Использование книг Azure Monitor для отчетов Azure Active Directory

ИТ-администраторам требуются эффективные средства, для визуального представления данных о клиенте Azure AD позволяющего следить за тем, как выполняется среда управления удостоверениями. Книги Azure Monitor являются примером такого средства.

В этой статье содержатся общие сведения об использовании книг Azure Monitor для отчетов Azure Active Directory с целью анализа клиента Azure AD.

Что это

Azure AD отслеживает все действия в журналах действий. Данные в журналах Azure AD позволяют оценить работу Azure AD. Портал Azure Active Directory предоставляет доступ к трем журналам действий:

  • Операции входа — сведения об операциях входа и использовании ресурсов пользователями.
  • Аудит — сведения об изменениях, примененных к вашему клиенту, например об операциях управления пользователями и группами или обновлении ресурсов клиента.
  • Подготовка — действия, выполняемые службой подготовки к работе, например создание группы в ServiceNow или импорт пользователей из Workday.

С помощью возможностей доступа, предоставляемых порталом Azure, можно просмотреть сведения, отслеживаемые в журналах действий. Эта возможность полезна, если необходимо быстро изучить событие с ограниченной областью действия. Например, пользователь испытывал проблемы со входом в систему в течение нескольких часов. В этом сценарии просмотр последних записей этого пользователя в журналах входа может помочь пролить свет на причины проблемы.

Для таких разовых исследований с ограниченной областью портал Azure часто является самым простым способом поиска необходимых данных. Однако существуют и проблемы, требующие более сложного анализа данных в журналах действий. Например, если вы наблюдаете за тенденциями в интересующих вас сигналах. Один из распространенных примеров сценария, требующего анализа тенденций, связан с блокировкой устаревшей проверки подлинности в клиенте Azure AD.

AAD поддерживает несколько широко распространенные протоколы проверки подлинности и авторизации, часть из которых уже устарела. Под устаревшей проверкой подлинности понимается обычная проверка подлинности, широко применяемый и являющийся отраслевым стандартом метод сбора сведений об имени пользователя и пароле. Примеры приложений, которые используют в основном или исключительно устаревшую проверку подлинности:

  • Microsoft Office 2013 или более поздней версии;
  • приложения, поддерживающие почтовые протоколы POP, IMAP и SMTP.

Как правило, клиенты обычной проверки подлинности не могут использовать какой-либо второй фактор проверки подлинности. Однако многофакторная проверка подлинности (MFA) является обязательным требованием во многих средах для обеспечения высокого уровня защиты.

Как определить, безопасно ли блокировать устаревшую проверку подлинности в среде? Для ответа на этот вопрос требуется анализ входов в вашей среде в течение определенного периода времени. Это сценарий, в котором пригодятся книги Azure Monitor.

Книги предоставляют гибкий холст для анализа данных и создания полнофункциональных визуальных отчетов на портале Azure. Они позволяют подключаться к нескольким источникам данных из Azure и объединять их через единый интерактивный интерфейс.

Книги Azure Monitor дают следующие возможности:

  • Отправлять запросы к данным из нескольких источников в Azure.
  • Визуализировать данные для создания отчетов и анализа.
  • Объединять несколько элементов в единое интерактивное отображение.

Дополнительные сведения см. в статье Книги Azure Monitor.

Возможности оценки безопасности

Распространенные сценарии использования книг включают следующие.

  • Получение общих сводных отчетов о клиенте Azure AD и создание собственных пользовательских отчетов.

  • Поиск и диагностика сбоев входа и просмотр тенденций работоспособности входа в систему вашей организации.

  • Отслеживание журналов Azure AD для входа, действий администратора клиента, подготовки и рисков в едином гибком настраиваемом формате.

  • Отслеживание тенденции использования клиентом функций Azure AD, таких как условный доступ, самостоятельный сброс пароля и т. д.

  • Выявление пользователей, которые используют устаревшие протоколы проверки подлинности для входа в вашу среду.

  • Определение влияния политик условного доступа на вход пользователей в систему.

Для кого предназначены книги?

Ниже перечислены типичные пользователи книг:

  • Администратор отчетов — тот, кто отвечает за создание отчетов на основе доступных данных и шаблонов книг.

  • Администраторы клиентов — специалисты, использующие доступные отчеты для получения аналитических сведений и принятия мер.

  • Построитель шаблонов книги — "выпускник" роли администратора отчетов, превращающий книгу в шаблон для других пользователей с аналогичными потребностями для использования в качестве основы при создании собственных книг.

Способ использования

При работе с книгами можно начать с пустой книги или использовать существующий шаблон. Шаблоны книг позволяют быстро приступить к работе без необходимости создавать книгу с нуля.

маршрутов:

  • Общедоступные шаблоны, опубликованные в коллекции, которые служат хорошей отправной точкой, когда вы только начинаете работу с книгами.
  • Частные шаблоны, которые можно сохранить при создании собственных книг, чтобы они служили основой для нескольких книг в клиенте.

Предварительные требования

Для использования книг Azure Monitor необходимо следующее.

  • Клиент Azure Active Directory с лицензией уровня "Премиум" (P1/P2). Узнайте, как получить лицензию уровня "Премиум".

  • Рабочая область Log Analytics.

  • Доступ к рабочей области Log Analytics.

  • Следующие роли в Azure Active Directory (при доступе к Log Analytics через портал Azure Active Directory)

    • администратор безопасности;
    • Читатель сведений о безопасности
    • Читатель отчетов.
    • Глобальный администратор.

Роли

Для доступа к книгам в Azure Active Directory необходимо иметь доступ к базовой рабочей области Log Analytics и принадлежать к одной из следующих ролей:

  • Глобальный читатель

  • Читатель отчетов

  • Читатель сведений о безопасности

  • Администратор приложений

  • Администратор облачных приложений

  • Администратор организации

  • Администратор безопасности

Доступ к книге

Порядок доступа к книгам

  1. Войдите на портал Azure.

  2. Перейдите в раздел Azure Active Directory>Мониторинг>Книги.

  3. Выберите отчет или шаблон либо на панели инструментов выберите Открыть.

Find the Azure Monitor workbooks in Azure AD

Дальнейшие действия