Azure-Sign-in- und Audit-Logs analysieren

Exporthandel

Für mehr Durchblick im Azure AD lassen sich die relevanten Sign-In- sowie Audit-Logs zu externen Datenquellen exportieren. So verschafft sich der Admin nicht nur eine Langzeitarchivierung, sondern auch Freiheit bei der Analyse der vorgehaltenen Daten. Wie sich mit exportierten Logs eigene Dashboards im Azure-AD-Portal erstellen lassen, zeigt dieser Workshop.
Der Mailserver ist für Firmen das kommunikative Tor zur Welt. Hinzu kommen verschiedene Collaboration-Werkzeuge für die Zusammenarbeit der Mitarbeiter. Fallen ... (mehr)

Seit einiger Zeit kann das Azure AD (AAD) die Daten des Sign-in- und des Audit-Logs exportieren. Das Portal erlaubt den Export in die drei Azure-basierten Datensenken "Blob-Storage", "Event Hub" und "Log Analytics", die jeweils verschiedene Anwendungsfälle bedienen. Das Exportieren der Logs ist nicht nur für das SIEM-Team spannend, das sich mit Sicherheitsanalysen und

-vorfällen beschäftigt, sondern auch für AAD-Admins. Denn neben der Tatsache, dass das Vorhalten der Daten innerhalb des Azue AD auf 30 Tage limitiert ist und ein Export vor dem Verlust von historischen Daten schützt, haben Identity-Administratoren eigene, komplexe Anforderungen und Fragestellungen an Audit und Logon.

Nicht selten gehen die Interessen da auseinander: Während zwar das SIEM die Datensenke für Analysten und Sicherheitsbeauftragte darstellt und für diese ausgerichtet ist, taugen die Dashboards, Alerts und Einsichten nicht immer für die Verantwortlichen für Identity, Single Sign-on, Anwendungsintegration und Office 365. Oft erhalten Identity-Admins dann auch kein eigenes Dashboard im SIEM-System. Meist fehlt dafür die Zeit, Änderungen sind zu kostspielig oder es fehlt die Transparenz, welche Daten überhaupt zur Verfügung stehen. Damit soll jedoch Schluss sein, denn die Log-Exportfunktionen in Azure AD erlauben zusammen mit Log Analytics Flexibilität und granulare Einsichten: Das System durchforstet eingesammelte Logs und ermöglicht Ad-hoc-Suchen sowie das Erstellen eigener Dashboards. Die SQL-ähnliche Suchsprache erleichtert das Finden – es gibt also kaum Ausreden, sich die Funktionen nicht näher anzuschauen [1].

Exporteinstellungen prüfen

Bevor Sie jedoch die Daten nutzen und bunte Dashboards erzeugen, lohnt sich ein kontrollierender Blick in die Exporteinstellungen im AAD. Denn nur wenn Daten exportiert werden, sind sie später auch auffindbar. Im

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019