Microsoft Entra etkinlik günlüğü tümleştirmeleri

Microsoft Entra Id'deki Tanılama ayarlarını kullanarak, etkinlik günlüklerini uzun süreli veri saklama ve içgörüler için çeşitli uç noktalara yönlendirebilirsiniz. Depolama günlüklerini arşivleyebilir, Güvenlik Bilgileri ve Olay Yönetimi (SIEM) araçlarına yönlendirebilir ve günlükleri Azure İzleyici günlükleriyle tümleştirebilirsiniz.

Bu tümleştirmelerle, bağlı veriler üzerinde zengin görselleştirmeleri, izlemeyi ve uyarı oluşturmayı etkinleştirebilirsiniz. Bu makalede, her tümleştirme türü veya erişim yöntemi için önerilen kullanımlar açıklanmaktadır. Microsoft Entra etkinlik günlüklerini çeşitli uç noktalara göndermeye yönelik maliyet konuları da ele alınmıştır.

Desteklenen raporlar

Aşağıdaki günlükler birçok uç noktadan biriyle tümleştirilebilir:

• Denetim günlükleri etkinlik raporu, kiracınızda gerçekleştirilen her görevin geçmişine erişmenizi sağlar.
• Oturum açma etkinliği raporuyla, kullanıcıların uygulamalarınızda oturum açmayı denediğini veya oturum açma hatalarını gidermeyi denediğini görebilirsiniz.
• Sağlama günlükleriyle, tüm üçüncü taraf uygulamalarınızda hangi kullanıcıların oluşturulduğunu, güncelleştirildiğini ve silindiğini izleyebilirsiniz.
• Riskli kullanıcı günlükleri , kullanıcı risk düzeyi ve düzeltme etkinliğindeki değişiklikleri izlemenize yardımcı olur.
• Risk algılama günlükleriyle, kullanıcının risk algılamalarını izleyebilir ve kuruluşunuzda algılanan risk etkinliği eğilimlerini analiz edebilirsiniz.

Tümleştirme seçenekleri

Depolama veya analiz için Microsoft Entra etkinlik günlüklerini tümleştirmeye yönelik doğru yöntemi seçmeye yardımcı olmak için, gerçekleştirmeye çalıştığınız genel görevi düşünün. Seçenekleri üç ana kategoride gruplandırdık:

• Sorun giderme
• Uzun süreli depolama
• Analiz ve izleme

Sorun giderme

Sorun giderme görevlerini gerçekleştiriyorsanız ancak günlükleri 30 günden uzun süre saklamanız gerekmiyorsa etkinlik günlüklerine erişmek için Azure portalını veya Microsoft Graph'ı kullanmanızı öneririz. Senaryonuzun günlüklerini filtreleyebilir ve gerektiğinde dışarı aktarabilir veya indirebilirsiniz.

Sorun giderme görevleri gerçekleştiriyorsanız ve günlükleri 30 günden uzun süre saklamanız gerekiyorsa, uzun süreli depolama seçeneklerine göz atın.

Uzun süreli depolama

Sorun giderme görevlerini gerçekleştiriyorsanız ve günlükleri 30 günden uzun süre saklamanız gerekiyorsa, günlüklerinizi bir Azure depolama hesabına aktarabilirsiniz. Bu seçenek, bu verileri sık sık sorgulamayı planlamamanızı ideal bir seçenektir.

30 günden uzun bir süre boyunca alıkoyduğunuz verileri sorgulamanız gerekiyorsa analiz ve izleme seçeneklerine göz atın.

Analiz ve izleme

Senaryonuz verileri 30 günden uzun süre saklamanızı gerektiriyorsa ve bu verileri düzenli olarak sorgulamayı planlıyorsanız, verilerinizi analiz ve izleme için SIEM araçlarıyla tümleştirmeye yönelik birkaç seçeneğiniz vardır.

Üçüncü taraf bir SIEM aracınız varsa, verilerinizi akışla aktarabileceğiniz bir Event Hubs ad alanı ve olay hub'ı ayarlamanızı öneririz. Bir olay hub'ı ile günlükleri desteklenen SIEM araçlarından birine akışla aktarabilirsiniz.

Üçüncü taraf SIEM aracı kullanmayı planlamıyorsanız Microsoft Entra etkinlik günlüklerinizi Azure İzleyici günlüklerine göndermenizi öneririz. Bu tümleştirme ile Log Analytics ile etkinlik günlüklerinizi sorgulayabilirsiniz. Microsoft Sentinel, Azure İzleyici günlüklerine ek olarak neredeyse gerçek zamanlı güvenlik algılama ve tehdit avcılığı sağlar. Daha sonra SIEM araçlarıyla tümleştirmeye karar verirseniz Microsoft Entra etkinlik günlüklerinizi ve diğer Azure verilerinizi bir olay hub'ı üzerinden akışla aktarabilirsiniz.

Maliyetle ilgili konular

Log Analytics çalışma alanına veri göndermenin, depolama hesabındaki verileri arşivlemenin veya günlükleri bir olay hub'ına akışla aktarmanın maliyeti vardır. Veri miktarı ve tahakkuk eden maliyet, kiracı boyutuna, kullanılan ilke sayısına ve hatta günün saatine bağlı olarak önemli ölçüde farklılık gösterebilir.

Günlükleri bir uç noktaya göndermenin boyutunu ve maliyetini tahmin etmek zor olduğundan, beklenen maliyetlerinizi belirlemenin en doğru yolu günlüklerinizi bir veya iki gün boyunca bir uç noktaya yönlendirmektir. Bu anlık görüntüyle, beklenen maliyetleriniz için doğru bir tahmin elde edebilirsiniz. Ayrıca günlüklerinizin bir örneğini indirerek ve buna göre çarparak maliyetlerinizle ilgili bir tahmin alabilirsiniz.

Microsoft Entra günlüklerini Azure İzleyici günlüklerine göndermek için dikkat edilmesi gereken diğer noktalar aşağıdaki Azure İzleyici maliyet ayrıntıları makalelerinde ele alınmıştır:

• Azure İzleyici maliyet hesaplamalarını ve seçeneklerini günlüğe kaydeder
• Azure İzleyici maliyeti ve kullanımı
• Azure İzleyici'de maliyetleri iyileştirme

Azure İzleyici, Microsoft Entra Id'den günlükleri alırken tüm olayları, alanları veya alanların bölümlerini hariç tutma seçeneği sunar. Azure İzleyici'de veri toplama dönüşümünde bu maliyet tasarrufu özelliği hakkında daha fazla bilgi edinin.

Maliyetlerinizi tahmin edin

Kuruluşunuzun maliyetlerini tahmin etmek için günlüklerinizin günlük boyutunu veya günlüklerinizi bir uç noktayla tümleştirmenin günlük maliyetini tahmin edebilirsiniz.

Aşağıdaki faktörler kuruluşunuzun maliyetlerini etkileyebilir:

• Denetim günlüğü olayları yaklaşık 2 KB veri depolama alanı kullanır
• Oturum açma günlüğü olayları ortalama 11,5 KB veri depolama alanı kullanır
• Yaklaşık 100.000 kullanıcıdan oluşan bir kiracı günde yaklaşık 1,5 milyon olaya neden olabilir
• Olaylar yaklaşık 5 dakikalık aralıklarla toplu olarak oluşturulur ve bu zaman çerçevesindeki tüm olayları içeren tek bir ileti olarak gönderilir

Günlük günlük boyutu

Günlük boyutunu tahmin etmek için günlüklerinizin bir örneğini toplayın, örneği kiracınızın boyutunu ve ayarlarını yansıtacak şekilde ayarlayın ve ardından bu örneği Azure fiyatlandırma hesaplayıcısına uygulayın.

Daha önce Microsoft Entra yönetim merkezinden günlükleri indirmediyseniz Microsoft Entra Id'de günlükleri indirme makalesini gözden geçirin. Kuruluşunuzun boyutuna bağlı olarak, tahmininizi başlatmak için farklı bir örnek boyutu seçmeniz gerekebilir. Aşağıdaki örnek boyutları başlamak için iyi bir yerdir:

• 1000 kayıt
• Büyük kiracılar için 15 dakikalık oturum açma işlemleri
• Küçük ve orta ölçekli kiracılar için 1 saatlik oturum açma

Veri örneğinizi yakaladığınızda kullanıcılarınızın coğrafi dağılımını ve yoğun saatlerini de göz önünde bulundurmalısınız. Kuruluşunuz tek bir bölgede yer alıyorsa, oturum açma işlemleri büyük olasılıkla aynı zamanda zirveye çıkar. Örnek boyutunuzu ve örneği uygun şekilde yakaladığınızda ayarlayın.

Veri örneği yakalanırken, dosyanın bir gün boyunca ne kadar büyük olacağını öğrenmek için uygun şekilde çarpın.

Günlük maliyeti tahmin

Bir günlük tümleştirmesinin kuruluşunuz için maliyeti hakkında fikir edinmek için bir veya iki gün boyunca tümleştirmeyi etkinleştirebilirsiniz. Bütçeniz geçici artışa izin veriyorsa bu seçeneği kullanın.

Günlük tümleştirmesini etkinleştirmek için Etkinlik günlüklerini Azure İzleyici günlükleriyle tümleştirme makalesindeki adımları izleyin. Mümkünse, denemek istediğiniz günlükler ve uç nokta için yeni bir kaynak grubu oluşturun. Ayrılmış bir kaynak grubuna sahip olmak, maliyet analizini görüntülemeyi ve işiniz bittiğinde silmeyi kolaylaştırır.

Tümleştirme etkinleştirildiğinde Azure portal>Maliyet Yönetimi>Maliyet analizi'ne gidin. Maliyetleri analiz etmenin çeşitli yolları vardır. Bu Maliyet Yönetimi hızlı başlangıcı , kullanmaya başlamanıza yardımcı olacaktır. Aşağıdaki ekran görüntüsündeki şekiller örnek amaçlarla kullanılır ve gerçek tutarları yansıtmak üzere tasarlanmamıştır.

Kapsam olarak yeni kaynak grubunuzu kullandığınızdan emin olun. Günlük tümleştirmenizin maliyeti hakkında fikir edinmek için günlük maliyetleri ve tahminleri keşfedin.

Tahmini maliyetleri hesaplama

Azure fiyatlandırma hesaplayıcısı giriş sayfasından çeşitli ürünlerin maliyetlerini tahmin edebilirsiniz.

• Azure İzleyici
• Azure depolama alanı
• Azure Event Hubs
• Microsoft Sentinel

Bir uç noktaya gönderilecek GB/gün tahmininiz olduğunda, Bu değeri Azure fiyatlandırma hesaplayıcısına girin. Aşağıdaki ekran görüntüsündeki şekiller örnek amaçlarla kullanılır ve gerçek fiyatları yansıtmak üzere tasarlanmamıştır.

Sonraki adımlar

• Depolama hesabı oluşturma
• Etkinlik günlüklerini depolama hesabında arşivleme
• Etkinlik günlüklerini olay hub'ına yönlendirme
• Etkinlik günlüklerini Azure İzleyici ile tümleştirme