Sende Azure AD logger til Azure Monitor

1 Bakgrunn

Hva er Azure Monitor?

Azure Monitor er en tjeneste som kan samle, analysere data fra telemetri for sky -og on-prem miljøer

Hva er Log Analytics?

Det er et verktøyet i Azureportalen for redigering av spørringer og for å analysere resultater. 

Hva er Log Analytics Workspace?

Log Analytics Workspace er hvor loggdata for Azure Monitor lagres. Hvert workspace har egen datasamling og egne innstillinger. Datakilder og løsninger innstilles slik at de sender data på en bestemt workspace. Et workspace har en unique ID og resource ID. 

Azure AD ved UiO

Under subscription USIT-SHARED-PROD, som er subscription for produksjonstjenester for USIT, ble det opprettet en Log Analytics Workspace som heter UiO-analytics

Behandling av data

Databehandling og hvor data lagres er allerede avklart fra før med jurister og IT-sikkerhet.
Det finnes allerede 3 løsninger som samler data i UiO-analytics


Bildet kan inneholde: rektangel, parallell, gjøre, elektrisk blå, mønster.

2 Forslag: Sende sign-in logger til Log Analytics

Ved å sende Azure AD sign-in logger til Log Analytics får vi bedre rapportering og oversikt over regler som det er satt i betinget tilgang  (Conditional Access)

Conditional Access insights and reporting workbook - Azure Active Directory | Microsoft Docs

Oppsett

Innsending av loggene må settes opp av en Global Administrator
Det er beskrevet av Microsoft i dokumentasjonen

Data

Data lagres i Log Analytics workspace som er regional datacenter for North Europe

Tilgang

Følgende roller i Azure AD har tilgang til data og rapporteringsmuligheter:

  • Conditional Access administrator
  • Security reader
  • Security administrator
  • Global reader
  • Global administrator

Brukerene må legges også som Owner eller Contibutor til Log Analytics Workspace

Publisert 10. mars 2022 13:33 - Sist endret 17. mars 2022 14:47