Azure Active Directory Activity Log - nově i v PowerBI
Dnes se podíváme na nové dashboardy v rámci PowerBI, které Microsoft v poslední době uvolnil a jsou velmi prospěšné pro sledování aktivit v rámci provozu online prostředí Office 365, Azure Active Directory a Azure prostředí jako takového.
Celá sestava neboli datový set je v rámci PowerBI dostupný zdarma tudíž si daný dashboard může přidat každý kdo vlastní alespoň free licenci PowerBI například v rámci licence Office365.
Prvním z těchto dashboardů je tzv. Azure Active Directory Activity log, který poskytuje informace o přihlášení do Azure AD z různých portálů a z různých umístění ve světě. Log zobrazuje data z Azure Logu a graficky znázorňuje pro velmi rychlé vyhodnocení.
V agregovaném reportu (Dashboardu) jsou dostupné tyto pohledy:
Přihlášení za posledních 7 dní – tento pohled ukazuje, kdo se do online služeb za posledních 7 dní přihlásil. Dashboard je možno otevřít a zobrazit tak větší detail graficky znázorněného datového setu. V hlavním výstupu je vidět počet unikátních uživatelů přihlášených do online služeb společnosti Microsoft a zároveň celkový počet přihlášení, to vše je shluknuto do jednotlivých dnů.
Přihlášení podle lokalizace a přihlášení do aplikace podle lokalizace – na základě IP adres, ze které se uživatel k online službám přihlásil je vidět i stát, ze kterého bylo přistupováno. Tento graf zobrazuje i účty využívající služby napojené na Azure AD pomocí API, proto zde můžete vidět přihlášení například z Indie, pokud si do Azure AD povolíte například službu Office365mon
Nejvíce navštěvovaných 5 online aplikací – tento pohled zobrazuje a agreguje data z logu a zobrazuje 5 nejnavštěvovanějších aplikací podle dní přístupu. Každá aplikace je zde zobrazena vlastním sloupcem.
Unikátní uživatele podle aplikací – toto je jistě zajímavá informace, jelikož je vidět jaké aplikace v rámci Online prostředí jsou využívány a zde můžete také zobrazit aktuální stav využívání těchto aplikací.
Níže se můžete podívat na úvodní dashboard, který po přidání datového setu uvidíte v hlavním Dashboardu:
Dále můžete vidět jednotlivé sestavy, které jsou pod vlastním dashboardem zobrazeny. První ze sestav je „Uživatelská přihlášení za posledních 7 dní“. V níže uvedeném dashboardu můžeme filtrovat podle uživatele a tak sledovat z jakých umístění se do online služeb přihlašoval, což nás může navést k tomu, abychom odhalili případné prozrazení uživatelského jména a hesla, případně můžeme očekávat kompromitaci uživatelského počítače. Tento pohled nám ukáže i internetový prohlížeč, ze kterého bylo do prostředí přistupováno případně i zařízení, ze kterého bylo přistupováno.
Další z pohledů nad logy je sledování využívání aplikací v rámci vašeho online prostředí. Na obrázku níže je vidět využívání a četnost využívání jednotlivých služeb registrovaných pro daného tenanta (jednotné prostředí v online světě Microsoftu) a také sledovat počet unikátních přístupů k dané aplikaci. Toto vám pomůže zejména ve chvíli, kdy řešíte implementaci a adaptační proces do společnosti. Proto je vhodné sledovat i trend a využívání daných služeb v průběhu implementace, abyste viděli, zda uživatelé opravdu po školení vyzkoušeli své nové aplikace.
Pokud se přesuneme směrem k bezpečnosti, pak je určitě velmi vhodné podívat se na dashboard „Audit Activity Log over last 7 days“, který nám poskytne možnost sledovat informace o přihlášení do prostředí. Znovu bych to rád interpretoval do reálné situace: Když potřebujeme sledovat, kdo z uživatelů opravdu pracuje s daty například v Sharepoint Online, případně zda adaptační proces implementace Office365 zafungoval podle představ a uživatelé služby využívají.
Pokud máte externího partnera, který provádí správu vašeho prostředí nebo vám implementuje nové služby, pak můžete sledovat v omezenější míře, kdy přistupoval do prostředí, pod jakou identitou a jaké příkazy spouštěl nad vašimi objekty v Active Directory, potažmo v Exchange Online.
Pokud bych se tedy vrátil k adaptaci nového řešení do společnosti, pak vám zajímavé informace ukáže i tento report trendů využívání aplikací. Díky němuž uvidíte v přehledném zobrazení přesné počty využívaných aplikací a případně můžete sledovat, do kterých aplikací vám uživatelé přistupují a zda chcete, aby vám tam přistupovali. Pokud máte nějakou kritickou aplikaci napojenu na vašeho tenanta, pak máte možnost sledovat IP adresu, místo, internetový prohlížeč a datum a čas přístupu každého z uživatelů.
Tím bychom dnes měli rychlý přehled nad novým Azure Active Directory Activity Log dashboardem, který vám jistě pomůže lépe porozumět vašim uživatelům a jejich chování. Pomůže vám zajistit si detailnější pohled na bezpečnost všech služeb a to právě díky integraci všech logů z Online služeb do jediného místa. V neposlední řadě vám pomůže sledovat aktivitu vašeho dodavatele, který pro vás zajištuje správu tohoto prostředí, jelikož tento log, proti logu serverovému nelze smazat.
Daniel Hejda | Senior konzultant KPCS and P-Seller Microsoft
MCSD: Azure Solutions Architect
MCSE: Cloud Platform and Infrastructure
MCSE: Productivity
MCSE: Server Infrastructure
MCSE: Messaging
MCSA: Windows Server 2012
MCSA: Office 365