Пошаговое руководство: Управление журналами аудита Azure Active Directory

Опубликовано: 3 Марта, 2023
Пошаговое руководство: Управление журналами аудита Azure Active Directory

Любой облачный администратор, управляющий Azure, должен быть знаком с Azure Active Directory. Это помогает в гибридной среде, где ваш каталог синхронизируется с облачной средой, и упрощает процесс подготовки пользователей и групп и обеспечения согласованности между средами. Azure Active Directory — это огромная служба с множеством функций, которую можно настроить в соответствии с требованиями вашего предприятия. В сегодняшней статье мы рассмотрим лишь небольшую, но важную часть — журналы аудита Active Directory, где мы можем проверить все действия в любой заданной Azure Active Directory с помощью портала Azure, экспортировать в файл CSV, архивировать в учетной записи хранения., интегрируйте с вашим решением SIEM (Security Information and Event Management).

Используя журналы аудита Active Directory, администратор облачной безопасности может отслеживать все изменения, выполненные в Azure Active Directory, включая изменения пользователей, приложений, групп, проверки подлинности и т. д. Только пользователи, входящие в состав или могут получать информацию, которую мы собираемся изучить в этой статье.

Журналы аудита Active Directory — это мощный ресурс, который показывает вам все действия в Azure Active Directory. Если вам нужна дополнительная информация об отслеживаемых действиях и компонентах, эта ссылка является обязательной.

Анализ журналов аудита Azure Active Directory

Войдите на портал Azure, щелкните службу Azure Active Directory, а затем щелкните Журналы аудита в разделе . В колонке, которая открывается с правой стороны, у нас есть верхняя строка с несколькими действиями, которые мы также рассмотрим в этой статье, несколько опций для сужения результатов, перечисленных внизу (по умолчанию все, что происходит в будут перечислены последние семь дней).

Мы можем сузить поиск и определить , (кто выполнил действие), и даже уменьшить временное окно, чтобы сузить результаты.

По умолчанию у нас много полезной информации на первом экране. Мы можем использовать кнопку «Столбцы», чтобы выбрать больше столбцов для отображения. На момент написания этой статьи были доступны следующие столбцы: Дата, Дата (UTC), Цель(и), Инициировано (Актер), Действие, Категория, Статус и Причина статуса. Просто выберите нужные столбцы, и представление будет обновлено автоматически.

Выбор всех столбцов помогает администраторам безопасности видеть все данные, захваченные в любом отдельном событии. Мы также можем воспользоваться и ввода строки, что полезно при поиске определенного события.

Если вы хотите получить дополнительную информацию о каком-либо событии, щелкните по нему, и справа появится новая колонка, содержащая все сведения об этой записи. Предоставляемая информация представляет собой полные данные, которые собираются и помогают специалисту по безопасности получить необходимую информацию для принятия решения о характере действия.

Использование событий аудита в Excel

В предыдущем разделе мы видели, что первый список событий содержит только основную информацию, которой обычно достаточно при поиске какого-то конкретного события. Но мы можем захотеть пойти глубже, и это достигается путем получения более подробной информации о событии.

Все отображаемые данные (и многое другое) можно экспортировать в файл Excel. Обязательно получите все записи на основе вашего запроса внизу, и когда будете готовы, нажмите «Загрузить». Содержимым файла будет вся информация, доступная в для выбранных событий.

Это создаст файл CSV со всеми записями, перечисленными в текущей колонке. Информация в файле Excel содержит множество деталей, которые не отображаются на портале Azure, и помогает выполнять оперативные запросы и исследования в вашей среде.

Архивирование журналов аудита Azure Active Directory

По умолчанию в журналах аудита Azure Active Directory хранятся только последние семь дней, когда вы находитесь на уровне бесплатного пользования (если у вас есть Azure AD P1 или P2, данные хранятся в течение 30 дней). Однако мы можем переместить эти данные в учетную запись хранения или концентратор событий. В случае учетной записи хранения мы можем хранить эту информацию столько времени, сколько требует ваша политика безопасности.

Чтобы настроить архив журналов, нажмите «Настройки экспорта данных», а в новой колонке нажмите «Включить диагностику».

Нам нужно определить имя для параметров диагностики и выбрать, что будет целью, то есть либо , либо .

Примечание. У нас может быть более одного диагностического параметра для этого компонента, что позволяет использовать разные диапазоны хранения для некоторых наборов данных (сейчас у нас есть и ).

Примечание 2. Для набора данных требуется лицензия Azure AD P1 или P2, что означает, что он недоступен на уровне бесплатного пользования.

Вам может быть интересно, сколько времени требуется для перемещения данных из журналов аудита Active Directory в целевые объекты, определенные в настройках диагностики. Microsoft заявляет, что для это может занять от двух до пяти минут, а — от пяти до 15 минут.

Если вы настроили учетные записи хранения, мы увидим новый контейнер под названием Insights-Logs-AuditLogs, а данные хранятся в следующем формате, где каждый элемент представляет собой контейнер/папку: идентификатор клиента/год/месяц/день/час/минута.

В конце этой структуры папок у нас будет файл JSON с именем PT1H.json, и вся информация, записанная за этот час, будет в формате JSON. В следующем примере ниже представлена одна запись, представляющая создание одной учетной записи Azure AD. Это та же информация, что и в файле CSV, о котором мы упоминали в начале этой статьи.

{
«время»: «2018-09-02T18:01:54.9335802Z»,
«resourceId»: «/tenants/5cb32ec9-c3de-4121-85dc-35fdde035503/providers/Microsoft.aadiam»,
«имя_операции»: «Добавить пользователя»,
«версия операции»: «1.0»,
«категория»: «Журналы аудита»,
«tenantId»: «5cb32ec9-c3de-4121-85dc-35fdde035503»,
«Тип результата»: «Добавить»,
«resultSignature»: «Нет»,
«продолжительностьMs»: 0,
«callerIpAddress»: «<null>»,
«correlationId»: «51c9bca4-fdce-47a0-b045-f25b55cdfc1e»,
«Уровень»: 4,
«свойства»: {«id»: «Directory_4M9BL_23544394», «категория»: «основной каталог», «correlationId»: «51c9bca4-fdce-47a0-b045-f25b55cdfc1e», «result»: 0, «resultReason»: «» «ActivityDisplayName»: «Добавить пользователя», «activityDateTime»: «2018-09-02T18:01:54.9335802+00:00», «loggedByService»: null, «initiatedBy»: {«user»: {«id»: "5651ed40-fa00-4c8b-a83b-4d035f5396a3", "displayName": null, "userPrincipalName": "[email protected]", "ipAddress": "<null>"}}, "targetResources": [{"userPrincipalName":"[электронная почта защищена]","id":"754ee37c-b747-44ff-ad1f-4d61a1b33095","displayName":null,modifiedProperties":[{"displayName":"AccountEnabled","oldValue":"[ ]», «newValue»: «[true]»}, {«displayName»: «StsRefreshTokensValidFrom», «oldValue»: «[]», «newValue»: «[»2018-09-02T18:01:53Z ”]”},{“displayName”:”UserPrincipalName”, “oldValue”:”[]”,”,newValue”:”[”[email protected]”]”},{“displayName”:”UserType”, «oldValue»: «[]», «newValue»: «[» Member»]»}, {«displayName»: «Включенные обновленные свойства», «oldValue»: null, «newValue»: «»AccountEnabled, StsRefreshTokensVa lidFrom, UserPrincipalName, UserType""}]}]", "дополнительные сведения": []}
}

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023