Jaké protokoly identit můžete streamovat do koncového bodu?

Pomocí nastavení diagnostiky Microsoft Entra můžete protokoly aktivit směrovat do několika koncových bodů pro dlouhodobé uchovávání a přehledy dat. Vyberte protokoly, které chcete směrovat, a pak vyberte koncový bod.

Tento článek popisuje protokoly, které můžete směrovat do koncového bodu pomocí nastavení diagnostiky Microsoft Entra.

Požadavky a možnosti streamování protokolů

Nastavení koncového bodu, jako je centrum událostí nebo účet úložiště, může vyžadovat různé role a licence. Pokud chcete vytvořit nebo upravit nové nastavení diagnostiky, potřebujete uživatele, který je správcem zabezpečení pro tenanta Microsoft Entra.

Pokud chcete pomoct se rozhodnout, která možnost směrování protokolů je pro vás nejvhodnější, podívejte se, jak získat přístup k protokolům aktivit. Celkový proces a požadavky pro každý typ koncového bodu jsou popsané v následujících článcích:

• Odeslání protokolů do pracovního prostoru služby Log Analytics pro integraci s protokoly azure Monitoru
• Archivace protokolů do účtu úložiště
• Streamování protokolů do centra událostí
• Odeslání do partnerského řešení

Možnosti protokolu aktivit

Následující protokoly je možné směrovat do koncového bodu pro úložiště, analýzu nebo monitorování.

Protokoly auditu

Sestava AuditLogs zaznamenává změny aplikací, skupin, uživatelů a licencí ve vašem tenantovi Microsoft Entra. Po směrování protokolů auditu můžete filtrovat nebo analyzovat podle data a času, služby, která událost protokolovala a kdo provedl změnu. Další informace najdete v protokolech auditu.

Protokoly přihlašování

Odešle SignInLogs interaktivní protokoly přihlašování, které jsou protokoly vygenerované přihlašováním uživatelů. Protokoly přihlášení se generují, když uživatelé zadají svoje uživatelské jméno a heslo na přihlašovací obrazovce Microsoft Entra nebo když projdou výzvou vícefaktorového ověřování. Další informace najdete v tématu Interaktivní přihlášení uživatelů.

Neinteraktivní protokoly přihlašování

Přihlášení NonInteractiveUserSIgnInLogs se provádí jménem uživatele, například klientskou aplikací. Zařízení nebo klient používá token nebo kód k ověření nebo přístupu k prostředku jménem uživatele. Další informace najdete v tématu Neinteraktivní přihlašování uživatelů.

Protokoly přihlašování instančního objektu

Pokud potřebujete zkontrolovat přihlašovací aktivitu pro aplikace nebo instanční objekty, ServicePrincipalSignInLogs může být dobrou volbou. V těchto scénářích se k ověřování používají certifikáty nebo tajné kódy klienta. Další informace najdete v tématu Přihlášení instančního objektu.

Protokoly přihlašování spravované identity

Poskytují ManagedIdentitySignInLogs podobné přehledy jako protokoly přihlašování instančního objektu, ale pro spravované identity, kde Azure spravuje tajné kódy. Další informace najdete v tématu Přihlášení spravované identity.

Protokoly zřizování

Pokud vaše organizace zřídí uživatele prostřednictvím aplikace jiné společnosti než Microsoft, jako je Workday nebo ServiceNow, můžete sestavy ProvisioningLogs exportovat. Další informace najdete v tématu Protokoly zřizování.

Protokoly přihlašování služby AD FS

Přihlašovací aktivita pro aplikace Služby AD FS (Active Directory Federated Services) se zaznamenává v těchto sestavách využití a přehledů. Sestavu ADFSSignInLogs můžete exportovat a monitorovat přihlašovací aktivitu pro aplikace AD FS. Další informace najdete v protokolech přihlašování ke službě AD FS.

Rizikoví uživatelé

Protokoly RiskyUsers identifikují uživatele, kteří jsou ohroženi na základě své přihlašovací aktivity. Tato sestava je součástí služby Microsoft Entra ID Protection a používá přihlašovací data z Microsoft Entra ID. Další informace naleznete v tématu Co je Microsoft Entra ID Protection?.

Rizikové události uživatelů

Protokoly UserRiskEvents jsou součástí služby Microsoft Entra ID Protection. Tyto protokoly zaznamenávají podrobnosti o rizikových událostech přihlašování. Další informace naleznete v tématu Jak prozkoumat riziko.

Protokoly provozu síťového přístupu

Jsou přidruženy NetworkAccessTrafficLogs k Microsoft Entra Přístup k Internetu a Microsoft Entra Soukromý přístup. Protokoly jsou viditelné v Microsoft Entra ID, ale výběrem této možnosti se do pracovního prostoru nepřidají nové protokoly, pokud vaše organizace nepoužívá Microsoft Entra Přístup k Internetu a Microsoft Entra Soukromý přístup k zabezpečení přístupu k firemním prostředkům. Další informace najdete v tématu Co je globální zabezpečený přístup?.

Rizikové instanční objekty

Protokoly RiskyServicePrincipals poskytují informace o instančních objektech, které služba Microsoft Entra ID Protection zjistila jako rizikové. Riziko instančního objektu představuje pravděpodobnost ohrožení identity nebo účtu. Tato rizika se počítají asynchronně pomocí dat a vzorů z interních a externích zdrojů analýzy hrozeb Od Microsoftu. Tyto zdroje můžou zahrnovat odborníky na zabezpečení, odborníky v oblasti prosazování práva a bezpečnostní týmy v Microsoftu. Další informace najdete v tématu Zabezpečení identit úloh.

Události rizika instančního objektu

Podrobnosti ServicePrincipalRiskEvents o rizikových událostech přihlášení pro instanční objekty. Tyto protokoly můžou zahrnovat všechny zjištěné podezřelé události související s účty instančního objektu. Další informace najdete v tématu Zabezpečení identit úloh.

Rozšířené protokoly auditu Microsoftu 365

Jsou EnrichedOffice365AuditLogs přidružené k obohaceným protokolům, které můžete povolit pro Microsoft Entra Přístup k Internetu. Když vyberete tuto možnost, nepřidá se do vašeho pracovního prostoru nové protokoly, pokud vaše organizace nepoužívá Microsoft Entra Internet k zabezpečení přístupu k vašemu provozu Microsoftu 365 a povolili jste rozšířené protokoly. Další informace naleznete v tématu Použití globálního zabezpečeného přístupu rozšířené protokoly Microsoftu 365.

Protokoly aktivit Microsoft Graphu

Poskytuje MicrosoftGraphActivityLogs správcům úplný přehled o všech požadavcích HTTP, které přistupují k prostředkům vašeho tenanta prostřednictvím rozhraní Microsoft Graph API. Tyto protokoly můžete použít k identifikaci aktivit, které ohrožený uživatelský účet provedl ve vašem tenantovi, nebo k prozkoumání problematického nebo neočekávaného chování klientských aplikací, jako jsou například objemy extrémních volání. Tyto protokoly můžete směrovat do stejného pracovního prostoru služby Log Analytics a SignInLogs křížově odkazovat na podrobnosti žádostí o tokeny pro protokoly přihlašování. Další informace najdete v protokolech aktivit Microsoft Graphu.

Protokoly stavu vzdálené sítě

Poskytuje RemoteNetworkHealthLogs přehled o stavu vzdálené sítě nakonfigurované prostřednictvím globálního zabezpečeného přístupu. Výběrem této možnosti nepřidáte do pracovního prostoru nové protokoly, pokud vaše organizace nepoužívá Microsoft Entra Přístup k Internetu a Microsoft Entra Soukromý přístup k zabezpečení přístupu k podnikovým prostředkům. Další informace najdete v tématu Protokoly stavu vzdálené sítě.

Protokoly auditu vlastních atributů zabezpečení

Jsou CustomSecurityAttributeAuditLogs nakonfigurovány v části Vlastní atributy zabezpečení nastavení diagnostiky . Tyto protokoly zaznamenávají změny vlastních atributů zabezpečení ve vašem tenantovi Microsoft Entra. Pokud chcete tyto protokoly zobrazit v protokolech auditu Microsoft Entra, potřebujete roli Čtenář protokolu atributů. Pokud chcete tyto protokoly směrovat do koncového bodu, potřebujete roli správce protokolu atributů a správce zabezpečení.