V dnešním článku si ukážeme, jak v Azure Active Directory používat protokolování. To nám umožní vidět všechno, co se událo, a díky tomu budeme moci zvýšit bezpečnost infrastruktury.
Co je protokolování?
Protokolování (logging) vytváří záznamy všech změn, událostí a autorů těchto akcí. Zároveň také zaznamenává časy těchto akcí, takže jednoduše můžeme dohledat, kdo a kdy co změnil.
Protokoly auditu vám popíší události, které se staly v uživatelově relaci. Obsahují např. měnění údajů (hesla, pozice), měnění nastavení pravidel (ohledně hesel, přihlašování…) a podobně. Tyto protokoly obsahují název akce, název uživatele, který akci provedl, cíl akce a její čas. V Azure AD audit reportu se data ukládají po dobu 180 dnů, pokud chcete data ukládat déle, musíte si je exportovat např. na Event Hub.
Protokoly v AAD můžeme jednoduchým způsobem zpracovávat. Můžeme je např. exportovat do úložiště, posílat je to Event Hubu na další zpracovaní pomocí aplikací jako jsou Splunk nebo Qradar nebo je můžeme odeslat do Azure Monitor logs.
Návod
Nyní vám popíšu, jak nastavit odesílání a ukládání protokolů do úložiště nebo Event Hubu.
1) Nejprve si v Azure AD najdeme náš tenant.
2) Poté, v levém sloupci sjedeme až dolů a zde, pod kolonkou Sledování, vybereme Protokoly Auditu.
3) Zde můžeme vidět protokoly. Abychom nastavili jejich export, klikneme v horní liště na Exportovat nastavení dat. Před tím, než budeme dále pokračovat, musíme mít v Azure subskripci. To je z toho důvodu, že buď musíme mít účet, kam data uložíme, nebo účet se založeným Event hubem.
4) Zde, pomocí tlačítka Přidat nastavení diagnostiky můžeme nastavit, jakým způsobem se budou protokoly ukládat a zda chceme ukládat protokoly o auditu, přihlašovaní, či obojí.
5) Za 2-10 minut se nám protokoly zobrazí na účtu či Event hubu.
Dodatek
V dnešním článku jsme si představili protokolování a ukázali si, jak protokoly exportovat. Funkce protokolování je velmi užitečná a měl by ji používat každý, kdo chce dosáhnout maximálního zabezpečení.
