Entra ID Anmeldeprotokolle: Verlängerte Datenaufbewahrung über 30 Tage mit Log Analytics
Einleitung
Entra ID, ehemals bekannt als Azure Active Directory, bietet mit seinen Anmeldeprotokollen ein unverzichtbares Werkzeug zur Überwachung von Benutzeraktivitäten und zur Erkennung von identitätsbezogenen Sicherheitsbedrohungen in Microsoft 365- und Azure-Umgebungen. Standardmäßig werden diese Protokolle nur 30 Tage lang aufbewahrt. Doch was, wenn Ihre Organisation längere Zeiträume benötigt? Mit der Integration eines Log Analytics Workspace können Sie die Aufbewahrungszeit der Logs über die 30 Tage hinaus erweitern.
In diesem Beitrag erfahren Sie, wie Sie die Aufbewahrungszeit von Entra ID Anmeldeprotokollen erweitern, welche Vorteile dies bietet und wie Sie Log Analytics effektiv einsetzen können, um diese Protokolle zu analysieren.
Warum Anmeldeprotokolle länger aufbewahren?
Eine verlängerte Aufbewahrung von Anmeldeprotokollen bietet einige Vorteile:
Compliance sicherstellen: Erfüllen Sie gesetzliche Vorgaben, indem Sie Anmeldeprotokolle länger aufbewahren.
Sicherheitsanalysen erweitern: Untersuchen Sie sicherheitsrelevante Vorfälle, die über das standardmäßige 30-Tage-Fenster hinausgehen.
Forensische Untersuchungen: Nachverfolgung und Analyse von Cyberangriffen, die sich über einen längeren Zeitraum erstrecken.
Bessere Einblicke: Identifizieren Sie langfristige Trends und verdächtige Muster im Benutzerverhalten.
Welche Daten können in einem Log Analytics-Workspace gespeichert werden?
Ein Log Analytics-Workspace ermöglicht die Speicherung und Analyse verschiedener Protokolldaten:
Anmeldeprotokolle: Alle Benutzeranmeldungen mit detaillierten Informationen.
Überwachungsprotokolle: Aufzeichnungen über Änderungen an Ressourcen in Azure.
Aktivitätsprotokolle: Operationen und Aktionen in Ihrer Umgebung.
Sicherheitsprotokolle: Potenzielle Bedrohungen und Schwachstellen.
Benutzerdefinierte Logs: Anwendungen und Services, die Sie manuell konfigurieren.
Durch die Zentralisierung in einem Log Analytics-Workspace gewinnen Sie volle Kontrolle über Ihre Daten und erhalten erweiterte Analysefunktionen.
So richten Sie eine verlängerte Aufbewahrung ein
Schritt 1: Azure-Abonnement buchen
Melden Sie sich im Azure-Portal an.
Gehen Sie zu Abonnements und klicken Sie auf „+ Hinzufügen“.
Wählen Sie den passenden Abonnementtyp und schließen Sie die Buchung ab. (buchen Sie wahlweise über Ihren CSP eine Azure Subscription)
Schritt 2: Log Analytics-Arbeitsbereich erstellen
Suchen Sie im Azure-Portal nach Log Analytics-Arbeitsbereiche.
Klicken Sie auf „+ Erstellen“ und geben Sie folgende Informationen ein:
Abonnement und Ressourcengruppe
Arbeitsbereichsname (z. B. „EntraIDLogs“)
Region
Bestätigen Sie mit „Erstellen“.
Tipp: Berücksichtigen Sie bei der Bereitstellung von Azure Ressourcen das Cloud Adoption Framework for Azure, um von Anfang an die Skalierbarkeit und Verwaltbarkeit Ihrer Umgebung sicherzustellen.
Schritt 3: Anmeldeprotokolle an Log Analytics senden
Navigieren Sie zu Entra ID > Überwachung > Diagnostikeinstellungen.
Fügen Sie eine neue Diagnostikeinstellung hinzu und konfigurieren Sie:
Protokollkategorien: Wählen Sie „Anmeldeprotokolle“ aus.
Ziel: Log Analytics-Arbeitsbereich auswählen.
Speichern Sie Ihre Einstellungen.
Workbooks: Visuelle Auswertungen leicht gemacht
Nach der Einrichtung können Sie Workbooks verwenden, um die Anmeldeprotokolle detailliert und visuell auszuwerten. Das von Christopher Brumm veröffentlichte Workbook enthält neben den Interaktiven Logins auch Nicht-Interaktive Logins. Damit lassen sich beispielsweise Auswirkungen von Conditional Access Richtlinien noch besser auswerten und vorhersagen, da hiermit auch die Erneuerung von Tokens inbegriffen ist.
Das angesprochene Workbook von Christopher Brumm finden Sie hier: crmhh/CAWorkbooks
Datenabfragen mit KQL: Die Sprache der Analyse
Die Kusto Query Language (KQL) ermöglicht es Ihnen, die in Log Analytics gespeicherten Daten gezielt zu analysieren:
Suchen: Komplexe Filter und Bedingungen anwenden.
Berichte erstellen: Daten aggregieren und visualisieren.
Muster erkennen: Anomalien und Trends effizient identifizieren.
KQL ist unverzichtbar für tiefergehende Analysen und die Erstellung leistungsstarker Berichte.
Vorteile der Integration eines Log Analytics-Arbeitsbereichs
Individuelle Aufbewahrung: Compliance-gerechte Speicherfristen.
Erweiterte Suchoptionen: Mit KQL Daten effizient durchsuchen.
Optimierte Kosten: Bezahlung nach Nutzung.
Sicherheitsüberblick: Ganzheitliche Kontrolle über Ihre Umgebung.
Fazit
Durch die Integration eines Log Analytics-Arbeitsbereichs in Entra ID verbessern Sie die Sicherheit und Compliance Ihres Unternehmens. Mit verlängerten Aufbewahrungsfristen, Workbooks und KQL erhalten Sie umfassende Analysemöglichkeiten, um Ihre Organisation besser abzusichern.