Azure Active Directory Activity Log - nově i v PowerBI

Dnes se podíváme na nové dashboardy v rámci PowerBI, které Microsoft v poslední době uvolnil a jsou velmi prospěšné pro sledování aktivit v rámci provozu online prostředí Office 365, Azure Active Directory a Azure prostředí jako takového.

Celá sestava neboli datový set je v rámci PowerBI dostupný zdarma tudíž si daný dashboard může přidat každý kdo vlastní alespoň free licenci PowerBI například v rámci licence Office365.

Prvním z těchto dashboardů je tzv. Azure Active Directory Activity log, který poskytuje informace o přihlášení do Azure AD z různých portálů a z různých umístění ve světě. Log zobrazuje data z Azure Logu a graficky znázorňuje pro velmi rychlé vyhodnocení.

V agregovaném reportu (Dashboardu) jsou dostupné tyto pohledy:

Přihlášení za posledních 7 dní – tento pohled ukazuje, kdo se do online služeb za posledních 7 dní přihlásil. Dashboard je možno otevřít a zobrazit tak větší detail graficky znázorněného datového setu. V hlavním výstupu je vidět počet unikátních uživatelů přihlášených do online služeb společnosti Microsoft a zároveň celkový počet přihlášení, to vše je shluknuto do jednotlivých dnů.

Přihlášení podle lokalizace a přihlášení do aplikace podle lokalizace – na základě IP adres, ze které se uživatel k online službám přihlásil je vidět i stát, ze kterého bylo přistupováno. Tento graf zobrazuje i účty využívající služby napojené na Azure AD pomocí API, proto zde můžete vidět přihlášení například z Indie, pokud si do Azure AD povolíte například službu Office365mon

Nejvíce navštěvovaných 5 online aplikací – tento pohled zobrazuje a agreguje data z logu a zobrazuje 5 nejnavštěvovanějších aplikací podle dní přístupu. Každá aplikace je zde zobrazena vlastním sloupcem.

Unikátní uživatele podle aplikací – toto je jistě zajímavá informace, jelikož je vidět jaké aplikace v rámci Online prostředí jsou využívány a zde můžete také zobrazit aktuální stav využívání těchto aplikací.

Níže se můžete podívat na úvodní dashboard, který po přidání datového setu uvidíte v hlavním Dashboardu:

Dále můžete vidět jednotlivé sestavy, které jsou pod vlastním dashboardem zobrazeny. První ze sestav je „Uživatelská přihlášení za posledních 7 dní“. V níže uvedeném dashboardu můžeme filtrovat podle uživatele a tak sledovat z jakých umístění se do online služeb přihlašoval, což nás může navést k tomu, abychom odhalili případné prozrazení uživatelského jména a hesla, případně můžeme očekávat kompromitaci uživatelského počítače. Tento pohled nám ukáže i internetový prohlížeč, ze kterého bylo do prostředí přistupováno případně i zařízení, ze kterého bylo přistupováno.

Další z pohledů nad logy je sledování využívání aplikací v rámci vašeho online prostředí. Na obrázku níže je vidět využívání a četnost využívání jednotlivých služeb registrovaných pro daného tenanta (jednotné prostředí v online světě Microsoftu) a také sledovat počet unikátních přístupů k dané aplikaci. Toto vám pomůže zejména ve chvíli, kdy řešíte implementaci a adaptační proces do společnosti. Proto je vhodné sledovat i trend a využívání daných služeb v průběhu implementace, abyste viděli, zda uživatelé opravdu po školení vyzkoušeli své nové aplikace.

Pokud se přesuneme směrem k bezpečnosti, pak je určitě velmi vhodné podívat se na dashboard „Audit Activity Log over last 7 days“, který nám poskytne možnost sledovat informace o přihlášení do prostředí. Znovu bych to rád interpretoval do reálné situace: Když potřebujeme sledovat, kdo z uživatelů opravdu pracuje s daty například v Sharepoint Online, případně zda adaptační proces implementace Office365 zafungoval podle představ a uživatelé služby využívají.

Pokud máte externího partnera, který provádí správu vašeho prostředí nebo vám implementuje nové služby, pak můžete sledovat v omezenější míře, kdy přistupoval do prostředí, pod jakou identitou a jaké příkazy spouštěl nad vašimi objekty v Active Directory, potažmo v Exchange Online.

Pokud bych se tedy vrátil k adaptaci nového řešení do společnosti, pak vám zajímavé informace ukáže i tento report trendů využívání aplikací. Díky němuž uvidíte v přehledném zobrazení přesné počty využívaných aplikací a případně můžete sledovat, do kterých aplikací vám uživatelé přistupují a zda chcete, aby vám tam přistupovali. Pokud máte nějakou kritickou aplikaci napojenu na vašeho tenanta, pak máte možnost sledovat IP adresu, místo, internetový prohlížeč a datum a čas přístupu každého z uživatelů.

Tím bychom dnes měli rychlý přehled nad novým Azure Active Directory Activity Log dashboardem, který vám jistě pomůže lépe porozumět vašim uživatelům a jejich chování. Pomůže vám zajistit si detailnější pohled na bezpečnost všech služeb a to právě díky integraci všech logů z Online služeb do jediného místa. V neposlední řadě vám pomůže sledovat aktivitu vašeho dodavatele, který pro vás zajištuje správu tohoto prostředí, jelikož tento log, proti logu serverovému nelze smazat.

Daniel Hejda | Senior konzultant KPCS and P-Seller Microsoft

MCSD: Azure Solutions Architect

MCSE: Cloud Platform and Infrastructure

MCSE: Productivity

MCSE: Server Infrastructure

MCSE: Messaging

MCSA: Windows Server 2012

MCSA: Office 365

Autor: Daniel Hejda

Next Post Previous Post