Schéma protokolů aktivit Microsoft Entra

Tento článek popisuje informace obsažené v protokolech aktivit Microsoft Entra a způsob, jakým je schéma používáno jinými službami. Tento článek popisuje schémata z Centra pro správu Microsoft Entra a Microsoft Graphu. Jsou k dispozici popisy některých klíčových polí.

Požadavky

• Informace o požadavcích na licence a role najdete v tématu Monitorování a licencování stavu microsoftu Entra.
• Možnost stáhnout protokoly je k dispozici ve všech edicích MICROSOFT Entra ID.
• Stažení protokolů pomocí Microsoft Graphu prostřednictvím kódu programu vyžaduje licenci Premium.
• Čtenář sestav je nejméně privilegovaná role potřebná k zobrazení protokolů aktivit Microsoft Entra.
• Protokoly auditu jsou k dispozici pro funkce, které máte licencované.
• Pokud nemáte požadovanou licenci, výsledky staženého protokolu se můžou u některých vlastností zobrazit hidden .

Co je schéma protokolu?

Monitorování a stav Microsoft Entra nabízí protokoly, sestavy a monitorovací nástroje, které je možné integrovat se službou Azure Monitor, Microsoft Sentinel a dalšími službami. Tyto služby musí mapovat vlastnosti protokolů na konfigurace jejich služby. Schéma je mapa vlastností, možných hodnot a způsobu jejich použití službou. Pochopení schématu protokolu je užitečné pro efektivní řešení potíží a interpretaci dat.

Microsoft Graph je primární způsob přístupu k protokolům Microsoft Entra prostřednictvím kódu programu. Odpověď na volání Microsoft Graphu je ve formátu JSON a obsahuje vlastnosti a hodnoty protokolu. Schéma protokolů je definováno v dokumentaci k Microsoft Graphu.

Rozhraní Microsoft Graph API má dva koncové body. Koncový bod V1.0 je nejstabilnější a běžně se používá pro produkční prostředí. Beta verze často obsahuje více vlastností, ale můžou se změnit. Z tohoto důvodu nedoporučujeme používat beta verzi schématu v produkčních prostředích.

Zákazník Microsoft Entra může nakonfigurovat streamy protokolu aktivit tak, aby se odesílaly do účtů úložiště služby Azure Monitor. Tato integrace umožňuje připojení k informacím o zabezpečení a správě událostí (SIEM), dlouhodobé úložiště a vylepšené možnosti dotazování pomocí Log Analytics. Schémata protokolů pro Azure Monitor se můžou lišit od schémat Microsoft Graphu.

Úplné podrobnosti o těchto schématech najdete v následujících článcích:

• Protokoly auditu služby Azure Monitor
• Protokoly přihlašování ke službě Azure Monitor
• Protokoly zřizování služby Azure Monitor
• Protokoly auditu Microsoft Graphu
• Protokoly přihlašování k Microsoft Graphu
• Protokoly zřizování Microsoft Graphu

Jak interpretovat schéma

Při vyhledávání definic hodnoty věnujte pozornost verzi, kterou používáte. Mezi verzemi V1.0 a beta verzí schématu můžou být rozdíly.

Hodnoty nalezené ve všech schématech protokolu

Některé hodnoty jsou společné pro všechna schémata protokolů.

• correlationId: Toto jedinečné ID pomáhá korelovat aktivity napříč různými službami a slouží k řešení potíží. Přítomnost této hodnoty v několika protokolech neznačí schopnost připojit protokoly mezi službami.
• status nebo result: Tato důležitá hodnota označuje výsledek aktivity. Možné hodnoty jsou: success, failure, timeout, unknownFutureValue.
• Datum a čas: Datum a čas, kdy došlo k aktivitě, je ve standardu UTC (Coordinated Universal Time).
• Některé funkce vytváření sestav vyžadují licenci Microsoft Entra ID P2. Pokud nemáte správné licence, vrátí se hodnota hidden .

Protokoly auditu

• activityDisplayName: Označuje název aktivity nebo název operace (příklady: Vytvořit uživatele a Přidat člena do skupiny). Další informace najdete v tématu Aktivity protokolu auditu.
• category: Určuje, na kterou kategorii prostředků cílí aktivita. Příklad: UserManagement, GroupManagement, ApplicationManagement, RoleManagement. Další informace najdete v tématu Aktivity protokolu auditu.
• initiatedBy: Označuje informace o uživateli nebo aplikaci, která aktivitu iniciovala.
• targetResources: Poskytuje informace o tom, který prostředek byl změněn. Možné hodnoty zahrnují User, , Device, Directory, RoleApp, , Group, Policy nebo Other.

Protokoly přihlašování

• Hodnoty ID: Pro uživatele, tenanty, aplikace a prostředky existují jedinečné identifikátory. Mezi příklady patří:
  • resourceId: Prostředek, ke kterému se uživatel přihlásil.
  • resourceTenantId: Tenant, který vlastní prostředek , ke kterému se přistupuje. Může to být stejné jako .homeTenantId
  • homeTenantId: Tenant, který vlastní uživatelský účet , který se přihlašuje.
• Podrobnosti o riziku: Poskytuje důvod za konkrétním stavem rizikového uživatele, přihlášení nebo detekce rizik.
  • riskState: Zaznamenává stav rizikového uživatele, přihlášení nebo rizikové události.
  • riskDetail: Poskytuje důvod za konkrétním stavem rizikového uživatele, přihlášení nebo detekce rizik. Hodnota none znamená, že uživatel nebo se zatím neprováděla žádná akce.
  • riskEventTypes_v2: Typy detekce rizik přidružené k přihlášení.
  • riskLevelAggregated: Agregovaná úroveň rizika. hidden Hodnota znamená, že uživatel nebo přihlášení nebylo pro Microsoft Entra ID Protection povolené.
• crossTenantAccessType: Popisuje typ přístupu mezi tenanty, který se používá pro přístup k prostředku. Tady jsou například zaznamenány přihlášení B2B, podpora Microsoftu a předávací přihlášení.
• status: Stav přihlášení, který obsahuje kód chyby a popis chyby (pokud dojde k chybě přihlášení).

Použité zásady podmíněného přístupu

Pododdíl appliedConditionalAccessPolicies obsahuje seznam zásad podmíněného přístupu souvisejících s danou událostí přihlášení. Oddíl se nazývá použité zásady podmíněného přístupu, ale zásady, které nebyly použity, se zobrazí také v této části. Pro každou zásadu se vytvoří samostatná položka. Další informace najdete v tématu o typu prostředku conditionalAccessPolicy.