Was sind die Integrationsoptionen für Microsoft Entra-Aktivitätsprotokolle?

Mithilfe von Diagnoseeinstellungen in Microsoft Entra ID können Sie Aktivitätsprotokolle zur langfristigen Aufbewahrung und Gewinnung von Erkenntnissen an mehrere Endpunkte weiterleiten. Sie können Protokolle archivieren, um sie zu speichern, Protokolle an SIEM-Tools (Security Information and Event Management) weiterleiten und Protokolle in Azure Monitor-Protokolle integrieren.

Diese Integrationen ermöglichen umfangreiche Visualisierungen sowie Überwachung und Benachrichtigungen für die verbundenen Daten. In diesem Artikel werden die empfohlenen Verwendungen für die einzelnen Integrationstypen oder Zugriffsmethoden beschrieben. Auch Kostenaspekte im Zusammenhang mit dem Senden von Microsoft Entra-Aktivitätsprotokollen an verschiedene Endpunkte werden behandelt.

Unterstützte Berichte

Die folgenden Protokolle können in einen von vielen Endpunkten integriert werden:

  • Mit dem Aktivitätsbericht zu Überwachungsprotokollen erhalten Sie Zugriff auf den Verlauf aller Aufgaben, die in Ihrem Mandanten durchgeführt werden.
  • Der Bericht zu Anmeldeaktivitäten gibt Aufschluss darüber, wann Benutzer*innen versuchen, sich bei Ihren Anwendungen anzumelden, und kann zur Behebung von Anmeldefehler genutzt werden.
  • Mithilfe von Bereitstellungsprotokollen können Sie überwachen, welche Benutzer*innen in allen Ihren Nicht-Microsoft-Anwendungen aktualisiert oder gelöscht wurden.
  • Protokolle zu Risikobenutzer*innen helfen Ihnen dabei, Änderungen an der Risikostufe von Benutzer*innen zu überwachen und Korrekturmaßnahmen zu ergreifen.
  • Mit Protokollen zur Risikoerkennung können Sie Risikoerkennungen benutzerbezogen überwachen und Trends der in Ihrer Organisation erkannten Risikoaktivität analysieren.

Integrationsoptionen

Denken Sie bei der Wahl der richtigen Methode zur Integration von Microsoft Entra-Aktivitätsprotokollen für die Speicherung oder Analyse an die Gesamtaufgabe, die Sie ausführen möchten. Die Optionen sind in drei Hauptkategorien unterteilt:

  • Problembehandlung
  • Langfristige Speicherung
  • Analyse und Überwachung

Grundlegendes zur Problembehandlung

Wenn Sie grundlegende Problembehandlungsaufgaben ausführen, aber die Protokolle nicht länger als 30 Tage aufbewahren müssen, empfehlen wir die Verwendung des Microsoft Entra Admin Center oder die Verwendung von Microsoft Graph-APIs, um auf die Aktivitätsprotokolle zuzugreifen. Sie können die Protokolle nach Ihrem Szenario filtern und nach Bedarf exportieren oder herunterladen.

Wenn Sie Problembehandlungsaufgaben ausführen und die Protokolle länger als 30 Tage aufbewahren müssen, sehen Sie sich die langfristigen Speicheroptionen an.

Langfristige Speicherung

Wenn Sie Problembehandlungsaufgaben ausführen und die Protokolle länger als 30 Tage aufbewahren müssen, sollten Sie Ihre Protokolle in ein Azure-Speicherkonto exportieren. Diese Option ist ideal, wenn die Daten nur selten abgefragt werden müssen.

Falls Sie die Daten, die Sie länger als 30 Tage aufbewahren, abfragen müssen, sehen Sie sich die Analyse- und Überwachungsoptionen an.

Analyse und Überwachung

Wenn Sie in Ihrem Szenario Daten für mehr als 30 Tage aufbewahren und diese Daten regelmäßig abfragen müssen, haben Sie verschiedene Optionen, um Ihre Daten zur Analyse und Überwachung in SIEM-Tools zu integrieren.

Wenn Sie über ein SIEM-Tool eines Nicht-Microsoft-Anbieters verfügen, wird empfohlen, einen Event Hubs-Namespace und einen Event Hub einzurichten, über den Sie Ihre Daten streamen können. Mit einem Event Hub können Sie Protokolle an eines der unterstützten SIEM-Tools streamen.

Wenn Sie kein SIEM-Tool eines Drittanbieters verwenden möchten, empfehlen wir Ihnen, Ihre Microsoft Entra-Aktivitätsprotokolle an Azure Monitor-Protokolle zu senden. Bei dieser Integration können Sie Ihre Aktivitätsprotokolle in einem Log Analytics-Arbeitsbereich abfragen. Zusätzlich zu Azure Monitor-Protokollen bietet Microsoft Sentinel Sicherheitserkennung und Bedrohungssuche in Quasi-Echtzeit. Wenn Sie sich später für die Integration in SIEM-Tools entscheiden, können Sie Ihre Microsoft Entra-Aktivitätsprotokolle zusammen mit Ihren anderen Azure-Daten über einen Event Hub streamen.

Kostenaspekte

Für das Senden von Daten an einen Log Analytics-Arbeitsbereich, das Archivieren von Daten in einem Speicherkonto oder das Streamen von Protokollen an einen Event Hub fallen Gebühren an. Die Datenmenge und die anfallenden Kosten können abhängig von der Mandantengröße, von der Anzahl verwendeter Richtlinien und sogar abhängig von der Tageszeit erheblich variieren. Das Ändern einer vorhandenen Diagnoseeinstellung kann neue Gebühren verursachen.

Da Größe und Kosten für das Senden von Protokollen an einen Endpunkt schwer vorherzusagen sind, besteht die genaueste Möglichkeit zum Ermitteln der erwarteten Kosten darin, Ihre Protokolle für ein bis zwei Tage an einen Endpunkt weiterzuleiten. Diese Momentaufnahme ermöglicht eine genaue Vorhersage Ihrer erwarteten Kosten. Zur Schätzung Ihrer Kosten für einen einzelnen Tag können Sie auch eine Stichprobe Ihrer Protokolle herunterladen und entsprechend multiplizieren.

Weitere Überlegungen im Zusammenhang mit dem Senden von Microsoft Entra-Protokollen an Azure Monitor-Protokolle werden in den folgenden Detailartikeln zu Azure Monitor-Kosten behandelt:

Azure Monitor bietet die Möglichkeit, ganze Ereignisse, Felder oder Teile von Feldern auszuschließen, wenn Protokolle aus Microsoft Entra ID erfasst werden. Weitere Informationen zu dieser Kosteneinsparungsfunktion finden Sie unter Transformation der Datensammlung in Azure Monitor.

Schätzen Ihrer Kosten

Um die Kosten für Ihre Organisation zu schätzen, können Sie entweder die tägliche Protokollgröße oder die täglichen Kosten für die Integration Ihrer Protokolle in einen Endpunkt schätzen.

Folgende Faktoren können sich auf die Kosten für Ihre Organisation auswirken:

  • Überwachungsprotokollereignisse beanspruchen ca. 2 KB Datenspeicher
  • Anmeldeprotokollereignisse beanspruchen durchschnittlich 11,5 KB Datenspeicher
  • Bei einem Mandanten mit etwa 100.000 Benutzer*innen können pro Tag etwa 1,5 Millionen Ereignisse anfallen
  • Ereignisse werden zu Batch-Intervallen mit einer Länge von ca. fünf Minuten zusammengefasst und als einzelne Nachricht gesendet, die alle Ereignisse innerhalb dieses Zeitraums enthält

Tägliche Protokollgröße

Um die tägliche Protokollgröße zu schätzen, ziehen Sie eine Stichprobe Ihrer Protokolle heran, passen Sie die Stichprobe an die Größe und Einstellungen Ihres Mandanten an und verwenden diese Stichprobe dann im Azure-Preisrechner.

Wenn Sie noch nie Protokolle aus dem Microsoft Entra Admin Center heruntergeladen haben, lesen Sie den Artikel Herunterladen von Protokollen in Microsoft Entra ID. Je nach Größe Ihrer Organisation müssen Sie möglicherweise eine andere Stichprobengröße für Ihre erste Schätzung wählen. Folgende Stichprobengrößen sind ein guter Ausgangspunkt:

  • 1.000 Datensätze
  • Bei großen Mandanten: Anmeldungen aus einem Zeitraum von 15 Minuten
  • Bei kleinen bis mittelgroßen Mandanten: Anmeldungen aus einem Zeitraum von einer Stunde

Berücksichtigen Sie bei der Erstellung Ihrer Stichprobendaten auch die geografische Verteilung und die Spitzenzeiten Ihrer Benutzer*innen. Wenn sich Ihre Organisation in einer einzelnen Region befindet, ist die Spitzenzeit für Anmeldungen wahrscheinlich ungefähr zur gleichen Zeit. Passen Sie die Stichprobengröße und den Zeitpunkt der Stichprobenerfassung entsprechend an.

Multiplizieren Sie die erfassten Stichprobendaten entsprechend, um die Größe der Datei für einen einzelnen Tag zu ermitteln.

Schätzen der täglichen Kosten

Um eine Vorstellung davon zu bekommen, wie viel eine Protokollintegration für Ihre Organisation voraussichtlich kostet, können Sie eine Integration für ein bis zwei Tage aktivieren. Verwenden Sie diese Option, wenn Ihr Budget vorübergehend erhöht werden kann.

Die Schritte zum Aktivieren einer Protokollintegration sind im Artikel Integrieren von Aktivitätsprotokollen in Azure Monitor-Protokolle beschrieben. Erstellen Sie nach Möglichkeit eine neue Ressourcengruppe für die Protokolle und den Endpunkt, die Sie ausprobieren möchten. Wenn Sie eine dedizierte Ressourcengruppe haben, können Sie sich ganz einfach die Kostenanalyse ansehen und die Ressourcengruppe wieder löschen, wenn Sie sie nicht mehr benötigen.

Navigieren Sie nach dem Aktivieren der Integration zu Azure-Portal>Kostenmanagement>Kostenanalyse. Kosten können auf verschiedene Arten analysiert werden. Informationen zu den ersten Schritten finden Sie in dieser Schnellstartanleitung zur Verwendung der Kostenanalyse. Die Werte im folgenden Screenshot sind Beispielwerte und spiegeln nicht die tatsächlichen Beträge wider.

Screenshot: Aufschlüsselung einer Kostenanalyse in Form eines Kreisdiagramms.

Achten Sie darauf, Ihre neue Ressourcengruppe als Bereich zu verwenden. Untersuchen Sie die täglichen Kosten und Prognosen, um eine Vorstellung davon zu bekommen, wie viel Ihre Protokollintegration voraussichtlich kostet.

Berechnen der geschätzten Kosten

Der Azure-Preisrechners ermöglicht die Schätzung der Kosten für verschiedene Produkte.

Geben Sie den ungefähren Wert der GB pro Tag, die an einen Endpunkt gesendet werden, in den Azure-Preisrechner ein. Die Werte im folgenden Screenshot sind Beispielwerte und spiegeln nicht die tatsächlichen Preise wider.

Screenshot: Azure-Preisrechner mit verwendeten 8 GB pro Tag als Beispiel.