Analýza protokolů aktivit pomocí Microsoft Graphu

Rozhraní API pro vytváření sestav Microsoft Entra poskytují programový přístup k datům prostřednictvím sady rozhraní REST API. Tato rozhraní API můžete volat z mnoha programovacích jazyků a nástrojů.

Tento článek popisuje, jak analyzovat protokoly aktivit Microsoft Entra pomocí Microsoft Graph Exploreru a Microsoft Graph PowerShellu.

Požadavky

• Funkční tenant Microsoft Entra s licencí Microsoft Entra ID P1 nebo P2, která je s ním spojena.
• K vyjádření souhlasu s požadovanými oprávněními potřebujete správce privilegovaných rolí.

Přístup k sestavám pomocí Microsoft Graph Exploreru

Se všemi nakonfigurovanými požadavky můžete spouštět dotazy protokolu aktivit v Microsoft Graphu. Rozhraní Microsoft Graph API není určené pro načítání velkých objemů dat aktivit. Načítání velkých objemů dat aktivit pomocí rozhraní API může vést k problémům se stránkováním a výkonem. Další informace o dotazech Microsoft Graphu na protokoly aktivit najdete v tématu Přehled rozhraní API pro sestavy aktivit.

1. Spusťte nástroj Microsoft Graph Explorer.

2. Vyberte svůj profil a pak vyberte Upravit oprávnění.

3. Souhlas s následujícími požadovanými oprávněními:

   • AuditLog.Read.All
   • Directory.Read.All

4. Pomocí jednoho z následujících dotazů začněte používat Microsoft Graph pro přístup k protokolům aktivit:

   • GET https://graph.microsoft.com/v1.0/auditLogs/directoryAudits
   • GET https://graph.microsoft.com/v1.0/auditLogs/signIns
   • GET https://graph.microsoft.com/v1.0/auditLogs/provisioning

   

Vyladění dotazů

Pokud chcete vyhledat konkrétní položky protokolu aktivit, použijte parametry dotazu $filter a createdDateTime s jednou z dostupných vlastností. Některé z následujících dotazů používají beta koncový bod. Koncový bod beta verze se může změnit a nedoporučuje se pro produkční použití.

• Vlastnosti protokolu přihlášení
• Vlastnosti protokolu auditu

Zkuste použít následující dotazy:

• Při pokusech o přihlášení, kdy se podmíněný přístup nezdařil:

  • GET https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=conditionalAccessStatus eq 'failure'
  • Zvažte použití filtru datumů, aby u žádosti nevypršel časový limit.

• Vyhledání přihlášení ke konkrétní aplikaci během určitého časového rámce:

  • GET https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and appId eq 'APP ID'

• Neinteraktivní přihlášení:

  • GET https://graph.microsoft.com/beta/auditLogs/signIns?$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'nonInteractiveUser')

• Pro přihlášení objektu služby:

  • GET https://graph.microsoft.com/beta/auditLogs/signIns?$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'servicePrincipal')

• Přihlášení spravovaných identit:

  • GET https://graph.microsoft.com/beta/auditLogs/signIns?$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'managedIdentity')

• Získání metody ověřování uživatele:

  • GET https://graph.microsoft.com/beta/users/{userObjectId}/authentication/methods
  • Vyžaduje UserAuthenticationMethod.Read.All oprávnění.

• Chcete-li zobrazit sestavu podrobností o registraci uživatele:

  • GET https://graph.microsoft.com/beta/reports/authenticationMethods/userRegistrationDetails
  • Vyžaduje UserAuthenticationMethod.Read.All oprávnění.

• Podrobnosti o registraci konkrétního uživatele:

  • GET https://graph.microsoft.com/beta/reports/authenticationMethods/userRegistrationDetails/{userId}
  • Vyžaduje UserAuthenticationMethod.Read.All oprávnění.

Související rozhraní API

Jakmile znáte standardní protokoly přihlašování a auditu, zkuste prozkoumat tato další rozhraní API:

• Rozhraní API služby Identity Protection
• API pro správu zřizování logů

Přístup k sestavám pomocí Microsoft Graph PowerShellu

K přístupu k rozhraní API pro generování sestav Microsoft Entra můžete použít PowerShell. Další informace najdete v tématu Microsoft Graph PowerShell – přehled.

Rutiny Microsoft Graph PowerShellu:

• Protokoly auditu:Get-MgAuditLogDirectoryAudit
• Protokoly přihlašování:Get-MgAuditLogSignIn
• Protokoly zřizování:Get-MgAuditLogProvisioning
• Prozkoumejte úplný seznam příkazů cmdlet Microsoft Graph PowerShell souvisejících s generováním sestav.

Běžné chyby

Chyba: Žádný nájemce není B2C nebo nájemce nemá prémiovou licenci: Přístup k sestavám přihlašování vyžaduje licenci Microsoft Entra ID P1 nebo P2. Pokud se vám při přístupu k přihlášení zobrazí tato chybová zpráva, ujistěte se, že je váš tenant licencovaný s licencí Microsoft Entra ID P1.

Chyba: Uživatel není v povolených rolích: Pokud se tato chybová zpráva zobrazí při pokusu o přístup k protokolům auditu nebo přihlášení pomocí rozhraní API, ujistěte se, že je váš účet součástí role Čtenář zabezpečení nebo Čtenář zpráv ve vašem tenantovi služby Microsoft Entra.

Chyba: Aplikace postrádá oprávnění 'Číst data adresáře' nebo 'Číst všechna data protokolu auditu' Microsoft Entra ID: Aplikace musí mít buď AuditLog.Read.All nebo Directory.Read.All oprávnění pro přístup k protokolům aktivit pomocí Microsoft Graphu.

Související obsah

• Začínáme s Microsoft Entra ID Protection a Microsoft Graphem
• Referenční informace k rozhraní API pro audit
• Referenční informace k přihlášení k rozhraní API