Azure-Sign-in- und Audit-Logs analysieren

Seit einiger Zeit kann das Azure AD (AAD) die Daten des Sign-in- und des Audit-Logs exportieren. Das Portal erlaubt den Export in die drei Azure-basierten Datensenken "Blob-Storage", "Event Hub" und "Log Analytics", die jeweils verschiedene Anwendungsfälle bedienen. Das Exportieren der Logs ist nicht nur für das SIEM-Team spannend, das sich mit Sicherheitsanalysen und

-vorfällen beschäftigt, sondern auch für AAD-Admins. Denn neben der Tatsache, dass das Vorhalten der Daten innerhalb des Azue AD auf 30 Tage limitiert ist und ein Export vor dem Verlust von historischen Daten schützt, haben Identity-Administratoren eigene, komplexe Anforderungen und Fragestellungen an Audit und Logon.

Nicht selten gehen die Interessen da auseinander: Während zwar das SIEM die Datensenke für Analysten und Sicherheitsbeauftragte darstellt und für diese ausgerichtet ist, taugen die Dashboards, Alerts und Einsichten nicht immer für die Verantwortlichen für Identity, Single Sign-on, Anwendungsintegration und Office 365. Oft erhalten Identity-Admins dann auch kein eigenes Dashboard im SIEM-System. Meist fehlt dafür die Zeit, Änderungen sind zu kostspielig oder es fehlt die Transparenz, welche Daten überhaupt zur Verfügung stehen. Damit soll jedoch Schluss sein, denn die Log-Exportfunktionen in Azure AD erlauben zusammen mit Log Analytics Flexibilität und granulare Einsichten: Das System durchforstet eingesammelte Logs und ermöglicht Ad-hoc-Suchen sowie das Erstellen eigener Dashboards. Die SQL-ähnliche Suchsprache erleichtert das Finden – es gibt also kaum Ausreden, sich die Funktionen nicht näher anzuschauen [1].

Exporteinstellungen prüfen

Bevor Sie jedoch die Daten nutzen und bunte Dashboards erzeugen, lohnt sich ein kontrollierender Blick in die Exporteinstellungen im AAD. Denn nur wenn Daten exportiert werden, sind sie später auch auffindbar. Im

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.