Azure-Sign-in- und Audit-Logs analysieren

Exporthandel

von Florian Frommherz

Für mehr Durchblick im Azure AD lassen sich die relevanten Sign-In- sowie Audit-Logs zu externen Datenquellen exportieren. So verschafft sich der Admin nicht nur eine Langzeitarchivierung, sondern auch Freiheit bei der Analyse der vorgehaltenen Daten. Wie sich mit exportierten Logs eigene Dashboards im Azure-AD-Portal erstellen lassen, zeigt dieser Workshop.

Aus IT-Administrator 09/2019

Der Mailserver ist für Firmen das kommunikative Tor zur Welt. Hinzu kommen verschiedene Collaboration-Werkzeuge für die Zusammenarbeit der Mitarbeiter. Fallen ... (mehr)

Seit einiger Zeit kann das Azure AD (AAD) die Daten des Sign-in- und des Audit-Logs exportieren. Das Portal erlaubt den Export in die drei Azure-basierten Datensenken "Blob-Storage", "Event Hub" und "Log Analytics", die jeweils verschiedene Anwendungsfälle bedienen. Das Exportieren der Logs ist nicht nur für das SIEM-Team spannend, das sich mit Sicherheitsanalysen und

-vorfällen beschäftigt, sondern auch für AAD-Admins. Denn neben der Tatsache, dass das Vorhalten der Daten innerhalb des Azue AD auf 30 Tage limitiert ist und ein Export vor dem Verlust von historischen Daten schützt, haben Identity-Administratoren eigene, komplexe Anforderungen und Fragestellungen an Audit und Logon.

Nicht selten gehen die Interessen da auseinander: Während zwar das SIEM die Datensenke für Analysten und Sicherheitsbeauftragte darstellt und für diese ausgerichtet ist, taugen die Dashboards, Alerts und Einsichten nicht immer für die Verantwortlichen für Identity, Single Sign-on, Anwendungsintegration und Office 365. Oft erhalten Identity-Admins dann auch kein eigenes Dashboard im SIEM-System. Meist fehlt dafür die Zeit,

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.