Azure-AD-Logs speichern und auswerten

Blick ins Tagebuch

Wer Azure AD betreibt, um Anwendungen per Single Sign-on anzubinden oder Office 365 zu betreiben, will Herr der Lage bleiben und über alle Vorgänge Bescheid wissen. Das Verzeichnis zeichnet natürlich alle wichtigen Vorgänge im System sowie Anmeldungen an der Cloud auf – der Admin muss nur reinschauen. Wie das geht, zeigen wir in diesem Workshop.
Die Vorteile der Cloud liegen auf der Hand in Form schnell verfügbarer IT-Ressourcen, um deren Betrieb sich der Administrator nur noch eingeschränkt kümmern ... (mehr)

Bei kritischen Anwendungen in der internen Infrastruktur werden Systemlogs und Sicherheitsinformationen gesammelt, um im Fehlerfall oder später zu Sicherheitszwecken Analysen durchführen zu können. Das sollte für das Azure AD (AAD) als Anmeldungsbroker in der Cloud und zentrales Identity-Nervensystem für Office 365 und eine Vielzahl von SaaS-Anwendungen nicht anders sein. Wer sich wo anmeldet und mit welchen Clouddiensten gesprochen hat, soll ebenso nachvollziehbar sein wie Änderungen an der AAD-Konfiguration. Natürlich existieren schon Werkzeuge in Unternehmen, die diese Informationen zentralisieren, Analysen automatisieren und Administratoren warnen. Es ist also nur natürlich, dass das Azure AD diese Anwendungsfälle mit sinnvollen und vollständigen Logs unterstützen muss.

Das AAD sammelt alle relevanten Ereignisse im Verzeichnis in zwei Kategorien: den Sign-in-Logs und den Audit-Logs. Die Audit-Logs zeichnen alle Aktivitäten und Änderungen im Verzeichnis auf und führen Buch über Objektänderungen und Konfigurationsanpassungen. Im Audit-Log befinden sich also Vorgänge zu Benutzer-, Gruppen- oder Computerobjekten sowie Änderungen an Sicherheitsprinzipalen für Anwendungen und Zertifikatserneuerungen für Single Sign-on (SSO) für Anwendungen. Aber auch Änderungen wie Lizenzen oder die Anpassung des Firmennamens werden hier hinterlegt. Auditoren finden hier alle notwendigen Informationen zu Compliance-relevanten Anpassungen.

Im Sign-in-Log finden Sie alle Vorgänge, bei denen Azure AD eine Anfrage für Zugriffstoken verarbeitet hat. Sowohl Erfolgs- als auch Verweigerungsmeldungen sind hier verzeichnet. Immer wenn Endbenutzer oder Sicherheitsprinzipale Zugriffstoken beantragen, werden die Details zur Anfrage im Sign-in-Log hinterlegt. Die relevanten Informationen sind hierbei nicht nur die Identität des Benutzers und der Zeitstempel, sondern auch die Zielanwendung, für die das Token ausgestellt werden soll, ob Conditional Access

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019