Microsoft Entra アクティビティ ログ統合オプションとは
Microsoft Entra ID の診断設定を使って、長期のデータ保持と分析情報のために、アクティビティ ログを複数のエンドポイントにルーティングできます。 ストレージのログをアーカイブし、セキュリティ情報イベント管理 (SIEM) ツールにルーティングし、ログを Azure Monitor ログと統合できます。
これらの統合を使用すると、接続データに対する高度な視覚化、監視、およびアラートを有効化できます。 この記事では、統合の種類やアクセス方法ごとに推奨される使用について説明します。 Microsoft Entra アクティビティ ログをさまざまなエンドポイントに送信するためのコストに関する考慮事項についても説明します。
サポートされるレポート
次のログは、多くのエンドポイントのいずれかと統合できます。
- テナント内で実行されたすべてのタスクの履歴は、監査ログ アクティビティ レポートで把握できます。
- サインイン アクティビティ レポートを使用すると、ユーザーがアプリケーションへのサインインを試みた場合や、サインイン エラーのトラブルシューティングを行おうとした場合に確認できます。
- プロビジョニング ログを使用すると、Mirosoft 以外のすべてのアプリケーションで、どのユーザーが作成、更新、削除されたかを監視できます。
- 危険なユーザー ログは、ユーザーのリスク レベルの変化と修復アクティビティを監視するのに役立ちます。
- リスク検出ログを使って、ユーザーのリスク検出を監視し、組織で検出されたリスク アクティビティの傾向を分析できます。
統合オプション
ストレージまたは分析のために Microsoft Entra アクティビティ ログを統合するための適切な方法を選択するには、実行しようとしている全体的なタスクについて検討してください。 オプションを 3 つのメイン カテゴリにグループ化します。
- トラブルシューティング
- 長期ストレージ
- 分析と監視
基本的なトラブルシューティング
基本的なトラブルシューティング タスクを実行していても、ログを 30 日以上保持する必要がない場合は、Microsoft Entra 管理センターまたは Microsoft Graph API を使用してアクティビティ ログにアクセスすることをお勧めします。 シナリオのログをフィルター処理し、必要に応じてエクスポートまたはダウンロードできます。
トラブルシューティング タスクを実行して、ログを 30 日以上保持する必要がある場合は、長期的なストレージ オプションを確認してください。
長期ストレージ
トラブルシューティング タスクを実行して、ログを 30 日以上保持する必要がある場合は、Azure ストレージ アカウントにログをエクスポートします。 このオプションは、そのデータのクエリを頻繁に行う予定がない場合に最適です。
30 日を超えて保持しているデータにクエリを実行する必要がある場合は、分析と監視のオプションを確認してください。
分析と監視
シナリオでデータを 30 日以上保持する必要があり、さらにそのデータの定期的なクエリを計画している場合は、分析と監視のためにデータを SIEM ツールと統合するためのオプションがいくつかあります。
Microsoft 以外の SIEM ツールがある場合は、データをストリーミングできる Event Hubs 名前空間とイベント ハブを設定することをお勧めします。 イベント ハブを使用すると、サポートされている SIEM ツールのいずれかにログをストリーミングできます。
サードパーティの SIEM ツールを使用する予定がない場合は、Microsoft Entra アクティビティ ログを Azure Monitor ログに送信することをお勧めします。 この統合により、Log Analytics ワークスペースでアクティビティ ログに対してクエリを実行できます。 Azure Monitor ログに加えて、Microsoft Sentinel には、凖リアルタイムのセキュリティ検出と脅威ハンティングが用意されています。 後で SIEM ツールと統合する場合は、イベント ハブを介して Microsoft Entra アクティビティ ログを他の Azure データと共にストリーミングできます。
コストに関する考慮事項
Log Analytics ワークスペースにデータを送信したり、ストレージ アカウント内のデータをアーカイブしたり、ログをイベント ハブにストリーミングしたりするにはコストがかかります。 データの量と発生するコストは、テナントのサイズ、使用中のポリシーの数、また時刻によっても大きく異なる場合があります。 既存の診断設定を変更すると、新たな料金が発生する場合があります。
エンドポイントにログを送信するためのサイズとコストは予測が困難であるため、予想されるコストを判断する最も正確な方法は、ログを 1 日または 2 日エンドポイントにルーティングすることです。 このスナップショットを使用すると、予想されるコストを正確に予測できます。 また、ログのサンプルをダウンロードし、それに応じて乗算して 1 日分の見積もりを取得することで、コストの見積もりを取得することもできます。
Microsoft Entra ログを Azure Monitor ログに送信する際のその他の考慮事項については、次の Azure Monitor コストの詳細に関する記事を参照してください。
Azure Monitor には、Microsoft Entra ID からログを取り込むときに、イベント全体、フィールド、またはフィールドの一部を除外するオプションが用意されています。 このコスト削減機能の詳細については、「Azure Monitor でのデータ収集の変換」を参照してください。
コストを見積もる
組織のコストを見積もるには、ログをエンドポイントと統合するための 1 日あたりのログ サイズまたは 1 日あたりのコストを見積もることができます。
次の要因が、組織のコストに影響する可能性があります。
- 監査ログ イベントでは、約 2 KB のデータ ストレージが使用されます
- サインイン ログ イベントでは、平均 11.5 KB のデータ ストレージが使用されます
- 約 100,000 人のユーザーのテナントでは、1 日あたり約 150 万件のイベントが発生する可能性があります
- イベントは約 5 分間隔でバッチ処理され、その概算時間内のすべてのイベントが含まれる単一のメッセージとして送信されます
1 日のログ サイズ
1 日のログ サイズを見積もるには、ログのサンプルを収集し、テナントのサイズと設定を反映するようにサンプルを調整してから、そのサンプルを Azure 料金計算ツールに適用します。
Microsoft Entra 管理センターからログをダウンロードしていない場合は、「Microsoft Entra ID でログをダウンロードする方法」の記事を参照してください。 組織のサイズによっては、見積もりを開始するために別のサンプル サイズを選択する必要がある場合があります。 次のサンプル サイズが開始するのに適しています。
- 1,000 レコード
- 大規模テナントの場合、15 分のサインイン
- 小規模から中規模のテナントの場合、1 時間のサインイン
また、データ サンプルをキャプチャする場合に、ユーザーの地理的分布とピーク時間も考慮する必要があります。 組織が 1 つのリージョンをベースにしている場合は、サインインがほぼ同時にピークになる可能性があります。 サンプルのサイズと、それに応じてサンプルをキャプチャするタイミングを調整します。
データ サンプルをキャプチャしたら、それに応じて乗算して、1 日あたりのファイルの大きさを確認します。
1 日あたりのコストを見積もる
組織のログ統合にかかるコストを把握するために、1 日または 2 日の統合を有効にできます。 一時的に予算を増加できる場合は、このオプションを使用します。
ログ統合を有効にするには、「アクティビティ ログと Azure Monitor ログの統合」に関する記事の手順に従ってください。 可能であれば、試すログとエンドポイントの新しいリソース グループを作成します。専用のリソース グループがある場合は、コスト分析を簡単に表示し、完了後に削除できます。
統合を有効にした状態で、[Azure portal]>[コスト管理]>[コスト分析] の順に移動します。 コストの分析にはいくつかの方法があります。 このコスト管理クイック スタートは、作業の開始に役立ちます。 次のスクリーンショットの図は、例として使用されており、実際の金額を反映するものではありません。
スコープとして新しいリソース グループを使用していることを確認します。 毎日のコストと予測を調べて、ログ統合にかかるコストを把握します。
見積原価を計算する
Azure 料金計算ツールのランディング ページから、さまざまな製品のコストを見積もることができます。
エンドポイントに送信される 1 日当たりの GB の見積もりを取得したら、Azure 料金計算ツールにその値を入力します。 次のスクリーンショットの図は、例として使用されており、実際の価格を反映するものではありません。