Microsoft Entra-aktivitetsloggintegreringar
Med diagnostikinställningar i Microsoft Entra-ID kan du dirigera aktivitetsloggar till flera slutpunkter för långsiktig datakvarhållning och insikter. Du kan arkivera loggar för lagring, dirigera till SIEM-verktyg (Security Information and Event Management) och integrera loggar med Azure Monitor-loggar.
Med dessa integreringar kan du aktivera omfattande visualiseringar, övervakning och aviseringar för anslutna data. I den här artikeln beskrivs de rekommenderade användningsområdena för varje integrationstyp eller åtkomstmetod. Kostnadsöverväganden för att skicka Microsoft Entra-aktivitetsloggar till olika slutpunkter omfattas också.
Rapporter som stöds
Följande loggar kan integreras med en av många slutpunkter:
- Aktivitetsrapporten för granskningsloggar ger dig åtkomst till historiken för varje uppgift som utförs i din klientorganisation.
- Med rapporten för inloggningsaktivitet kan du se när användare försöker logga in på dina program eller felsöka inloggningsfel.
- Med etableringsloggarna kan du övervaka vilka användare som har skapats, uppdaterats och tagits bort i alla dina program från tredje part.
- Loggarna för riskfyllda användare hjälper dig att övervaka ändringar i användarrisknivån och reparationsaktiviteten.
- Med loggarna för riskidentifiering kan du övervaka användarens riskidentifieringar och analysera trender i riskaktivitet som identifierats i din organisation.
Integreringsalternativ
Tänk på den övergripande uppgift du försöker utföra för att välja rätt metod för att integrera Microsoft Entra-aktivitetsloggar för lagring eller analys. Vi har grupperat alternativen i tre huvudkategorier:
- Felsökning
- Långtidsförvaring
- Analys och övervakning
Felsökning
Om du utför felsökningsuppgifter men inte behöver behålla loggarna på mer än 30 dagar rekommenderar vi att du använder Azure-portalen eller Microsoft Graph för att komma åt aktivitetsloggar. Du kan filtrera loggarna för ditt scenario och exportera eller ladda ned dem efter behov.
Om du utför felsökningsuppgifter och behöver behålla loggarna i mer än 30 dagar kan du ta en titt på de långsiktiga lagringsalternativen.
Långtidsförvaring
Om du utför felsökningsuppgifter och behöver behålla loggarna i mer än 30 dagar kan du exportera loggarna till ett Azure-lagringskonto. Det här alternativet är perfekt om du inte planerar att köra frågor mot dessa data ofta.
Om du behöver köra frågor mot de data som du behåller i mer än 30 dagar kan du ta en titt på analys- och övervakningsalternativen.
Analys och övervakning
Om ditt scenario kräver att du behåller data i mer än 30 dagar och du planerar att köra frågor mot dessa data regelbundet, har du några alternativ för att integrera dina data med SIEM-verktyg för analys och övervakning.
Om du har ett SIEM-verktyg från tredje part rekommenderar vi att du konfigurerar ett Event Hubs-namnområde och en händelsehubb som du kan strömma dina data genom. Med en händelsehubb kan du strömma loggar till något av de SIEM-verktyg som stöds.
Om du inte planerar att använda ett SIEM-verktyg från tredje part rekommenderar vi att du skickar dina Microsoft Entra-aktivitetsloggar till Azure Monitor-loggar. Med den här integreringen kan du köra frågor mot dina aktivitetsloggar med Log Analytics. Förutom Azure Monitor-loggar tillhandahåller Microsoft Sentinel nästan säkerhetsidentifiering i realtid och hotjakt. Om du bestämmer dig för att integrera med SIEM-verktyg senare kan du strömma dina Microsoft Entra-aktivitetsloggar tillsammans med dina andra Azure-data via en händelsehubb.
Kostnadsöverväganden
Det finns en kostnad för att skicka data till en Log Analytics-arbetsyta, arkivera data i ett lagringskonto eller strömma loggar till en händelsehubb. Mängden data och kostnaden som uppstår kan variera avsevärt beroende på klientorganisationens storlek, antalet principer som används och till och med tiden på dagen.
Eftersom storleken och kostnaden för att skicka loggar till en slutpunkt är svårt att förutsäga, är det mest exakta sättet att fastställa dina förväntade kostnader att dirigera loggarna till en slutpunkt för dag eller två. Med den här ögonblicksbilden kan du få en korrekt förutsägelse för dina förväntade kostnader. Du kan också få en uppskattning av dina kostnader genom att ladda ned ett exempel på dina loggar och multiplicera därefter för att få en uppskattning för en dag.
Andra överväganden för att skicka Microsoft Entra-loggar till Azure Monitor-loggar beskrivs i följande artiklar om Azure Monitor-kostnadsinformation:
- Kostnadsberäkningar och alternativ för Azure Monitor-loggar
- Kostnader och användning för Azure Monitor
- Optimera kostnader i Azure Monitor
Med Azure Monitor kan du exkludera hela händelser, fält eller delar av fält vid inmatning av loggar från Microsoft Entra-ID. Läs mer om den här kostnadsbesparande funktionen i datainsamlingstransformering i Azure Monitor.
Beräkna dina kostnader
Om du vill beräkna kostnaderna för din organisation kan du beräkna antingen den dagliga loggstorleken eller den dagliga kostnaden för att integrera loggarna med en slutpunkt.
Följande faktorer kan påverka kostnaderna för din organisation:
- Granskningslogghändelser använder cirka 2 KB datalagring
- Inloggningslogghändelser används i genomsnitt 11,5 KB datalagring
- En klientorganisation med cirka 100 000 användare kan medföra cirka 1,5 miljoner händelser per dag
- Händelser batchas i cirka 5 minuters intervall och skickas som ett enda meddelande som innehåller alla händelser inom den tidsramen
Daglig loggstorlek
Om du vill beräkna den dagliga loggstorleken samlar du in ett exempel på dina loggar, justerar exemplet så att det återspeglar klientorganisationens storlek och inställningar och tillämpar sedan exemplet på Priskalkylatorn för Azure.
Om du inte har laddat ned loggar från administrationscentret för Microsoft Entra tidigare läser du artikeln Så här laddar du ned loggar i Microsoft Entra-ID . Beroende på organisationens storlek kan du behöva välja en annan exempelstorlek för att starta uppskattningen. Följande exempelstorlekar är ett bra ställe att börja på:
- 1 000 poster
- För stora klienter är inloggningar på 15 minuter
- För små till medelstora klienter, 1 timmes inloggningar
Du bör också ta hänsyn till användarnas geografiska fördelning och tider med hög belastning när du samlar in dataexemplet. Om din organisation är baserad i en region är det troligt att inloggningarna når sin topp ungefär samtidigt. Justera exempelstorleken och när du avbildar exemplet i enlighet med detta.
Med dataexemplet insamlat multiplicerar du därefter för att ta reda på hur stor filen skulle vara för en dag.
Beräkna den dagliga kostnaden
För att få en uppfattning om hur mycket en loggintegrering kan kosta för din organisation kan du aktivera en integrering för en dag eller två. Använd det här alternativet om din budget tillåter den tillfälliga ökningen.
Om du vill aktivera en loggintegrering följer du stegen i artikeln Integrera aktivitetsloggar med Azure Monitor-loggar . Om möjligt skapar du en ny resursgrupp för loggarna och slutpunkten som du vill testa. Med en dedikerad resursgrupp är det enkelt att visa kostnadsanalysen och sedan ta bort den när du är klar.
När integreringen är aktiverad går du till Kostnadsanalys> i Azure-portalen.> Det finns flera sätt att analysera kostnader. Den här Cost Management-snabbstarten bör hjälpa dig att komma igång. Siffrorna i följande skärmbild används i exempelsyfte och är inte avsedda att återspegla faktiska belopp.
Kontrollera att du använder den nya resursgruppen som omfång. Utforska de dagliga kostnaderna och prognoserna för att få en uppfattning om hur mycket din loggintegrering kan kosta.
Beräkna uppskattade kostnader
Från landningssidan för Azure-priskalkylatorn kan du beräkna kostnaderna för olika produkter.
När du har en uppskattning för gb/dag som ska skickas till en slutpunkt anger du det värdet i Priskalkylatorn för Azure. Siffrorna i följande skärmbild används för exempeländamål och är inte avsedda att återspegla faktiska priser.