Zum Inhalt springen
SecureCloud Experts SecureCloud Experts
Entra ID Thumbnail.
| Von Valentin Keiling

Entra ID Anmeldeprotokolle: Verlängerte Datenaufbewahrung über 30 Tage mit Log Analytics

Entra ID Anmeldeprotokolle: Verlängerte Datenaufbewahrung über 30 Tage mit Log Analytics

Einleitung

Entra ID, ehemals bekannt als Azure Active Directory, bietet mit seinen Anmeldeprotokollen ein unverzichtbares Werkzeug zur Überwachung von Benutzeraktivitäten und zur Erkennung von identitätsbezogenen Sicherheitsbedrohungen in Microsoft 365- und Azure-Umgebungen. Standardmäßig werden diese Protokolle nur 30 Tage lang aufbewahrt. Doch was, wenn Ihre Organisation längere Zeiträume benötigt? Mit der Integration eines Log Analytics Workspace können Sie die Aufbewahrungszeit der Logs über die 30 Tage hinaus erweitern.

In diesem Beitrag erfahren Sie, wie Sie die Aufbewahrungszeit von Entra ID Anmeldeprotokollen erweitern, welche Vorteile dies bietet und wie Sie Log Analytics effektiv einsetzen können, um diese Protokolle zu analysieren.

Warum Anmeldeprotokolle länger aufbewahren?

Eine verlängerte Aufbewahrung von Anmeldeprotokollen bietet einige Vorteile:

  • Compliance sicherstellen: Erfüllen Sie gesetzliche Vorgaben, indem Sie Anmeldeprotokolle länger aufbewahren.

  • Sicherheitsanalysen erweitern: Untersuchen Sie sicherheitsrelevante Vorfälle, die über das standardmäßige 30-Tage-Fenster hinausgehen.

  • Forensische Untersuchungen: Nachverfolgung und Analyse von Cyberangriffen, die sich über einen längeren Zeitraum erstrecken.

  • Bessere Einblicke: Identifizieren Sie langfristige Trends und verdächtige Muster im Benutzerverhalten.

Welche Daten können in einem Log Analytics-Workspace gespeichert werden?

Ein Log Analytics-Workspace ermöglicht die Speicherung und Analyse verschiedener Protokolldaten:

  • Anmeldeprotokolle: Alle Benutzeranmeldungen mit detaillierten Informationen.

  • Überwachungsprotokolle: Aufzeichnungen über Änderungen an Ressourcen in Azure.

  • Aktivitätsprotokolle: Operationen und Aktionen in Ihrer Umgebung.

  • Sicherheitsprotokolle: Potenzielle Bedrohungen und Schwachstellen.

  • Benutzerdefinierte Logs: Anwendungen und Services, die Sie manuell konfigurieren.

Durch die Zentralisierung in einem Log Analytics-Workspace gewinnen Sie volle Kontrolle über Ihre Daten und erhalten erweiterte Analysefunktionen.

So richten Sie eine verlängerte Aufbewahrung ein

Schritt 1: Azure-Abonnement buchen

  • Melden Sie sich im Azure-Portal an.

  • Gehen Sie zu Abonnements und klicken Sie auf „+ Hinzufügen“.

  • Wählen Sie den passenden Abonnementtyp und schließen Sie die Buchung ab. (buchen Sie wahlweise über Ihren CSP eine Azure Subscription)

Schritt 2: Log Analytics-Arbeitsbereich erstellen

  • Suchen Sie im Azure-Portal nach Log Analytics-Arbeitsbereiche.

  • Klicken Sie auf „+ Erstellen“ und geben Sie folgende Informationen ein:

  • Abonnement und Ressourcengruppe

  • Arbeitsbereichsname (z. B. „EntraIDLogs“)

  • Region

  • Bestätigen Sie mit „Erstellen“.

Tipp: Berücksichtigen Sie bei der Bereitstellung von Azure Ressourcen das Cloud Adoption Framework for Azure, um von Anfang an die Skalierbarkeit und Verwaltbarkeit Ihrer Umgebung sicherzustellen.

Schritt 3: Anmeldeprotokolle an Log Analytics senden

  • Navigieren Sie zu Entra ID > Überwachung > Diagnostikeinstellungen.

  • Fügen Sie eine neue Diagnostikeinstellung hinzu und konfigurieren Sie:

  • Protokollkategorien: Wählen Sie „Anmeldeprotokolle“ aus.

  • Ziel: Log Analytics-Arbeitsbereich auswählen.

  • Speichern Sie Ihre Einstellungen.

Entra IDSign IN Logs.

Workbooks: Visuelle Auswertungen leicht gemacht

Nach der Einrichtung können Sie Workbooks verwenden, um die Anmeldeprotokolle detailliert und visuell auszuwerten. Das von Christopher Brumm veröffentlichte Workbook enthält neben den Interaktiven Logins auch Nicht-Interaktive Logins. Damit lassen sich beispielsweise Auswirkungen von Conditional Access Richtlinien noch besser auswerten und vorhersagen, da hiermit auch die Erneuerung von Tokens inbegriffen ist.

Das angesprochene Workbook von Christopher Brumm finden Sie hier: crmhh/CAWorkbooks

Worbook.

Datenabfragen mit KQL: Die Sprache der Analyse

Die Kusto Query Language (KQL) ermöglicht es Ihnen, die in Log Analytics gespeicherten Daten gezielt zu analysieren:

  • Suchen: Komplexe Filter und Bedingungen anwenden.

  • Berichte erstellen: Daten aggregieren und visualisieren.

  • Muster erkennen: Anomalien und Trends effizient identifizieren.

KQL ist unverzichtbar für tiefergehende Analysen und die Erstellung leistungsstarker Berichte.

Vorteile der Integration eines Log Analytics-Arbeitsbereichs

  • Individuelle Aufbewahrung: Compliance-gerechte Speicherfristen.

  • Erweiterte Suchoptionen: Mit KQL Daten effizient durchsuchen.

  • Optimierte Kosten: Bezahlung nach Nutzung.

  • Sicherheitsüberblick: Ganzheitliche Kontrolle über Ihre Umgebung.

Fazit

Durch die Integration eines Log Analytics-Arbeitsbereichs in Entra ID verbessern Sie die Sicherheit und Compliance Ihres Unternehmens. Mit verlängerten Aufbewahrungsfristen, Workbooks und KQL erhalten Sie umfassende Analysemöglichkeiten, um Ihre Organisation besser abzusichern.