微軟Azure AD事件日誌開始整合Azure監控功能

微軟Azure AD近期發布不少新功能，像是與公雲儲存整合，加強RBAC存取機制。同時加強Azure AD安全性，同時要求特權號必須採用多因素身分驗證，以強化相關帳號的保護。而近日該公司則是宣布公有雲監控服務Azure Monitor，開始整合Azure AD事件日誌（Activity Logs），目前此服務已經邁入公開預覽版。

這一次微軟釋出的整合服務，總共有三個特點。首先，使用者可以利用Azure Monitor，結合AD Logs數據與企業用戶的儲存帳號、Event Hub。再者，它可以整合企業內部的SIEM產品，管理員不需要維護、開發自有的腳本程式。目前與微軟合作，提供SIEM整合解決方案的廠商為Splunk。最後，此服務也能與企業用戶內部既有的分析工具、事件管理產品整合。

微軟表示，Azure AD事件日誌開始整合Azure監控功能後，使用者可以將稽核Log數據，封存至Azure儲存帳號，延長數據儲存的時間。再者，也可以串接稽核Log資料與Azure Event Hub，使用Splunk、QRadar等SIEM工具進行分析。

以Splunk的解決方案為例，使用者在儀表板內，可以利用不同角度，觀察使用者的登入行為。像是以月份為單位，統計使用者的登入量、登入錯誤次數，或者分析使用者多半在哪些地區登入。在使用選單中，管理員可以設定Log資料要封存至哪個儲存帳號，以及是否與Event Hub串接。此外，管理員也可以設定Log資料要留存的時間，以便未來稽核使用。

在整合頁面中，使用者可以設定Log資料要封存至哪個儲存帳號，以及是否與Event Hub串接。此外，管理員也可以設定Log資料要留存的時間，以便未來稽核使用。圖片來源：微軟

微軟也與外部廠商合作，企業用戶可以透過Event Hub，串接內部既有的SIEM工具及Azure AD  Logs，進行後續分析。圖片來源：微軟

 以Splunk的解決方案為例，使用者在儀表板內，可以利用不同角度，觀察使用者的登入行為。像是以月份為單位，統計使用者的登入量、登入錯誤次數，或者分析使用者多半在哪些地區登入。圖片來源：微軟

現在Azure AD與Azure Monitor加強整合後，使用者可以將資料封存至Azure儲存帳號，延長資料儲存時間。或者是與Evnet Hub結合，讓企業自有的SIEM工具、客製化應用等解決方案，可以分析Azure AD的數據。圖片來源：微軟