Jak přejít na protokoly aktivit v Microsoft Entra ID
Data shromážděná v protokolech Microsoft Entra umožňují vyhodnotit mnoho aspektů vašeho tenanta Microsoft Entra. Pokud chcete pokrýt širokou škálu scénářů, poskytuje Microsoft Entra ID několik možností pro přístup k datům protokolu aktivit. Jako správce IT potřebujete porozumět zamýšleným případům použití těchto možností, abyste pro svůj scénář mohli vybrat správnou metodu přístupu.
K protokolům a sestavám aktivit Microsoft Entra můžete přistupovat pomocí následujících metod:
- Streamování protokolů aktivit do centra událostí za účelem integrace s jinými nástroji
- Přístup k protokolům aktivit prostřednictvím rozhraní Microsoft Graph API
- Integrace protokolů aktivit s protokoly služby Azure Monitor
- Monitorování aktivity v reálném čase pomocí Služby Microsoft Sentinel
- Zobrazení protokolů aktivit a sestav na webu Azure Portal
- Export protokolů aktivit pro úložiště a dotazy
Každá z těchto metod poskytuje možnosti, které můžou být v souladu s určitými scénáři. Tento článek popisuje tyto scénáře, včetně doporučení a podrobností o souvisejících sestavách, které používají data v protokolech aktivit. Prozkoumejte možnosti v tomto článku a seznamte se s těmito scénáři, abyste mohli zvolit správnou metodu.
Požadavky
- Funkční tenant Microsoft Entra s příslušnou licencí Microsoft Entra, která je k němu přidružená.
- Protokoly auditu jsou k dispozici pro funkce, které máte licencované.
- Čtenář sestav je nejméně privilegovaná role požadovaná pro přístup k protokolům aktivit.
- Správce zabezpečení je nejméně privilegovaná role potřebná ke konfiguraci nastavení diagnostiky.
- Pokud chcete udělit souhlas s požadovanými oprávněními k zobrazení protokolů pomocí Microsoft Graphu , potřebujete správce privilegovaných rolí.
- Úplný seznam rolí najdete v tématu Nejméně privilegovaná role podle úkolu.
Požadované licence se liší v závislosti na funkcích monitorování a stavu.
Schopnost | Microsoft Entra ID zdarma | Microsoft Entra ID P1 nebo P2 / Microsoft Entra Suite |
---|---|---|
Protokoly auditu | Ano | Yes |
Protokoly přihlašování | Ano | Yes |
Protokoly zřizování | No | Ano |
Vlastní atributy zabezpečení | Ano | Yes |
Zdravotnictví | No | Ano |
Protokoly aktivit Microsoft Graphu | No | Ano |
Přehledy a využití | No | Ano |
Zobrazení protokolů prostřednictvím Centra pro správu Microsoft Entra
U jednorázových šetření s omezeným rozsahem je centrum pro správu Microsoft Entra často nejjednodušší způsob, jak najít potřebná data. Uživatelské rozhraní pro každou z těchto sestav nabízí možnosti filtru, které vám umožní najít položky, které potřebujete k vyřešení vašeho scénáře.
Data zachycená v protokolech aktivit Microsoft Entra se používají v mnoha sestavách a službách. Protokoly přihlašování, auditu a zřizování můžete zkontrolovat v jednorázových scénářích nebo pomocí sestav podívat se na vzory a trendy. Data z protokolů aktivit pomáhají naplnit sestavy identity Protection, které poskytují detekce rizik souvisejících se zabezpečením informací, které může Microsoft Entra ID detekovat a hlásit. Protokoly aktivit Microsoft Entra také naplňují sestavy využití a přehledů, které poskytují podrobnosti o využití pro aplikace vašeho tenanta.
Doporučené použití
Sestavy dostupné na webu Azure Portal poskytují širokou škálu možností pro monitorování aktivit a využití ve vašem tenantovi. Následující seznam použití a scénářů není vyčerpávající, proto prozkoumejte sestavy podle svých potřeb.
- Prohledáte přihlašovací aktivitu uživatele nebo sledujte využití aplikace.
- Zkontrolujte podrobnosti o změnách názvů skupin, registraci zařízení a resetování hesel pomocí protokolů auditu.
- Sestavy identity Protection slouží k monitorování rizikových uživatelů, rizikových identit úloh a rizikových přihlášení.
- Zkontrolujte úspěšnost přihlášení v sestavě aktivit aplikace Microsoft Entra (Preview) ze sestavy Využití a přehledy, abyste měli jistotu, že vaši uživatelé budou mít přístup k aplikacím, které se používají ve vašem tenantovi.
- Porovnejte různé metody ověřování, které uživatelé preferují, se sestavou metod ověřování ze sestavy Využití a přehledy.
Rychlé kroky
Pro přístup k sestavám v Centru pro správu Microsoft Entra použijte následující základní kroky.
- Přejděte k >protokolům auditu monitorování identit a auditu>stavu– Protokoly/zřizování protokolů/ přihlášení.
- Upravte filtr podle svých potřeb.
Protokoly auditu jsou přístupné přímo z oblasti Centra pro správu Microsoft Entra, kde pracujete. Pokud jste například v části Skupiny nebo licence ID Microsoft Entra, budete mít přístup k protokolům auditu pro konkrétní aktivity přímo z této oblasti. Když tímto způsobem přistupujete k protokolům auditu, kategorie filtrů se automaticky nastaví. Pokud jste ve skupinách, je kategorie filtru protokolu auditu nastavená na GroupManagement.
Streamování protokolů do centra událostí pro integraci s nástroji SIEM
Streamování protokolů aktivit do centra událostí se vyžaduje k integraci protokolů aktivit s nástroji SIEM (Security Information and Event Management), jako jsou Splunk a SumoLogic. Než budete moct streamovat protokoly do centra událostí, musíte ve svém předplatném Azure nastavit obor názvů služby Event Hubs a centrum událostí.
Doporučené použití
Nástroje SIEM, které můžete integrovat s centrem událostí, můžou poskytovat možnosti analýzy a monitorování. Pokud už tyto nástroje používáte k ingestování dat z jiných zdrojů, můžete streamovat data identity pro komplexnější analýzu a monitorování. Pro následující typy scénářů doporučujeme streamovat protokoly aktivit do centra událostí:
- K příjmu a zpracování milionů událostí za sekundu potřebujete platformu pro streamování velkých objemů dat a službu pro příjem událostí.
- Chcete transformovat a ukládat data pomocí poskytovatele analýz v reálném čase nebo adaptérů dávkování a úložiště.
Rychlé kroky
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.
- Vytvořte obor názvů služby Event Hubs a centrum událostí.
- Přejděte do nastavení diagnostiky stavu a>monitorování identit>.
- Zvolte protokoly, které chcete streamovat, vyberte možnost Stream do centra událostí a vyplňte pole.
Nezávislý dodavatel zabezpečení by vám měl poskytnout pokyny, jak ingestovat data ze služby Azure Event Hubs do svého nástroje.
Přístup k protokolům pomocí rozhraní Microsoft Graph API
Rozhraní Microsoft Graph API poskytuje jednotný model programovatelnosti, který můžete použít pro přístup k datům pro tenanty Microsoft Entra ID P1 nebo P2. Nevyžaduje, aby správce nebo vývojář nastavil další infrastrukturu pro podporu vašeho skriptu nebo aplikace.
Tip
Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.
Doporučené použití
Pomocí Microsoft Graph Exploreru můžete spouštět dotazy, které vám pomůžou s následujícími typy scénářů:
- Umožňuje zobrazit aktivity tenanta, například kdo provedl změnu skupiny a kdy.
- Označte přihlašovací událost Microsoft Entra jako bezpečnou nebo potvrzenou ohrožení zabezpečení.
- Načtěte seznam přihlášení aplikací za posledních 30 dnů.
Poznámka:
Microsoft Graph umožňuje přístup k datům z více služeb, které mají vlastní limity omezování. Další informace o omezování protokolu aktivit najdete v tématu Omezení omezení specifické pro službu Microsoft Graph.
Rychlé kroky
- Nakonfigurujte požadavky.
- Přihlaste se k Graph Exploreru.
- Nastavte metodu HTTP a verzi rozhraní API.
- Přidejte dotaz a pak vyberte tlačítko Spustit dotaz .
Integrace protokolů s protokoly služby Azure Monitor
Díky integraci protokolů služby Azure Monitor můžete povolit bohaté vizualizace, monitorování a upozorňování na připojená data. Log Analytics poskytuje rozšířené možnosti dotazování a analýzy pro protokoly aktivit Microsoft Entra. Pokud chcete integrovat protokoly aktivit Microsoft Entra s protokoly služby Azure Monitor, potřebujete pracovní prostor služby Log Analytics. Odtud můžete spouštět dotazy prostřednictvím Log Analytics.
Doporučené použití
Integrace protokolů Microsoft Entra s protokoly Azure Monitoru poskytuje centralizované umístění pro dotazování protokolů. Pro následující typy scénářů doporučujeme integrovat protokoly se službou Azure Monitor:
- Porovnejte protokoly přihlašování Microsoft Entra s protokoly publikovanými jinými službami Azure.
- Korelujte protokoly přihlašování s Aplikace Azure lication Insights.
- Dotazování protokolů pomocí konkrétních parametrů hledání
Rychlé kroky
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.
- Vytvořte pracovní prostor služby Log Analytics.
- Přejděte do nastavení diagnostiky stavu a>monitorování identit>.
- Zvolte protokoly, které chcete streamovat, vyberte možnost Odeslat do pracovního prostoru služby Log Analytics a vyplňte pole.
- Přejděte do služby Log Analytics pro monitorování identit>a stav>a začněte dotazovat data.
Monitorování událostí pomocí Služby Microsoft Sentinel
Odesílání protokolů přihlašování a auditu do Služby Microsoft Sentinel poskytuje centrum operací zabezpečení s detekcí zabezpečení a proaktivním vyhledáváním hrozeb téměř v reálném čase. Pojem proaktivní proaktivní vyhledávání hrozeb označuje proaktivní přístup ke zlepšení stavu zabezpečení vašeho prostředí. Na rozdíl od klasické ochrany se vyhledávání hrozeb snaží proaktivně identifikovat potenciální hrozby, které by mohly poškodit váš systém. Data protokolu aktivit můžou být součástí vašeho řešení proaktivního vyhledávání hrozeb.
Doporučené použití
Pokud vaše organizace potřebuje analýzu zabezpečení a analýzu hrozeb, doporučujeme používat funkce detekce zabezpečení služby Microsoft Sentinel v reálném čase. Pokud potřebujete:
- Shromážděte data zabezpečení v celém podniku.
- Detekce hrozeb pomocí rozsáhlé analýzy hrozeb
- Prozkoumejte kritické incidenty řízené AI.
- Rychle reagovat a automatizovat ochranu
Rychlé kroky
- Přečtěte si o požadavcích, rolích a oprávněních.
- Odhad potenciálních nákladů
- Připojte se k Microsoft Sentinelu.
- Shromážděte data Microsoft Entra.
- Začněte hledat hrozby.
Export protokolů pro úložiště a dotazy
Správné řešení pro dlouhodobé úložiště závisí na vašem rozpočtu a na tom, co plánujete s daty dělat. Máte tři možnosti:
- Archivace protokolů do Azure Storage
- Stažení protokolů pro ruční úložiště
- Integrace protokolů s protokoly služby Azure Monitor
Azure Storage je správné řešení, pokud neplánujete často dotazovat data. Další informace najdete v tématu Archivace protokolů adresáře do účtu úložiště.
Pokud máte v úmyslu dotazovat se na protokoly, které často spouštějí sestavy nebo provádějí analýzu uložených protokolů, měli byste data integrovat s protokoly služby Azure Monitor.
Pokud je váš rozpočet těsný a potřebujete levnou metodu pro vytvoření dlouhodobé zálohy protokolů aktivit, můžete si protokoly stáhnout ručně. Uživatelské rozhraní protokolů aktivit na portálu poskytuje možnost stáhnout data jako JSON nebo CSV. Jedním kompromisem z ručního stahování je, že vyžaduje větší ruční interakci. Pokud hledáte profesionálnější řešení, použijte Azure Storage nebo Azure Monitor.
Doporučené použití
Doporučujeme nastavit účet úložiště pro archivaci protokolů aktivit pro tyto scénáře zásad správného řízení a dodržování předpisů, ve kterých se vyžaduje dlouhodobé úložiště.
Pokud chcete dlouhodobé úložiště a chcete spouštět dotazy na data, projděte si část věnovanou integraci protokolů aktivit s protokoly služby Azure Monitor.
Pokud máte rozpočtová omezení, doporučujeme ručně stahovat a ukládat protokoly aktivit.
Rychlé kroky
K archivaci nebo stažení protokolů aktivit použijte následující základní kroky.