Планирование развертывания отчетов и мониторинга Azure Active Directory

Решение для создания отчетов и мониторинга Azure Active Directory (Azure AD) зависит от действующих требований законодательства, безопасности и эксплуатации, а также от существующих сред и процессов. В этой статье представлены разные варианты архитектуры и рекомендации по выбору стратегии развертывания.

Преимущества создания отчетов и мониторинга Azure AD

Компонент отчетов Azure AD предоставляет исчерпывающее представление и журналы действий Azure AD в вашей среде, включая события входа, события аудита и изменения в каталоге.

Полученные данные позволят вам выполнять следующее:

  • определять, как используются приложения и службы;

  • обнаружить потенциальные риски, которые могут повлиять на работоспособность среды;

  • устранить неполадки, влияющие на работу пользователей;

  • получить ценные сведения, просматривая события аудита для изменений в каталоге Azure AD.

Важно!

Мониторинг Azure AD позволяет направлять журналы, созданные компонентом отчетов Azure AD, в разные целевые системы. Эти журналы затем можно сохранить для долговременного использования или интегрировать со сторонними средствами для управления сведениями и событиями безопасности (SIEM), чтобы получать аналитические сведения о своей среде.

С помощью мониторинга Azure AD можно направить журналы в:

  • учетную запись хранения Azure для архивации;
  • журналы Azure Monitor, ранее известные как рабочая область Azure Log Analytics, где можно анализировать данные, создавать панели мониторинга и настраивать оповещения для конкретных событий;
  • концентратор событий Azure, поддерживающий интеграцию с существующими средствами SIEM, такими как Splunk, Sumologic или QRadar.

Примечание

Недавно мы начали использовать термин журналы Azure Monitor вместо Log Analytics. Данные журнала по-прежнему хранятся в рабочей области Log Analytics, собираются и анализируются той же службой Log Analytics. Целью обновления терминологии является лучшее отражение роли журналов в Azure Monitor. Дополнительные сведения см. в статье Изменения фирменной символики Azure Monitor.

Дополнительные сведения о политиках хранения отчетов.

Лицензирование и предварительные требования для отчетов и мониторинга Azure AD

Для доступа к журналам входа в Azure AD вам потребуется лицензия Azure AD Premium.

Подробные сведения о компонентах и лицензировании см. на странице с ценами на Azure Active Directory.

Для развертывания мониторинга и отчетов Azure AD вам потребуется пользователь с правами глобального администратора или администратора безопасности для арендатора Azure AD.

В зависимости от конечного назначения данных журналов вам потребуется одно из следующего:

  • Учетная запись хранения Azure, для которой имеется разрешение ListKeys. Рекомендуется использовать общую учетную запись хранения вместо учетной записи хранилища BLOB-объектов. Информацию о ценах на хранилище см. здесь.

  • Пространство имен Центров событий Azure для интеграции со сторонними решениями SIEM.

  • Рабочая область Azure Log Analytics для отправки данных в журналы Azure Monitor.

Планирование проекта развертывания отчетов и мониторинга Azure

В этом проекте вы определите аудитории, которые будут потреблять и отслеживать отчеты, и определите архитектуру мониторинга Azure AD.

Привлечение соответствующих заинтересованных лиц

Причиной неудач технических проектов обычно являются неоправданные ожидания относительно влияния, результатов и обязанностей. Чтобы избежать этих ловушек, привлеките правильных заинтересованных лиц Добейтесь того, чтобы их роли в проекте были очевидны, задокументировав заинтересованных лиц и их вклад в проект для подотчетности.

Планирование информирования

Информирование важно для успеха любой новой службы. Заблаговременное сообщайте пользователям, как изменится их взаимодействие с системой, когда это произойдет и как получить поддержку в случае возникновения проблем.

Документирование текущих политик и инфраструктуры

Текущие политики и инфраструктура будут определять архитектуру создания отчетов и мониторинга. Убедитесь, что вы знаете следующее.

  • Какие средства SIEM вы используете, если таковые имеются.

  • Вашу инфраструктуру Azure, включая существующие учетные записи хранения и средства мониторинга.

  • Политики хранения для журналов в организации, включая все применимые платформы соответствия требованиям.

Планирование развертывания отчетов и мониторинга Azure AD

Отчеты и мониторинг используются для удовлетворения бизнес-требований, получения ценных сведений о характере использования и улучшения состояния безопасности вашей организации.

Варианты использования для бизнеса

  • Необходимы, чтобы решение соответствовало бизнес-потребностям
  • Хорошо подходят для удовлетворения бизнес-потребностей
  • Неприменимо
Область Описание
Сохранение Срок хранения журналов более 30 дней. ‎Из-за юридических или бизнес-требований необходимо хранить журналы аудита и журналы входа Azure AD дольше 30 дней.
Аналитика Журналы должны поддерживать возможность поиска. ‎Сохраненные журналы должны поддерживать поиск с использованием аналитических средств.
Operational Insights Аналитика для различных команд. Необходимо предоставить доступ различным пользователям для получения оперативной аналитики, такой как использование приложения, ошибки входа, использование самообслуживания, тренды и т. п.
Аналитика безопасности Аналитика для различных команд. Необходимо предоставить доступ различным пользователям для получения оперативной аналитики, такой как использование приложения, ошибки входа, использование самообслуживания, тренды и т. п.
Интеграция в системы SIEM Интеграция с SIEM. ‎Необходимо интегрировать журналы входа и аудита Azure AD в существующие системы SIEM и передавать их в потоковом режиме.

Выбор архитектуры для решения мониторинга

С помощью мониторинга Azure AD вы можете направить журналы действий Azure AD в ту систему, которая наилучшим образом соответствует вашим бизнес-потребностям. После этого их можно хранить для долгосрочной отчетности и анализа, чтобы извлечь ценные сведения о среде и интегрировать их с инструментами SIEM.

Схема принятия решенийИзображение, демонстрирующее то, что описано в последующих разделах

Архивация журналов в учетной записи хранения

При маршрутизации журналов в учетную запись хранения Azure их можно хранить дольше периода хранения по умолчанию, указанного в политиках хранения. Используйте этот метод, если хотите архивировать журналы, однако интегрировать их с системой SIEM и использовать для оперативного выполнения запросов и анализа не требуется. Вы по-прежнему можете выполнять поиск по запросу.

См. сведения о том, как направлять данные в учетную запись хранения.

Отправка данных в журналы Azure Monitor

Журналы Azure Monitor объединяют данные мониторинга из разных источников. Они также используют язык запросов и модуль аналитики, позволяющие анализировать работу и использование приложений и ресурсов. Отправляя журналы действий Azure AD в журналы Azure Monitor, вы можете быстро извлекать и отслеживать собранные данные, а также создавать на их основе оповещения. Используйте этот метод, если у вас нет решения SIEM, куда бы можно было отправить данные напрямую, но вы хотите выполнять запросы и анализ. Когда данные находятся в журналах Azure Monitor, их можно отправить в концентратор событий, а оттуда — в SIEM, если это нужно.

См. дополнительные сведения об отправке данных в журналы Azure Monitor.

Вы также можете установить готовые представления для журналов действий Azure AD, чтобы отслеживать распространенные сценарии, связанные со входом в систему и событиями аудита.

См. сведения об установке и использовании предоставлений анализа журналов для журналов действий Azure AD.

Потоковая передача журналов в концентратор событий Azure

Направляя журналы в концентратор событий Azure, вы можете выполнить интеграцию со сторонними средствами SIEM. Такая интеграция позволяет объединить данные из журнала действий Azure AD с другими данными, управляемыми средствами SIEM, что позволяет получать более подробные аналитические сведения о среде.

См. сведения о том, как осуществлять потоковую передачу журналов в концентратор событий.

Планирование операций и безопасности для отчетов и мониторинга Azure AD

Чтобы получить оперативную аналитику, заинтересованным лицам необходим доступ к журналам Azure AD. В число вероятных пользователей входят члены группы безопасности, внутренние или внешние аудиторы, а также группа по управлению доступом и удостоверениями.

Роли Azure AD позволяют делегировать возможность настройки и просмотра отчетов Azure AD на основе вашей роли. Укажите, кому в вашей организации требуется разрешение на чтение отчетов Azure AD и какая роль им подойдет.

Читать отчеты Azure AD позволяют следующие роли:

  • глобальный администратор.

  • администратор безопасности;

  • Читатель сведений о безопасности

  • Читатель отчетов

Дополнительные сведения об административных ролях Azure AD.

Всегда применяйте принцип предоставления минимальных прав, чтобы снизить риск компрометации учетной записи. Рассмотрите возможность реализации управления привилегированными пользователями для усиления защиты организации.

Развертывание компонентов отчетов и мониторинга Azure AD

С учетом решений, принятых вами ранее с помощью приведенных выше рекомендаций по проектированию, в этом разделе вы найдете ссылки на документацию по различным вариантам развертывания.

Использование и архивация журналов Azure AD

Поиск отчетов о действиях на портале Azure

Архивация журналов Azure AD в учетную запись хранения Azure

Реализация мониторинга и аналитики

Отправка журналов в Azure Monitor

Установка и использование представлений Log Analytics для Azure Active Directory

Анализ журналов действий Azure AD с помощью журналов Azure Monitor

Дальнейшие действия

Рекомендуется реализовать управление привилегированными пользователями

Рекомендуется реализовать управления доступом на основе ролей Azure (Azure RBAC)