Co je monitorování a zdraví systému Microsoft Entra?
Funkce monitorování a stavu Microsoft Entra poskytují komplexní přehled aktivit souvisejících s identitou ve vašem prostředí. Tato data umožňují:
- Určete, jak vaši uživatelé využívají vaše aplikace a služby.
- Detekujte potenciální rizika ovlivňující stav vašeho prostředí.
- Vyřešte problémy, které uživatelům brání v práci.
- Získejte přehled o událostech auditu změn v adresáři Microsoft Entra.
Protokoly přihlašování a auditu obsahují protokoly aktivit v pozadí mnoha sestav Microsoft Entra, které je možné použít k analýze, monitorování a řešení problémů s aktivitami ve vašem nájemci. Směrování protokolů aktivit do řešení analýzy a monitorování poskytuje lepší přehled o stavu a zabezpečení vašeho tenanta.
Tento článek popisuje typy protokolů aktivit dostupné v Microsoft Entra ID, sestavy, které používají protokoly, a monitorovací služby, které vám pomůžou analyzovat data.
Protokoly aktivit identit
Protokoly aktivit pomáhají pochopit chování uživatelů ve vaší organizaci. V MICROSOFT Entra ID existují tři typy protokolů aktivit:
Protokoly auditu zahrnují historii všech úloh provedených ve vašem prostředí.
Protokoly přihlášení zaznamenávají pokusy o přihlášení uživatelů a klientských aplikací.
Protokoly zřizování poskytují informace o uživatelích, kteří byli zřízeni prostřednictvím služby třetí strany ve vašem nájemním prostoru.
Protokoly aktivit můžete zobrazit na webu Azure Portal nebo pomocí rozhraní Microsoft Graph API. Protokoly aktivit je také možné směrovat do různých koncových bodů pro úložiště nebo analýzu. Další informace o všech možnostech zobrazení protokolů aktivit najdete v tématu Jak získat přístup k protokolům aktivit.
Protokoly auditu
Protokoly auditu poskytují záznamy systémových aktivit pro dodržování předpisů. Tato data umožňují řešit běžné scénáře tohoto typu:
- Někdo v mém tenantovi získal přístup ke správcovské skupině. Kdo jim dal přístup?
- Chci znát seznam uživatelů, kteří se přihlašují k určité aplikaci, protože jsem nedávno aplikaci onboardoval a chtěl vědět, jestli to funguje dobře.
- Chci vědět, kolik resetování hesel probíhá v mém tenantovi.
Protokoly přihlašování
Protokoly přihlašování umožňují najít odpovědi na otázky, jako jsou:
- Jaký je vzorec přihlašování uživatele?
- Kolik uživatelů se přihlásilo za týden?
- Jaký je stav těchto přihlášení?
Protokoly zřizování
Pomocí protokolů zřizování můžete najít odpovědi na otázky, například:
- Jaké skupiny byly úspěšně vytvořeny ve službě ServiceNow?
- Kteří uživatelé byli úspěšně odebráni z Adobe?
- Kteří uživatelé z Workday byli úspěšně vytvořeni ve službě Active Directory?
Zprávy o identitách
Kontrola dat v protokolech aktivit Microsoft Entra může poskytnout užitečné informace pro správce IT. Abychom zjednodušili proces kontroly dat v klíčových scénářích, vytvořili jsme několik sestav o běžných scénářích, které používají protokoly aktivit.
- Služba Identity Protection používá přihlašovací data k vytváření sestav o rizikových uživatelích a aktivitách přihlašování.
- Aktivity související s vašimi aplikacemi, jako je aktivita servisního účtu a přihlašovacích údajů aplikace, se používají k vytváření sestav v Využití a přehledy.
- Sešity Microsoft Entra poskytují přizpůsobitelný způsob zobrazení a analýzy protokolů aktivit.
- Pomocí doporučení Microsoft Entra můžete monitorovat a zlepšovat zabezpečení tenanta.
- Microsoft Entra Health zachytává globální dosažení smlouvy o úrovni služeb a signály stavu pro několik klíčových scénářů.
Monitorování identit a stav tenanta
Kontrola protokolů aktivit Microsoft Entra je prvním krokem při údržbě a vylepšení stavu a zabezpečení vašeho tenanta. Potřebujete analyzovat data, monitorovat rizikové scénáře a určit, kde můžete provádět vylepšení. Monitorování Microsoft Entra poskytuje nezbytné nástroje, které vám pomůžou činit informovaná rozhodnutí.
Monitorování protokolů aktivit Microsoft Entra vyžaduje směrování dat protokolu do řešení monitorování a analýzy. Mezi koncové body patří protokoly služby Azure Monitor, Microsoft Sentinel nebo nástroj pro správu událostí (SIEM) jiného řešení třetí strany.
- Streamování protokolů do centra událostí pro integraci s nástroji SIEM třetích stran
- Integrace protokolů s protokoly azure Monitoru
- Analyzujte protokoly pomocí protokolů služby Azure Monitor a Log Analytics.
Případy použití
Způsob použití dostupných protokolů, sestav a monitorovacích služeb závisí na potřebách vaší organizace. Pokud chcete lépe určit prioritu případů použití a řešení, může vám pomoct zjistit, jak spolu tato řešení souvisí, jak se liší a jak se dají používat společně.
Úvahy
- Uchovávání – Délka uchování protokolů: ukládání auditních protokolů a protokolů přihlášení Microsoft Entra déle než 30 dnů
- Analýza – Protokoly se dají prohledávat pomocí analytických nástrojů
- Přehledy provozu a zabezpečení – Poskytují přístup k využití aplikací, chybám přihlášení, samoobslužným používáním, trendům atd.
- Integrace SIEM - Microsoft Entra přihlašovací protokoly a protokoly auditu propojte a streamujte do systémů SIEM
Pomocí monitorování Microsoft Entra můžete směrovat a uchovávat protokoly aktivit Microsoft Entra pro dlouhodobé generování sestav a analýzu, čímž získáte přehledy o prostředí a integrujete je s nástroji SIEM. Následující vývojový diagram rozhodování vám pomůže vybrat architekturu.
Přehled přístupu k protokolům aktivit, jejich ukládání a analýze najdete v tématu Přístup k protokolům aktivit.