微软Azure AD事件日誌开始整合Azure监控功能

微软

微软Azure AD近期发布不少新功能，像是与公云储存整合，加强RBAC存取机制。同时加强Azure AD安全性，同时要求特权号必须採用多因素身分验证，以强化相关帐号的保护。而近日该公司则是宣布公有云监控服务Azure Monitor，开始整合Azure AD事件日誌（Activity Logs），目前此服务已经迈入公开预览版。

这一次微软释出的整合服务，总共有三个特点。首先，使用者可以利用Azure Monitor，结合AD Logs数据与企业用户的储存帐号、Event Hub。再者，它可以整合企业内部的SIEM产品，管理员不需要维护、开发自有的脚本程式。目前与微软合作，提供SIEM整合解决方案的厂商为Splunk。最后，此服务也能与企业用户内部既有的分析工具、事件管理产品整合。

微软表示，Azure AD事件日誌开始整合Azure监控功能后，使用者可以将稽核Log数据，封存至Azure储存帐号，延长数据储存的时间。再者，也可以串接稽核Log资料与Azure Event Hub，使用Splunk、QRadar等SIEM工具进行分析。

以Splunk的解决方案为例，使用者在仪表板内，可以利用不同角度，观察使用者的登入行为。像是以月份为单位，统计使用者的登入量、登入错误次数，或者分析使用者多半在哪些地区登入。在使用选单中，管理员可以设定Log资料要封存至哪个储存帐号，以及是否与Event Hub串接。此外，管理员也可以设定Log资料要留存的时间，以便未来稽核使用。

在整合页面中，使用者可以设定Log资料要封存至哪个储存帐号，以及是否与Event Hub串接。此外，管理员也可以设定Log资料要留存的时间，以便未来稽核使用。图片来源：微软

微软也与外部厂商合作，企业用户可以透过Event Hub，串接内部既有的SIEM工具及Azure AD  Logs，进行后续分析。图片来源：微软

 以Splunk的解决方案为例，使用者在仪表板内，可以利用不同角度，观察使用者的登入行为。像是以月份为单位，统计使用者的登入量、登入错误次数，或者分析使用者多半在哪些地区登入。图片来源：微软

现在Azure AD与Azure Monitor加强整合后，使用者可以将资料封存至Azure储存帐号，延长资料储存时间。或者是与Evnet Hub结合，让企业自有的SIEM工具、客製化应用等解决方案，可以分析Azure AD的数据。图片来源：微软