Integracje dzienników aktywności firmy Microsoft

Za pomocą ustawień diagnostycznych w usłudze Microsoft Entra ID można kierować dzienniki aktywności do kilku punktów końcowych w celu długoterminowego przechowywania danych i szczegółowych informacji. Dzienniki magazynu można archiwizować, kierować do narzędzi do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz integrować dzienniki z dziennikami usługi Azure Monitor.

Dzięki tym integracji można włączyć zaawansowane wizualizacje, monitorowanie i alerty dotyczące połączonych danych. W tym artykule opisano zalecane zastosowania dla każdego typu integracji lub metody dostępu. Zagadnienia dotyczące kosztów wysyłania dzienników aktywności firmy Microsoft do różnych punktów końcowych są również omówione.

Obsługiwane raporty

Następujące dzienniki można zintegrować z jednym z wielu punktów końcowych:

• Raport aktywności dzienników inspekcji zapewnia dostęp do historii każdego zadania wykonywanego w dzierżawie.
• Korzystając z raportu aktywności logowania, możesz zobaczyć, kiedy użytkownicy próbują zalogować się do aplikacji lub rozwiązywać problemy z błędami logowania.
• Za pomocą dzienników aprowizacji można monitorować użytkowników, którzy zostali utworzeni, zaktualizowani i usunięci we wszystkich aplikacjach innych firm.
• Dzienniki ryzykownych użytkowników pomagają monitorować zmiany na poziomie ryzyka użytkownika i działania korygujące.
• Dzięki dziennikom wykrywania ryzyka można monitorować wykrycia ryzyka użytkownika i analizować trendy w aktywności ryzyka wykrytej w organizacji.

Opcje integracji

Aby pomóc wybrać właściwą metodę integracji dzienników aktywności firmy Microsoft dla magazynu lub analizy, pomyśl o ogólnym zadaniu, które próbujesz wykonać. Pogrupowaliśmy opcje w trzy główne kategorie:

• Rozwiązywanie problemów
• Magazyn długoterminowy
• Analiza i monitorowanie

Rozwiązywanie problemów

Jeśli wykonujesz zadania rozwiązywania problemów, ale nie musisz przechowywać dzienników przez ponad 30 dni, zalecamy korzystanie z witryny Azure Portal lub programu Microsoft Graph w celu uzyskania dostępu do dzienników aktywności. Dzienniki scenariusza można filtrować i eksportować lub pobierać w razie potrzeby.

Jeśli wykonujesz zadania rozwiązywania problemów i musisz zachować dzienniki przez ponad 30 dni, zapoznaj się z opcjami długoterminowego przechowywania.

Magazyn długoterminowy

Jeśli wykonujesz zadania rozwiązywania problemów i musisz przechowywać dzienniki przez ponad 30 dni, możesz wyeksportować dzienniki na konto usługi Azure Storage. Ta opcja jest idealna, jeśli nie planujesz często wykonywać zapytań dotyczących tych danych.

Jeśli musisz wykonać zapytanie dotyczące danych, które są przechowywane przez ponad 30 dni, zapoznaj się z opcjami analizy i monitorowania.

Analiza i monitorowanie

Jeśli scenariusz wymaga przechowywania danych przez ponad 30 dni i planujesz regularne wykonywanie zapytań o te dane, masz kilka opcji integracji danych z narzędziami SIEM do analizy i monitorowania.

Jeśli masz narzędzie SIEM innej firmy, zalecamy skonfigurowanie przestrzeni nazw usługi Event Hubs i centrum zdarzeń, za pomocą którego można przesyłać strumieniowo dane. Za pomocą centrum zdarzeń można przesyłać strumieniowo dzienniki do jednego z obsługiwanych narzędzi SIEM.

Jeśli nie planujesz korzystania z narzędzia SIEM innej firmy, zalecamy wysłanie dzienników aktywności firmy Microsoft Entra do dzienników usługi Azure Monitor. Dzięki tej integracji możesz wykonywać zapytania dotyczące dzienników aktywności za pomocą usługi Log Analytics. Oprócz dzienników usługi Azure Monitor usługa Microsoft Sentinel zapewnia wykrywanie zabezpieczeń w czasie rzeczywistym i wyszukiwanie zagrożeń. Jeśli zdecydujesz się później zintegrować z narzędziami SIEM, możesz przesłać strumieniowo dzienniki aktywności firmy Microsoft entra wraz z innymi danymi platformy Azure za pośrednictwem centrum zdarzeń.

Kwestie związane z kosztami

Istnieje koszt wysyłania danych do obszaru roboczego usługi Log Analytics, archiwizowania danych na koncie magazynu lub przesyłania strumieniowego dzienników do centrum zdarzeń. Ilość danych i poniesione koszty mogą się znacznie różnić w zależności od rozmiaru dzierżawy, liczby używanych zasad, a nawet godziny dnia.

Ponieważ rozmiar i koszt wysyłania dzienników do punktu końcowego są trudne do przewidzenia, najbardziej dokładnym sposobem określenia oczekiwanych kosztów jest kierowanie dzienników do punktu końcowego na dzień lub dwa. Dzięki tej migawki możesz uzyskać dokładne przewidywanie oczekiwanych kosztów. Możesz również uzyskać oszacowanie kosztów, pobierając próbkę dzienników i odpowiednio pomnożąc szacowanie na jeden dzień.

Inne zagadnienia dotyczące wysyłania dzienników usługi Microsoft Entra do dzienników usługi Azure Monitor zostały omówione w następujących artykułach dotyczących kosztów usługi Azure Monitor:

• Usługa Azure Monitor rejestruje obliczenia kosztów i opcje
• Koszt i użycie usługi Azure Monitor
• Optymalizowanie kosztów w usłudze Azure Monitor

Usługa Azure Monitor umożliwia wykluczanie całych zdarzeń, pól lub części pól podczas pozyskiwania dzienników z identyfikatora Entra firmy Microsoft. Dowiedz się więcej o tej funkcji oszczędzania kosztów w przekształcaniu zbierania danych w usłudze Azure Monitor.

Oszacuj koszty

Aby oszacować koszty organizacji, możesz oszacować dzienny rozmiar dziennika lub dzienny koszt integracji dzienników z punktem końcowym.

Następujące czynniki mogą mieć wpływ na koszty organizacji:

• Zdarzenia dziennika inspekcji używają około 2 KB magazynu danych
• Zdarzenia dziennika logowania używają średnio 11,5 KB magazynu danych
• Dzierżawa około 100 000 użytkowników może spowodować około 1,5 miliona zdarzeń dziennie
• Zdarzenia są wsadowe do około 5-minutowych interwałów i wysyłane jako pojedynczy komunikat zawierający wszystkie zdarzenia w tym przedziale czasu

Dzienny rozmiar dziennika

Aby oszacować dzienny rozmiar dziennika, zbierz próbkę dzienników, dostosuj przykład, aby odzwierciedlał rozmiar i ustawienia dzierżawy, a następnie zastosuj ten przykład do kalkulatora cen platformy Azure.

Jeśli wcześniej nie pobrano dzienników z centrum administracyjnego firmy Microsoft Entra, zapoznaj się z artykułem Jak pobrać dzienniki w usłudze Microsoft Entra ID . W zależności od rozmiaru organizacji może być konieczne wybranie innego rozmiaru próbki, aby rozpocząć szacowanie. Następujące rozmiary próbek są dobrym miejscem do rozpoczęcia:

• 1000 rekordów
• W przypadku dużych dzierżaw 15 minut logowania
• W przypadku małych i średnich dzierżaw 1 godzina logowania

Podczas przechwytywania przykładu danych należy również wziąć pod uwagę rozkład geograficzny i godziny szczytu użytkowników. Jeśli Twoja organizacja jest oparta w jednym regionie, prawdopodobnie logowanie osiąga szczyt w tym samym czasie. Dostosuj rozmiar próbki i odpowiednio przechwycisz próbkę.

Po przechwyceniu próbki danych należy odpowiednio pomnożyć, aby dowiedzieć się, jak duży będzie plik przez jeden dzień.

Szacowanie dziennego kosztu

Aby dowiedzieć się, ile integracji dzienników może kosztować organizacja, możesz włączyć integrację przez dzień lub dwa. Użyj tej opcji, jeśli budżet zezwala na tymczasowe zwiększenie.

Aby włączyć integrację dzienników, wykonaj kroki opisane w artykule Integrowanie dzienników aktywności z dziennikami usługi Azure Monitor. Jeśli to możliwe, utwórz nową grupę zasobów dla dzienników i punktu końcowego, które chcesz wypróbować. Posiadanie dedykowanej grupy zasobów ułatwia wyświetlenie analizy kosztów, a następnie usunięcie jej po zakończeniu.

Po włączeniu integracji przejdź do obszaru Analiza kosztów usługi Cost Management>w witrynie Azure Portal>. Istnieje kilka sposobów analizowania kosztów. Ten przewodnik Szybki start dotyczący usługi Cost Management powinien pomóc w rozpoczęciu pracy. Liczby na poniższym zrzucie ekranu są używane do przykładowych celów i nie są przeznaczone do odzwierciedlenia rzeczywistych kwot.

Upewnij się, że używasz nowej grupy zasobów jako zakresu. Zapoznaj się z dziennymi kosztami i prognozami, aby dowiedzieć się, ile może kosztować integracja dziennika.

Obliczanie szacowanych kosztów

Na stronie docelowej kalkulatora cen platformy Azure można oszacować koszty różnych produktów.

• Azure Monitor
• Magazyn platformy Azure
• Azure Event Hubs
• Microsoft Sentinel

Po oszacowaniu gb/dnia, który zostanie wysłany do punktu końcowego, wprowadź wartość w kalkulatorze cen platformy Azure. Liczby na poniższym zrzucie ekranu są używane do przykładowych celów i nie są przeznaczone do odzwierciedlenia rzeczywistych cen.

Następne kroki

• Tworzenie konta magazynu
• Archiwizowanie dzienników aktywności na koncie magazynu
• Kierowanie dzienników aktywności do centrum zdarzeń
• Integrowanie dzienników aktywności z usługą Azure Monitor