Welche Identitätsprotokolle können Sie an einen Endpunkt streamen?

Mithilfe von Microsoft Entra-Diagnoseeinstellungen können Sie Aktivitätsprotokolle zur langfristigen Aufbewahrung und Gewinnung von Erkenntnissen zu Daten an mehrere Endpunkte weiterleiten. Wählen Sie die Protokolle, die Sie weiterleiten möchten, und dann den Endpunkt aus.

In diesem Artikel werden die Protokolle beschrieben, die Sie mit den Microsoft Entra-Diagnoseeinstellungen an einen Endpunkt weiterleiten können.

Anforderungen und Optionen für das Protokollstreaming

Das Einrichten eines Endpunkts, z. B. eines Event Hubs oder Speicherkontos, erfordert möglicherweise unterschiedliche Rollen und Lizenzen. Um eine neue Diagnoseeinstellung zu erstellen oder zu bearbeiten, benötigen Sie ein Benutzerkonto, das Sicherheitsadmin für den Microsoft Entra-Mandanten ist.

Unterstützung bei der Entscheidung, welche Möglichkeit für das Protokollrouting für Sie am besten geeignet ist, finden Sie unter Zugreifen auf Aktivitätsprotokolle. Der allgemeine Prozess und die Anforderungen für die einzelnen Endpunkttypen werden in den folgenden Artikeln behandelt:

• Senden von Protokollen an einen Log Analytics-Arbeitsbereich zur Integration in Azure Monitor-Protokolle
• Archivieren von Protokollen in einem Speicherkonto
• Streamen von Protokollen an einen Event Hub
• Senden an eine Partnerlösung

Optionen für Aktivitätsprotokolle

Die folgenden Protokolle können zur Speicherung, Analyse oder Überwachung an einen Endpunkt weitergeleitet werden.

Überwachungsprotokolle

Der AuditLogs-Bericht erfasst Änderungen an Anwendungen, Gruppen, Benutzern und Lizenzen in Ihrem Microsoft Entra-Mandanten. Nachdem Sie Ihre Überwachungsprotokolle weitergeleitet haben, können Sie sie nach dem Datum oder der Uhrzeit, dem Dienst, der das Ereignis protokolliert hat, und dem Benutzer, der die Änderung vorgenommen hat, filtern oder analysieren. Weitere Informationen finden Sie unter Überwachungsprotokolle.

Anmeldeprotokolle

Die SignInLogs-Protokolle senden die interaktiven Anmeldeprotokolle. Dies sind Protokolle, die von Ihren Benutzern durch die Anmeldung generiert worden sind. Anmeldeprotokolle werden von Benutzern generiert, wenn sie ihren Benutzernamen und ihr Kennwort in einem Microsoft Entra-Anmeldebildschirm angeben oder sie eine MFA-Abfrage bestanden haben. Weitere Informationen finden Sie unter Interaktive Benutzeranmeldungen.

Nicht interaktive Anmeldungeprotokolle

Bei NonInteractiveUserSIgnInLogs-Protokollen handelt es sich um Anmeldungen, die im Namen eines Benutzers erfolgen, z. B. durch eine Client-App. Das Gerät oder der Client verwenden dabei ein Token oder einen Code für die Authentifizierung oder den Zugriff einer Ressource im Namen eines Benutzers. Weitere Informationen finden Sie unter Nicht interaktive Benutzeranmeldungen.

Dienstprinzipalanmeldeprotokolle

Wenn Sie die Anmeldeaktivität für Anwendungen oder Dienstprinzipale überprüfen müssen, sind die ServicePrincipalSignInLogs-Protokolle dafür eine gute Möglichkeit. In diesen Szenarien werden Zertifikate oder Clientgeheimnisse für die Authentifizierung verwendet. Weitere Informationen finden Sie unter Dienstprinzipalanmeldungen.

Protokolle für die Anmeldung über verwaltete Identitäten

Die ManagedIdentitySignInLogs-Protokolle liefern ähnliche Erkenntnisse wie die Dienstprinzipalanmeldeprotokolle, jedoch für verwaltete Identitäten, bei denen Azure die Geheimnisse verwaltet. Weitere Informationen finden Sie unter Anmeldung über verwaltete Identitäten.

Bereitstellungsprotokolle

Wenn Ihre Organisation Benutzerkonten mithilfe einer Nicht-Microsoft-Anwendung wie Workday oder ServiceNow bereitstellt, sollten Sie die ProvisioningLogs-Berichte exportieren. Weitere Informationen finden Sie unter Bereitstellungsprotokolle.

AD FS-Anmeldeprotokolle

Anmeldeaktivitäten für Active Directory-Verbunddienste (AD FS) werden in diesen Nutzungs- und Erkenntnisberichten erfasst. Sie können den ADFSSignInLogs-Bericht exportieren, um die Anmeldeaktivität für AD FS-Anwendungen zu überwachen. Weitere Informationen finden Sie unter AD FS-Anmeldeprotokolle.

Riskante Benutzer

Die RiskyUsers-Protokolle identifizieren Benutzer, die basierend auf ihrer Anmeldeaktivität gefährdet sind. Dieser Bericht ist Teil von Microsoft Entra ID Protection und verwendet Anmeldedaten aus Microsoft Entra ID. Weitere Informationen finden Sie unter Was ist Microsoft Entra ID Protection.

Benutzerrisikoereignisse

Die UserRiskEvents-Protokolle sind Teil von Microsoft Entra ID Protection. Diese Protokolle erfassen Details zu riskanten Anmeldeereignissen. Weitere Informationen finden Sie im Artikel Untersuchen von Risiken.

Datenverkehrsprotokolle für Netzwerkzugriff

Die NetworkAccessTrafficLogs-Protokolle sind mit dem Microsoft Entra-Internetzugriff und dem Microsoft Entra-Privatzugriff verknüpft. Die Protokolle werden zwar in Microsoft Entra ID angezeigt, durch Auswählen der Option werden Ihrem Arbeitsbereich aber keine neuen Protokolle hinzugefügt, es sei denn, Ihre Organisation verwendet Microsoft Entra-Internetzugriff und Microsoft Entra-Privatzugriff, um den Zugriff auf Ihre Unternehmensressourcen zu sichern. Weitere Informationen finden Sie unter Was ist Global Secure Acesse (globaler sicherer Zugriff)?.

Risikodienstprinzipale

Die RiskyServicePrincipals-Protokolle enthalten Informationen zu Dienstprinzipalen, die von Microsoft Entra ID Protection als riskant eingestuft wurden. Dienstprinzipalrisiken stellen die Wahrscheinlichkeit dar, dass eine Identität oder ein Konto kompromittiert wurde. Diese Risiken werden mithilfe von Daten und Mustern aus internen und externen Threat Intelligence-Quellen von Microsoft asynchron berechnet. Zu diesen Quellen zählen Sicherheitsforscher, Strafverfolgungsexperten und Sicherheitsteams bei Microsoft. Weitere Informationen finden Sie unter Sichern von Workload-Identitäten.

Dienstprinzipalrisikoereignisse

Die ServicePrincipalRiskEvents-Protokolle enthalten Details zu den riskanten Anmeldeereignissen für Dienstprinzipale. Diese Protokolle können alle identifizierten verdächtigen Ereignisse im Zusammenhang mit den Dienstprinzipalkonten enthalten. Weitere Informationen finden Sie unter Sichern von Workload-Identitäten.

Angereicherte Microsoft 365-Überwachungsprotokolle

Die EnrichedOffice365AuditLogs-Protokolle sind mit den angereicherten Protokollen verknüpft, die Sie für den Microsoft Entra-Internetzugriff aktivieren können. Wenn Sie diese Option auswählen, werden Ihrem Arbeitsbereich keine neuen Protokolle hinzugefügt, es sei denn, Ihre Organisation verwendet Microsoft Entra Internet, um den Zugriff auf Ihren Microsoft 365-Datenverkehr zu sichern und Sie haben die angereicherten Protokolle aktiviert. Weitere Informationen finden Sie unter Verwenden der angereicherten Microsoft 365-Protokolle für Global Secure Access (globalen sicheren Zugriff).

Microsoft Graph-Aktivitätsprotokolle

MicrosoftGraphActivityLogs bietet Administratoren vollständige Einblicke in alle HTTP-Anforderungen, die über die Microsoft Graph-API auf die Ressourcen Ihres Mandanten zugreifen. Sie können diese Protokolle verwenden, um Aktivitäten zu identifizieren, die ein kompromittiertes Benutzerkonto in Ihrem Mandanten durchgeführt hat, oder um problematische oder unerwartete Verhaltensweisen für Clientanwendungen, wie z. B. extreme Aufrufvolumen, zu untersuchen. Leiten Sie diese Protokolle an denselben Log Analytics-Arbeitsbereich mit SignInLogs weiter, um sie mit Informationen von Tokenanforderungen für Anmeldeprotokolle abgleichen zu können. Weitere Informationen finden Sie unter Zugriff auf Microsoft Graph-Aktivitätsprotokolle.

Remotenetzwerk-Integritätsprotokolle

Die RemoteNetworkHealthLogs bieten Einblicke in den Zustand Ihres über Global Secure Access konfigurierten Remote-Netzwerks. Durch Auswählen der Option werden Ihrem Arbeitsbereich keine neuen Protokolle hinzugefügt, es sei denn, Ihre Organisation verwendet Microsoft Entra-Internetzugriff und Microsoft Entra-Privatzugriff, um den Zugriff auf Ihre Unternehmensressourcen zu sichern. Weitere Informationen finden Sie unter Remotenetzwerkintegritätsprotokolle.

Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute

Die CustomSecurityAttributeAuditLogs werden im Abschnitt Benutzerdefinierte Sicherheitsattribute der Diagnoseeinstellungen konfiguriert. Diese Protokolle erfassen Änderungen an benutzerdefinierten Sicherheitsattributen in Ihrem Microsoft Entra-Mandanten. Um diese Protokolle in den Microsoft Entra-Überwachungsprotokollen anzuzeigen, benötigen Sie die Rolle Attributprotokollleser. Um diese Protokolle an einen Endpunkt weiterzuleiten, benötigen Sie die Rollen Attributprotokolladministrator und Sicherheitsadministrator.