Azure-AD-Logs speichern und auswerten

Bei kritischen Anwendungen in der internen Infrastruktur werden Systemlogs und Sicherheitsinformationen gesammelt, um im Fehlerfall oder später zu Sicherheitszwecken Analysen durchführen zu können. Das sollte für das Azure AD (AAD) als Anmeldungsbroker in der Cloud und zentrales Identity-Nervensystem für Office 365 und eine Vielzahl von SaaS-Anwendungen nicht anders sein. Wer sich wo anmeldet und mit welchen Clouddiensten gesprochen hat, soll ebenso nachvollziehbar sein wie Änderungen an der AAD-Konfiguration. Natürlich existieren schon Werkzeuge in Unternehmen, die diese Informationen zentralisieren, Analysen automatisieren und Administratoren warnen. Es ist also nur natürlich, dass das Azure AD diese Anwendungsfälle mit sinnvollen und vollständigen Logs unterstützen muss.

Das AAD sammelt alle relevanten Ereignisse im Verzeichnis in zwei Kategorien: den Sign-in-Logs und den Audit-Logs. Die Audit-Logs zeichnen alle Aktivitäten und Änderungen im Verzeichnis auf und führen Buch über Objektänderungen und Konfigurationsanpassungen. Im Audit-Log befinden sich also Vorgänge zu Benutzer-, Gruppen- oder Computerobjekten sowie Änderungen an Sicherheitsprinzipalen für Anwendungen und Zertifikatserneuerungen für Single Sign-on (SSO) für Anwendungen. Aber auch Änderungen wie Lizenzen oder die Anpassung des Firmennamens werden hier hinterlegt. Auditoren finden hier alle notwendigen Informationen zu Compliance-relevanten Anpassungen.

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.