriormente l'organizzazione.

Distribuire Azure AD report e monitoraggio

A seconda delle decisioni prese in precedenza usando le linee guida di progettazione precedenti, questa sezione guiderà l'utente alla documentazione sulle diverse opzioni di distribuzione.

Utilizzare e archiviare Azure AD log

Trovare i report attività nel portale di Azure

Archiviare Azure AD log in un account Archiviazione di Azure

Implementare monitoraggio e analisi

Inviare log a Monitoraggio di Azure

Installare e usare le viste di analisi dei log per Azure Active Directory

Analizzare i log attività di Azure AD con i log di Monitoraggio di Azure

Passaggi successivi

Valutare la possibilità di implementare Privileged Identity Management

Prendere in considerazione l'implementazione del controllo degli accessi in base al ruolo di Azure