Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
С помощью параметров диагностики в идентификаторе Microsoft Entra можно направлять журналы действий в несколько конечных точек для долгосрочного хранения и аналитики данных. Журналы можно архивировать для хранения, маршрутизации в средства управления сведениями и событиями безопасности (SIEM) и интегрировать журналы с журналами Azure Monitor.
С помощью этих интеграций можно включить широкие возможности визуализаций, мониторинга и оповещений о подключенных данных. В этой статье описывается рекомендуемое использование для каждого типа интеграции или метода доступа. Рассматриваются также вопросы стоимости при отправке журналов активности Microsoft Entra в различные конечные точки.
Поддерживаемые отчеты
Следующие журналы можно интегрировать с одной из многих конечных точек:
- Отчет о действиях журналов аудита предоставляет доступ к истории каждой задачи, выполняемой в вашем тенанте.
- В отчете о действиях входа можно увидеть, когда пользователи пытаются войти в приложения или устранять ошибки входа.
- С помощью журналов подготовки можно отслеживать, какие пользователи были обновлены или удалены во всех приложениях, которые не принадлежат Майкрософт.
- Журналы рискованных пользователей помогают отслеживать изменения уровня риска пользователей и действия по исправлению.
- С помощью журналов обнаружения рисков вы можете отслеживать обнаружения рисков пользователей и анализировать тенденции в действиях риска, обнаруженных в вашей организации.
Способы интеграции
Чтобы помочь выбрать правильный метод интеграции журналов действий Microsoft Entra для хранения или анализа, подумайте о общей задаче, которую вы пытаетесь выполнить. Параметры группируются в три основные категории:
- Устранение неполадок
- Долговременное хранение
- Анализ и мониторинг
Базовое устранение неполадок
Если вы выполняете основные задачи по устранению неполадок, но вам не нужно хранить журналы в течение более 30 дней, рекомендуется использовать центр администрирования Microsoft Entra или API Microsoft Graph для доступа к журналам действий. Вы можете отфильтровать журналы для вашего сценария и экспортировать или скачать их по мере необходимости.
Если вы выполняете задачи по устранению неполадок и хотите сохранить журналы более 30 дней, ознакомьтесь с вариантами долгосрочного хранения.
Долговременное хранение
Если вы выполняете задачи устранения неполадок и хотите сохранить журналы в течение более 30 дней, необходимо экспортировать журналы в учетную запись хранения Azure. Этот вариант идеально подходит для того, чтобы не планировать запросы к этим данным часто или хранить журналы в целях соответствия требованиям.
Если вам нужно запросить данные, которые вы храните более 30 дней, ознакомьтесь с параметрами анализа и мониторинга.
Анализ и мониторинг
Если в вашем сценарии требуется хранить данные более 30 дней , и вы планируете регулярно запрашивать эти данные, у вас есть несколько вариантов интеграции данных с инструментами SIEM для анализа и мониторинга.
Если вы используете средство SIEM, отличное от Майкрософт, рекомендуется настроить пространство имен Центров событий и концентратор событий, где можно выполнять потоковую передачу данных. С помощью концентратора событий можно передавать журналы в один из поддерживаемых средств SIEM.
Если вы не планируете использовать стороннее средство SIEM, рекомендуется отправлять журналы действий Microsoft Entra в Azure Monitor Logs. С помощью этой интеграции вы можете запросить журналы действий в рабочей области Log Analytics. После интеграции журналов с Azure Monitor можно выполнять запросы с помощью Log Analytics и настраивать Workbooks для дальнейшего анализа и оповещений. Рекомендуется настроить рабочую область для хранения журналов и другую рабочую область для интеграции с Log Analytics и рабочими книгами.
Помимо журналов Azure Monitor Microsoft Sentinel обеспечивает обнаружение и поиск угроз в режиме реального времени. Если вы решили интегрироваться с инструментами SIEM позже, вы можете передавать журналы действий Microsoft Entra вместе с другими данными Azure через концентратор событий.
Рекомендации по затратам
Есть стоимость за отправку данных в рабочую область Log Analytics, архивирование данных в хранилище и потоковую передачу журналов в концентратор событий. Объем данных и затраты могут значительно отличаться в зависимости от размера клиента, количества используемых политик и даже времени суток. Изменение существующего параметра диагностики может привести к новым расходам.
Так как размер и стоимость отправки журналов в конечную точку трудно предсказать, наиболее точный способ определить ожидаемые затраты — направлять журналы в конечную точку в течение дня или двух. С помощью этого моментального снимка можно получить точный прогноз ожидаемых затрат. Вы также можете получить оценку затрат, скачав пример журналов и умножив соответствующим образом, чтобы получить оценку в течение одного дня.
Другие соображения по отправке журналов Microsoft Entra в журналы Azure Monitor описаны в следующих статьях о подробностях затрат Azure Monitor.
- Расчет стоимости и параметры ведения журнала в Azure Monitor
- Стоимость и использование Azure Monitor
- Оптимизация затрат в Azure Monitor
Azure Monitor предоставляет возможность исключения целых событий, полей или частей полей при приеме журналов из идентификатора Microsoft Entra. Узнайте больше об этой функции экономии затрат в процессе преобразования сбора данных на Azure Monitor.
Оцените свои расходы
Чтобы оценить затраты для вашей организации, можно оценить размер ежедневного журнала или ежедневные затраты на интеграцию журналов с конечной точкой.
Следующие факторы могут повлиять на затраты для вашей организации:
- События журнала аудита используют около 2 КБ хранилища данных
- События журнала входа в среднем требуют 11,5 КБ хранилища данных.
- Арендатор с примерно 100 000 пользователями может обрабатывать около 1,5 миллиона событий в день.
- События пакетируются примерно в 5-минутные интервалы и отправляются в виде одного сообщения, содержащего все события в течение этого интервала времени.
Размер ежедневного журнала
Чтобы оценить размер ежедневного журнала, соберите выборку записей журнала, адаптируйте её, чтобы отразить размер и параметры арендатора, а затем примените эту выборку к калькулятору цен Azure.
Если вы еще не скачали журналы из Центра администрирования Microsoft Entra, ознакомьтесь со статьей Как скачать журналы в Microsoft Entra ID. В зависимости от размера организации может потребоваться выбрать другой размер выборки, чтобы начать оценку. Ниже приведены размеры выборок, от которых можно начать.
- 1 000 записей
- Для крупных арендаторов 15 минут на вход в систему
- Для арендаторов от малого до среднего бизнеса— 1 час регистрации
При записи примера данных следует также учитывать географическое распределение и пиковые часы пользователей. Если ваша организация находится в одном регионе, скорее всего, число входов достигает пика примерно в одно и то же время. Настройте размер выборки и соответствующим образом определите момент её сбора.
После захвата выборки данных умножьте соответствующим образом, чтобы узнать, каким будет размер файла за один день.
Оценка ежедневных затрат
Чтобы получить представление о том, сколько может стоить интеграция журналов для вашей организации, можно включить интеграцию в течение дня или двух. Используйте этот параметр, если бюджет разрешает временное увеличение.
Чтобы включить интеграцию журналов, выполните действия, описанные в статье "Интеграция журналов действий с журналами Azure Monitor". По возможности создайте новую группу ресурсов для журналов и конечной точки, которую вы хотите попробовать. Наличие отдельной группы ресурсов упрощает просмотр анализа затрат и его удаление после завершения.
С включенной интеграцией перейдите к порталу Azure>Управление затратами>Анализ затрат. Существует несколько способов анализа затрат. Это краткое руководство по управлению затратами поможет вам приступить к работе. Цифры на следующем снимке экрана используются в примерах и не предназначены для отражения фактических объемов.
Убедитесь, что вы используете новую группу ресурсов в качестве области охвата. Изучите ежедневные затраты и прогнозы, чтобы получить представление о том, сколько может стоить интеграция журналов.
Вычисление предполагаемых затрат
На целевой странице калькулятора цен Azure можно оценить затраты на различные продукты.
После получения оценки для ГБ/дня, который будет отправлен в конечную точку, введите это значение в калькуляторе цен Azure. Цифры на следующем снимке экрана используются в примерах и не предназначены для отражения фактических цен.
