Мониторинг в Azure Active Directory

Теперь функция мониторинга Azure Active Directory (Azure AD) позволяет направлять журналы действий в различные конечные точки. Эти журналы затем можно сохранить для долговременного использования или интегрировать со сторонними средствами для управления сведениями и событиями безопасности (SIEM), чтобы получать аналитические сведения о своей среде.

Сейчас журналы можно направить в следующие конечные точки:

  • Учетная запись хранения Azure.
  • Концентратор событий Azure для интеграции с экземплярами Splunk и Sumologic.
  • Рабочая область Azure Log Analytics, где вы можете анализировать данные, а также создавать информационные панели и оповещения для определенных событий.

Требуемая роль: глобальный администратор.

Примечание

Сведения из данной статьи были недавно обновлены. Теперь вместо термина "Log Analytics" используется термин "журналы Azure Monitor". Данные журнала по-прежнему хранятся в рабочей области Log Analytics, собираются и анализируются той же службой Log Analytics. Целью обновления терминологии является лучшее отражение роли журналов в Azure Monitor. Дополнительные сведения см. в статье Изменения фирменной символики Azure Monitor.

Лицензирование и предварительные требования для отчетов и мониторинга Azure AD

Для доступа к журналам входа в Azure AD вам потребуется лицензия Azure AD Premium.

Подробные сведения о компонентах и лицензировании см. на странице с ценами на Azure Active Directory.

Для развертывания мониторинга и отчетов Azure AD вам потребуется пользователь с правами глобального администратора или администратора безопасности для арендатора Azure AD.

В зависимости от конечного назначения данных журналов вам потребуется одно из следующего:

  • Учетная запись хранения Azure, для которой имеется разрешение ListKeys. Рекомендуется использовать общую учетную запись хранения вместо учетной записи хранилища BLOB-объектов. Информацию о ценах на хранилище см. здесь.

  • Пространство имен Центров событий Azure для интеграции со сторонними решениями SIEM.

  • Рабочая область Azure Log Analytics для отправки данных в журналы Azure Monitor.

Настройка параметров диагностики

Чтобы настроить параметры мониторинга для журналов действий Azure AD, сначала войдите на портал Azure, а затем выберите Azure Active Directory. Отсюда вы можете получить доступ к странице параметров диагностики двумя способами:

  • В разделе Мониторинг выберите Параметры диагностики.

    Параметры диагностики

  • Выберите Журналы аудита или События входа, а затем — Экспорт параметров.

    Параметры экспорта

Передача журналов в учетную запись хранения

Направляя журналы в учетную запись хранения Azure, вы можете хранить их в дольше, чем определено в наших политиках хранения по умолчанию. См. сведения о том, как направлять данные в учетную запись хранения.

Потоковая передача журналов в концентратор событий

Направляя журналы в концентратор событий Azure, вы можете выполнить интеграцию со сторонними средствами, например Sumologic и Splunk. Такая интеграция позволяет объединить данные из журнала действий Azure AD с другими данными, управляемыми средствами SIEM, что позволяет получать более подробные аналитические сведения о среде. См. сведения о том, как осуществлять потоковую передачу журналов в концентратор событий.

Отправка данных в журналы Azure Monitor

Журналы Azure Monitor — это решение, которое консолидирует данные мониторинга из различных источников, а также предоставляет язык запросов и аналитическую систему для получения сведений о работе приложений и ресурсов. Отправляя журналы действий Azure AD в Azure Monitor Logs вы можете быстро извлекать и отслеживать собранные данные, а также создавать на их основе оповещения. См. дополнительные сведения об отправке данных в журналы Azure Monitor.

Вы также можете установить готовые представления для журналов действий Azure AD, чтобы отслеживать распространенные сценарии, связанные со входом в систему и событиями аудита. См. сведения об установке и использовании предоставлений анализа журналов для журналов действий Azure AD.

Дальнейшие действия