Microsoft Entra 活動記錄整合

  • 發行項

您可以使用 Microsoft Entra ID 中的診斷設定 ,將活動記錄路由傳送至數個端點,以取得長期資料保留和深入解析。 您可以封存儲存體的記錄、路由至安全性資訊和事件管理 (SIEM) 工具,以及整合記錄與 Azure 監視器記錄。

透過這些整合,您可以針對連線的資料啟用豐富的視覺效果、監視和警示。 本文說明每個整合類型或存取方法的建議用法。 也會涵蓋將 Microsoft Entra 活動記錄傳送至各種端點的成本考慮。

支援的報表

下列記錄可以與其中一個端點整合:

  • 核記錄活動報告 可讓您存取租使用者中執行之每項工作的歷程記錄。
  • 透過登入活動報告 ,您可以看到使用者何時嘗試登入您的應用程式,或針對登入錯誤進行疑難排解。
  • 透過布 建記錄 ,您可以監視已在所有協力廠商應用程式中建立、更新和刪除的使用者。
  • 風險的使用者記錄 可協助您監視使用者風險層級和補救活動的變更。
  • 透過風險偵測記錄 ,您可以監視使用者的風險偵測,並分析組織中偵測到的風險活動趨勢。

整合選項

若要協助選擇正確的方法來整合 Microsoft Entra 活動記錄以進行儲存體或分析,請考慮您嘗試完成的整體工作。 我們已將選項分組為三個主要類別:

  • 疑難排解
  • 長期儲存體
  • 分析和監視

疑難排解

如果您正在執行疑難排解工作,但不需要保留記錄超過 30 天,建議您使用 Azure 入口網站 或 Microsoft Graph 來存取活動記錄。 您可以篩選案例的記錄,並視需要匯出或下載記錄。

如果您正在執行疑難排解工作 ,而且 需要保留記錄超過 30 天,請查看長期儲存體選項。

長期儲存體

如果您正在執行疑難排解工作 ,且 需要保留記錄超過 30 天,您可以將記錄匯出至 Azure 儲存體帳戶。 這個選項很適合您不打算經常查詢該資料。

如果您需要查詢您保留超過 30 天的資料,請查看分析和監視選項。

分析和監視

如果您的案例需要您保留超過 30 天 的資料,並 計畫定期查詢該資料,您有幾個選項可將資料與 SIEM 工具整合,以進行分析和監視。

如果您有協力廠商 SIEM 工具,建議您設定事件中樞命名空間和事件中樞,以便串流資料。 透過事件中樞,您可以將記錄串流至其中一個支援的 SIEM 工具。

如果您不打算使用協力廠商 SIEM 工具,建議您將 Microsoft Entra 活動記錄傳送至 Azure 監視器記錄。 透過這項整合,您可以使用 Log Analytics 查詢活動記錄。 除了 Azure 監視器記錄之外,Microsoft Sentinel 還提供近乎即時的安全性偵測和威脅搜捕。 如果您稍後決定要與 SIEM 工具整合,您可以透過事件中樞串流您的 Microsoft Entra 活動記錄和其他 Azure 資料。

成本考量

將資料傳送至 Log Analytics 工作區、在儲存體帳戶中封存資料,或將記錄串流至事件中樞的成本。 資料量和產生的成本可能會根據租使用者大小、使用中的原則數目,甚至是一天中的時間而有所不同。

由於將記錄傳送至端點的大小和成本難以預測,因此判斷預期成本的最精確方式是將記錄路由傳送至一天或兩天的端點。 使用此快照集,您可以取得預期成本的準確預測。 您也可以下載記錄範例並據以取得一天的估計值,以取得成本的估計值。

下列 Azure 監視器成本詳細資料文章涵蓋將 Microsoft Entra 記錄傳送至 Azure 監視器記錄的其他考慮:

Azure 監視器提供從 Microsoft Entra ID 擷取記錄時排除整個事件、欄位或部分欄位的選項。 深入瞭解 Azure 監視器 中資料收集轉換中的 這項節省成本功能。

預估成本

若要估計貴組織的成本,您可以預估每日記錄大小或整合記錄與端點的每日成本。

下列因素可能會影響貴組織的成本:

  • 稽核記錄事件大約使用 2 KB 的資料儲存體
  • 平均 11.5 KB 的資料儲存體使用登入記錄事件
  • 大約 100,000 位使用者的租使用者每天可能會產生約 150 萬個事件
  • 事件會批次處理為大約 5 分鐘的間隔,並以單一訊息傳送,其中包含該時間範圍內的所有事件

每日記錄大小

若要估計每日記錄大小,請收集記錄範例、調整範例以反映您的租使用者大小和設定,然後將該範例套用至 Azure 定價計算機

如果您之前尚未從 Microsoft Entra 系統管理中心下載記錄,請檢閱 如何在 Microsoft Entra ID 中下載記錄一文。 視組織的大小而定,您可能需要選擇不同的樣本大小來開始估計。 下列範例大小是很好的起點:

  • 1000 筆記錄
  • 對於大型租使用者,15 分鐘的登入
  • 針對中小型租使用者,1 小時的登入

當您擷取資料範例時,您也應該考慮使用者的地理分佈和尖峰時間。 如果您的組織以一個區域為基礎,則登入可能會在同一時間達到頂峰。 調整您的樣本大小,並據以擷取樣本時。

擷取資料範例時,相乘以找出一天檔案的大小。

估計每日成本

若要瞭解記錄整合對組織的成本,您可以啟用一或兩天的整合。 如果您的預算允許暫時增加,請使用此選項。

若要啟用記錄整合,請遵循整合活動記錄與 Azure 監視器記錄 一文中的 步驟。 可能的話,請為您想要試用的記錄和端點建立新的資源群組。擁有專用的資源群組可讓您輕鬆地檢視成本分析,然後在完成時加以刪除。

啟用整合後,流覽至 [Azure 入口網站 > 成本管理 > 成本分析]。 有數種方式可以分析成本。 本 成本管理快速入門 應該可協助您開始使用。 下列螢幕擷取畫面中的數位用於範例用途,並不適合反映實際金額。

Screenshot of a cost analysis breakdown as a pie chart.

請確定您是使用新的資源群組作為範圍。 探索每日成本和預測,以瞭解記錄整合的成本。

計算預估成本

從 Azure 定價計算機 登陸頁面,您可以預估各種產品的成本。

當您有將傳送至端點的 GB/天估計值之後,請在 Azure 定價計算機 輸入該值。 下列螢幕擷取畫面中的數位用於範例用途,並不適合反映實際價格。

Screenshot of the Azure pricing calculator, with 8 GB/Day used as an example.

下一步