Интеграция журнала действий Microsoft Entra

С помощью параметров диагностики в идентификаторе Microsoft Entra можно направлять журналы действий в несколько конечных точек для долгосрочного хранения и аналитики данных. Журналы можно архивировать для хранения, маршрутизации в средства управления сведениями и событиями безопасности (SIEM) и интегрировать журналы с журналами Azure Monitor.

С помощью этих интеграций можно включить широкие возможности визуализаций, мониторинга и оповещений о подключенных данных. В этой статье описывается рекомендуемое использование для каждого типа интеграции или метода доступа. Рекомендации по отправке журналов действий Microsoft Entra в различные конечные точки также рассматриваются.

Поддерживаемые отчеты

Следующие журналы можно интегрировать с одной из многих конечных точек:

Способы интеграции

Чтобы помочь выбрать правильный метод интеграции журналов действий Microsoft Entra для хранения или анализа, подумайте о общей задаче, которую вы пытаетесь выполнить. Мы сгруппировали параметры в три основные категории:

  • Устранение неполадок
  • Долговременное хранилище
  • Анализ и мониторинг

Устранение неполадок

Если вы выполняете задачи по устранению неполадок, но вам не нужно хранить журналы более 30 дней, рекомендуется использовать портал Azure или Microsoft Graph для доступа к журналам действий. Вы можете отфильтровать журналы для вашего сценария и экспортировать или скачать их по мере необходимости.

Если вы выполняете задачи по устранению неполадок и хотите сохранить журналы более 30 дней, ознакомьтесь с вариантами долгосрочного хранения.

Долговременное хранилище

Если вы выполняете задачи устранения неполадок и хотите сохранить журналы более 30 дней, вы можете экспортировать журналы в учетную запись хранения Azure. Этот вариант идеально подходит для того, чтобы часто запрашивать эти данные.

Если вам нужно запросить данные, которые вы храните более 30 дней, ознакомьтесь с параметрами анализа и мониторинга.

Анализ и мониторинг

Если в вашем сценарии требуется хранить данные более 30 дней , и вы планируете регулярно запрашивать эти данные, у вас есть несколько вариантов интеграции данных с инструментами SIEM для анализа и мониторинга.

Если у вас есть стороннее средство SIEM, рекомендуется настроить пространство имен Центров событий и концентратор событий, с помощью которых можно передавать данные. С помощью концентратора событий можно передавать журналы в один из поддерживаемых средств SIEM.

Если вы не планируете использовать стороннее средство SIEM, рекомендуется отправлять журналы действий Microsoft Entra в журналы Azure Monitor. С помощью этой интеграции вы можете запросить журналы действий с помощью Log Analytics. Помимо журналов Azure Monitor Microsoft Sentinel обеспечивает обнаружение и поиск угроз в режиме реального времени. Если вы решили интегрироваться с инструментами SIEM позже, вы можете передавать журналы действий Microsoft Entra вместе с другими данными Azure через концентратор событий.

Рекомендации по затратам

Существует стоимость отправки данных в рабочую область Log Analytics, архивация данных в учетной записи хранения или потоковой передачи журналов в концентратор событий. Объем данных и затраты могут значительно отличаться в зависимости от размера клиента, количества используемых политик и даже времени суток.

Так как размер и стоимость отправки журналов в конечную точку трудно предсказать, наиболее точный способ определить ожидаемые затраты — направлять журналы в конечную точку в течение дня или двух. С помощью этого моментального снимка можно получить точный прогноз ожидаемых затрат. Вы также можете получить оценку затрат, скачав пример журналов и умножив соответствующим образом, чтобы получить оценку в течение одного дня.

Другие рекомендации по отправке журналов Microsoft Entra в журналы Azure Monitor описаны в следующих статьях о затратах Azure Monitor:

Azure Monitor предоставляет возможность исключения целых событий, полей или частей полей при приеме журналов из идентификатора Microsoft Entra. Дополнительные сведения об этой функции экономии затрат в преобразовании сбора данных в Azure Monitor.

Оцените свои расходы

Чтобы оценить затраты для вашей организации, можно оценить размер ежедневного журнала или ежедневные затраты на интеграцию журналов с конечной точкой.

Следующие факторы могут повлиять на затраты для вашей организации:

  • События журнала аудита используют около 2 КБ хранилища данных
  • События журнала входа используются в среднем 11,5 КБ хранилища данных
  • Клиент около 100 000 пользователей может вызвать около 1,5 миллиона событий в день
  • События пакетируются примерно в 5-минутные интервалы и отправляются в виде одного сообщения, содержащего все события в течение этого интервала времени.

Размер ежедневного журнала

Чтобы оценить размер ежедневного журнала, соберите пример журналов, настройте пример, чтобы отразить размер и параметры клиента, а затем применить этот пример к калькулятору цен Azure.

Если вы еще не скачали журналы из Центра администрирования Microsoft Entra, ознакомьтесь с разделом " Как скачать журналы" в статье "Идентификатор Microsoft Entra ID ". В зависимости от размера организации может потребоваться выбрать другой размер выборки, чтобы начать оценку. Ниже приведены следующие размеры выборок, которые можно начать.

  • 1000 записей
  • Для крупных клиентов 15 минут входа
  • Для небольших и средних клиентов— 1 час входа

При записи примера данных следует также учитывать географическое распределение и пиковые часы пользователей. Если ваша организация основана в одном регионе, скорее всего, это пик входа примерно в то же время. Настройте размер выборки и при записи примера соответствующим образом.

При выборке данных, записанной, умножьте соответствующим образом, чтобы узнать, насколько большой файл будет находиться в течение одного дня.

Оценка ежедневных затрат

Чтобы получить представление о том, сколько может стоить интеграция журналов для вашей организации, можно включить интеграцию в течение дня или двух. Используйте этот параметр, если бюджет разрешает временное увеличение.

Чтобы включить интеграцию журналов, выполните действия, описанные в статье "Интеграция журналов действий с журналами Azure Monitor". По возможности создайте новую группу ресурсов для журналов и конечной точки, которую вы хотите попробовать. Наличие отдельной группы ресурсов упрощает просмотр анализа затрат и его удаление после завершения.

С включенной интеграцией перейдите к анализу затрат портал Azure> Cost Management>. Существует несколько способов анализа затрат. Это краткое руководство по управлению затратами поможет вам приступить к работе. Цифры на следующем снимке экрана используются в примерах и не предназначены для отражения фактических объемов.

Screenshot of a cost analysis breakdown as a pie chart.

Убедитесь, что вы используете новую группу ресурсов в качестве область. Изучите ежедневные затраты и прогнозы, чтобы получить представление о том, сколько может стоить интеграция журналов.

Вычисление предполагаемых затрат

На целевой странице калькулятора цен Azure можно оценить затраты на различные продукты.

После получения оценки для ГБ/дня, который будет отправлен в конечную точку, введите это значение в калькуляторе цен Azure. Цифры на следующем снимке экрана используются в примерах и не предназначены для отражения фактических цен.

Screenshot of the Azure pricing calculator, with 8 GB/Day used as an example.

Следующие шаги