Seit einiger Zeit kann das Azure AD (AAD) die Daten des Sign-in- und des Audit-Logs exportieren. Das Portal erlaubt den Export in die drei Azure-basierten Datensenken "Blob-Storage", "Event Hub" und "Log Analytics", die jeweils verschiedene Anwendungsfälle bedienen. Das Exportieren der Logs ist nicht nur für das SIEM-Team spannend, das sich mit Sicherheitsanalysen und
-vorfällen beschäftigt, sondern auch für AAD-Admins. Denn neben der Tatsache, dass das Vorhalten der Daten innerhalb des Azue AD auf 30 Tage limitiert ist und ein Export vor dem Verlust von historischen Daten schützt, haben Identity-Administratoren eigene, komplexe Anforderungen und Fragestellungen an Audit und Logon.
Nicht selten gehen die Interessen da auseinander: Während zwar das SIEM die Datensenke für Analysten und Sicherheitsbeauftragte darstellt und für diese ausgerichtet ist, taugen die Dashboards, Alerts und Einsichten nicht immer für die Verantwortlichen für Identity, Single Sign-on, Anwendungsintegration und Office 365. Oft erhalten Identity-Admins dann auch kein eigenes Dashboard im SIEM-System. Meist fehlt dafür die Zeit,
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.