Attualmente stiamo lavorando su un progetto di trasformazione del cloud in cui tutta l'infrastruttura viene inserita in Azure.
Al momento utilizziamo una soluzione SIEM per monitorare e valutare eventi in tutto l'ambiente. L'adozione di Azure ha aggiunto un ulteriore livello di azioni amministrative che avremmo bisogno di tenere d'occhio.
Il nostro design utilizza i gruppi AD assegnati ai ruoli RBAC e quindi possiamo monitorare le modifiche a questi gruppi per capire chi ha avuto accesso concesso / revocato raccogliendo i nostri registri DC. Tuttavia, non è possibile verificare se qualcuno ha concesso / revocato i ruoli RBAC alle sottoscrizioni, ai gruppi di risorse o alle risorse di Azure. Ho messo insieme alcuni script di PowerShell che restituirebbero i dati richiesti, quindi è bene sapere che i dati sono disponibili e disponibili, tuttavia sembra che non ci sia un modo nativo per ottenere questi dati in una soluzione SIEM.
Qualcuno è riuscito a ottenere questo tipo di dati nel proprio SIEM? Immagino che si possa ottenere con uno script PowerShell che funzioni ogni minuto circa per recuperare i dati e scriverli su un file che il SIEM raccoglie o trasmette in streaming direttamente al SIEM per poi essere analizzato.
Essenzialmente, mirano a mettere in atto qualcosa in modo che io possa visualizzare questi dati all'interno della nostra dashboard SIEM poiché ritengo che sia un rischio significativo non avere visibilità di tali azioni amministrative.
Grazie in anticipo per qualsiasi consiglio.