Каковы параметры интеграции журнала действий Microsoft Entra?
С помощью параметров диагностики в идентификаторе Microsoft Entra можно направлять журналы действий в несколько конечных точек для долгосрочного хранения и аналитики данных. Журналы можно архивировать для хранения, маршрутизации в средства управления сведениями и событиями безопасности (SIEM) и интегрировать журналы с журналами Azure Monitor.
С помощью этих интеграций можно включить широкие возможности визуализаций, мониторинга и оповещений о подключенных данных. В этой статье описывается рекомендуемое использование для каждого типа интеграции или метода доступа. Рекомендации по отправке журналов действий Microsoft Entra в различные конечные точки также рассматриваются.
Поддерживаемые отчеты
Следующие журналы можно интегрировать с одной из многих конечных точек:
- Отчет о действиях журналов аудита предоставляет доступ к журналу каждой задачи, выполняемой в клиенте.
- В отчете о действиях входа можно увидеть, когда пользователи пытаются войти в приложения или устранять ошибки входа.
- С помощью журналов подготовки можно отслеживать, какие пользователи были, обновлены и удалены во всех приложениях, отличных от Mirosoft.
- Журналы рискованных пользователей помогают отслеживать изменения уровня риска пользователей и действия по исправлению.
- С помощью журналов обнаружения рисков вы можете отслеживать обнаружения рисков пользователей и анализировать тенденции в действиях риска, обнаруженных в вашей организации.
Параметры интеграции
Чтобы помочь выбрать правильный метод интеграции журналов действий Microsoft Entra для хранения или анализа, подумайте о общей задаче, которую вы пытаетесь выполнить. Параметры группируются в три основные категории:
- Устранение неполадок
- Долгосрочное хранение
- Анализ и мониторинг
Базовое устранение неполадок
Если вы выполняете основные задачи по устранению неполадок, но вам не нужно хранить журналы в течение более 30 дней, рекомендуется использовать центр администрирования Microsoft Entra или API Microsoft Graph для доступа к журналам действий. Вы можете отфильтровать журналы для вашего сценария и экспортировать или скачать их по мере необходимости.
Если вы выполняете задачи по устранению неполадок и хотите сохранить журналы более 30 дней, ознакомьтесь с вариантами долгосрочного хранения.
Долгосрочное хранение
Если вы выполняете задачи устранения неполадок и хотите сохранить журналы в течение более 30 дней, необходимо экспортировать журналы в учетную запись хранения Azure. Этот вариант идеально подходит для того, чтобы часто запрашивать эти данные.
Если вам нужно запросить данные, которые вы храните более 30 дней, ознакомьтесь с параметрами анализа и мониторинга.
Анализ и мониторинг
Если в вашем сценарии требуется хранить данные более 30 дней , и вы планируете регулярно запрашивать эти данные, у вас есть несколько вариантов интеграции данных с инструментами SIEM для анализа и мониторинга.
Если у вас есть средство SIEM, отличное от Майкрософт, рекомендуется настроить пространство имен Центров событий и концентратор событий, с помощью которых можно передавать данные. С помощью концентратора событий можно передавать журналы в один из поддерживаемых средств SIEM.
Если вы не планируете использовать стороннее средство SIEM, рекомендуется отправлять журналы действий Microsoft Entra в журналы Azure Monitor. С помощью этой интеграции вы можете запросить журналы действий в рабочей области Log Analytics. Помимо журналов Azure Monitor Microsoft Sentinel обеспечивает обнаружение и поиск угроз в режиме реального времени. Если вы решили интегрироваться с инструментами SIEM позже, вы можете передавать журналы действий Microsoft Entra вместе с другими данными Azure через концентратор событий.
Рекомендации по затратам
Существует стоимость отправки данных в рабочую область Log Analytics, архивация данных в учетной записи хранения или потоковой передачи журналов в концентратор событий. Объем данных и затраты могут значительно отличаться в зависимости от размера клиента, количества используемых политик и даже времени суток. Изменение существующего параметра диагностики может привести к новым расходам.
Так как размер и стоимость отправки журналов в конечную точку трудно предсказать, наиболее точный способ определить ожидаемые затраты — направлять журналы в конечную точку в течение дня или двух. С помощью этого моментального снимка можно получить точный прогноз ожидаемых затрат. Вы также можете получить оценку затрат, скачав пример журналов и умножив соответствующим образом, чтобы получить оценку в течение одного дня.
Другие рекомендации по отправке журналов Microsoft Entra в журналы Azure Monitor описаны в следующих статьях о затратах Azure Monitor:
- Вычисления затрат и параметры журналов Azure Monitor
- Затраты и использование Azure Monitor
- Оптимизация затрат в Azure Monitor
Azure Monitor предоставляет возможность исключения целых событий, полей или частей полей при приеме журналов из идентификатора Microsoft Entra. Дополнительные сведения об этой функции экономии затрат в преобразовании сбора данных в Azure Monitor.
Оценка затрат
Чтобы оценить затраты для вашей организации, можно оценить размер ежедневного журнала или ежедневные затраты на интеграцию журналов с конечной точкой.
Следующие факторы могут повлиять на затраты для вашей организации:
- События журнала аудита используют около 2 КБ хранилища данных
- События журнала входа используются в среднем 11,5 КБ хранилища данных
- Клиент около 100 000 пользователей может вызвать около 1,5 миллиона событий в день
- События пакетируются примерно в 5-минутные интервалы и отправляются в виде одного сообщения, содержащего все события в течение этого интервала времени.
Размер ежедневного журнала
Чтобы оценить размер ежедневного журнала, соберите пример журналов, настройте пример, чтобы отразить размер и параметры клиента, а затем применить этот пример к калькулятору цен Azure.
Если вы еще не скачали журналы из Центра администрирования Microsoft Entra, ознакомьтесь с разделом " Как скачать журналы" в статье "Идентификатор Microsoft Entra ID ". В зависимости от размера организации может потребоваться выбрать другой размер выборки, чтобы начать оценку. Ниже приведены следующие размеры выборок, которые можно начать.
- 1000 записей
- Для крупных клиентов 15 минут входа
- Для небольших и средних клиентов— 1 час входа
При записи примера данных следует также учитывать географическое распределение и пиковые часы пользователей. Если ваша организация основана в одном регионе, скорее всего, это пик входа примерно в то же время. Настройте размер выборки и при записи примера соответствующим образом.
При выборке данных, записанной, умножьте соответствующим образом, чтобы узнать, насколько большой файл будет находиться в течение одного дня.
Оценка ежедневных затрат
Чтобы получить представление о том, сколько может стоить интеграция журналов для вашей организации, можно включить интеграцию в течение дня или двух. Используйте этот параметр, если бюджет разрешает временное увеличение.
Чтобы включить интеграцию журналов, выполните действия, описанные в статье "Интеграция журналов действий с журналами Azure Monitor". По возможности создайте новую группу ресурсов для журналов и конечной точки, которую вы хотите попробовать. Наличие отдельной группы ресурсов упрощает просмотр анализа затрат и его удаление после завершения.
С включенной интеграцией перейдите к анализу затрат портал Azure> Cost Management>. Существует несколько способов анализа затрат. Это краткое руководство по управлению затратами поможет вам приступить к работе. Цифры на следующем снимке экрана используются в примерах и не предназначены для отражения фактических объемов.
Убедитесь, что вы используете новую группу ресурсов в качестве области. Изучите ежедневные затраты и прогнозы, чтобы получить представление о том, сколько может стоить интеграция журналов.
Вычисление предполагаемых затрат
На целевой странице калькулятора цен Azure можно оценить затраты на различные продукты.
После получения оценки для ГБ/дня, который будет отправлен в конечную точку, введите это значение в калькуляторе цен Azure. Цифры на следующем снимке экрана используются в примерах и не предназначены для отражения фактических цен.