Condividi tramite


Come accedere ai log attività in Microsoft Entra ID

I dati raccolti nei log di Microsoft Entra consentono di valutare molti aspetti del tenant di Microsoft Entra. Per coprire un'ampia gamma di scenari, Microsoft Entra ID offre diverse opzioni per accedere ai dati del log attività. In qualità di amministratore IT, è necessario comprendere i casi d'uso previsti per queste opzioni, in modo da poter selezionare il meccanismo di accesso appropriato per lo scenario.

È possibile accedere ai log attività e ai report di Microsoft Entra usando i metodi seguenti:

Ognuno di questi metodi offre funzionalità che potrebbero essere allineate a determinati scenari. Questo articolo descrive questi scenari, inclusi i consigli e i dettagli sui report correlati che usano i dati nei log attività. Esplorare le opzioni in questo articolo per informazioni su questi scenari, in modo da poter scegliere il metodo corretto.

Prerequisiti

  • Un tenant Microsoft Entra funzionante con la licenza di Microsoft Entra appropriata associata.
  • I log di controllo sono disponibili per le funzionalità concesse in licenza.
  • Lettore report è il ruolo con privilegi minimi necessari per accedere ai log attività.
  • L'amministratore della sicurezza è il ruolo con privilegi minimi necessario per configurare le impostazioni di diagnostica.
  • Per fornire il consenso alle autorizzazioni necessarie per visualizzare i log con Microsoft Graph, è necessario l'amministratore del ruolo con privilegi.
  • Per un elenco completo dei ruoli, vedere Ruolo con privilegi minimi per attività.

Le licenze necessarie variano in base alle funzionalità di monitoraggio e integrità.

Funzionalità Microsoft Entra ID gratis Microsoft Entra ID P1 o P2/ Microsoft Entra Suite
Log di controllo
Log di accesso
Log di provisioning No
Attributi di sicurezza personalizzati
Integrità No
Log attività di Microsoft Graph No
Utilizzo e informazioni dettagliate No

Visualizzare i log tramite l'interfaccia di amministrazione di Microsoft Entra

Per le indagini occasionali con un ambito limitato, l'interfaccia di amministrazione di Microsoft Entra è spesso il modo più semplice per trovare i dati necessari. L'interfaccia utente per ognuno di questi report offre opzioni di filtro che consentono di trovare le voci necessarie per risolvere lo scenario.

I dati acquisiti nei log attività di Microsoft Entra vengono usati in molti report e servizi. È possibile esaminare i log di accesso, audit e provisioning per scenari occasionali o usare i report per esaminare modelli e tendenze. I dati dei log attività consentono di popolare i report di protezione dell’identità, che forniscono rilevamenti dei rischi correlati alla sicurezza delle informazioni in grado di rilevare e segnalare l'ID di Microsoft Entra. I log attività di Microsoft Entra popolano anche i report utilizzo e informazioni dettagliate, che forniscono i dettagli di utilizzo per le applicazioni del tenant.

I report disponibili nel portale di Azure offrono un'ampia gamma di funzionalità per monitorare le attività e l'utilizzo nel tenant. L'elenco seguente di usi e scenari non è esaustivo, quindi esplorare i report per le proprie esigenze.

  • Ricercare l'attività di accesso di un utente o tenere traccia dell'utilizzo di un'applicazione.
  • Esaminare i dettagli relativi alle modifiche al nome del gruppo, alla registrazione del dispositivo e alle reimpostazioni delle password con i log di audit.
  • Usare i report di protezione dell'identità per il monitoraggio degli utenti a rischio, delle identità del carico di lavoro rischiose e degli accessi a rischio.
  • Esaminare il tasso di esito positivo dell'accesso nel report Attività dell'applicazione Microsoft Entra (anteprima) da Utilizzo e informazioni dettagliate per assicurarsi che gli utenti possano accedere alle applicazioni in uso nel tenant.
  • Confrontare i diversi metodi di autenticazione preferiti dagli utenti con il report Metodi di autenticazione in Utilizzo e informazioni dettagliate.

Azioni rapide

Seguire questa procedura di base per accedere ai report nell'interfaccia di amministrazione di Microsoft Entra.

  1. Andare a Identità>Monitoraggio e integrità>Log di audit/Log di accesso/Log di provisioning.
  2. Regolare il filtro in base alle esigenze.

È possibile accedere ai log di audit direttamente dall'area dell'interfaccia di amministrazione di Microsoft Entra in cui si lavora. Ad esempio, se ci si trova nella sezione Gruppi o Licenze di Microsoft Entra ID, è possibile accedere ai log di audit per tali attività specifiche direttamente da tale area. Quando si accede ai log di audit in questo modo, le categorie di filtro vengono impostate automaticamente. Se ci si trova in Gruppi, la categoria di filtro del log di audit è impostata su GroupManagement.

Trasmettere i log a un hub eventi per l'integrazione con gli strumenti SIEM

Lo streaming dei log attività in un hub eventi è necessario per integrare i log attività con strumenti SIEM (Security Information and Event Management), ad esempio Splunk e SumoLogic. Prima di poter trasmettere i log a un hub eventi, è necessario configurare uno spazio dei nomi di Hub eventi e un hub eventi nella sottoscrizione di Azure.

Gli strumenti SIEM che è possibile integrare con l'hub eventi possono fornire funzionalità di analisi e monitoraggio. Se si usano già questi strumenti per inserire dati da altre origini, è possibile trasmettere i dati di identità per un'analisi e un monitoraggio più completi. È consigliabile trasmettere i log attività a un hub eventi per i tipi di scenari seguenti:

  • È necessaria una piattaforma di streaming per Big Data e un servizio di inserimento eventi per ricevere ed elaborare milioni di eventi al secondo.
  • Si intende trasformare e archiviare i dati usando un provider di analisi in tempo reale o invio in batch/adattatori di archiviazione.

Azioni rapide

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore della sicurezza.
  2. Creare uno spazio dei nomi di Hub eventi e un hub eventi.
  3. Passare a Identità>Monitoraggio e integrità>Impostazioni diagnostiche.
  4. Scegliere i log da trasmettere, selezionare l'opzione Trasmetti a un hub eventi e completare i campi.

Il fornitore di sicurezza indipendente dovrebbe fornire istruzioni su come inserire dati da Hub eventi di Azure nel suo strumento.

Accedere ai log con l'API Microsoft Graph

L'API Microsoft Graph fornisce un modello di programmabilità unificato che è possibile usare per accedere ai dati per i tenant Microsoft Entra ID P1 o P2. Non richiede che un amministratore o uno sviluppatore configuri un'infrastruttura aggiuntiva per supportare lo script o l'app.

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Usando Microsoft Graph Explorer, è possibile eseguire query per semplificare i tipi di scenari seguenti:

  • Visualizzare le attività del tenant, ad esempio chi ha apportato una modifica a un gruppo e quando.
  • Contrassegnare un evento di accesso a Microsoft Entra come sicuro o confermato compromesso.
  • Recuperare un elenco di accessi dell'applicazione per gli ultimi 30 giorni.

Nota

Microsoft Graph consente di accedere ai dati da più servizi che impongono limiti di limitazione. Per altre informazioni sulla limitazione dei log attività, vedere Limiti specifici del servizio Microsoft Graph.

Azioni rapide

  1. Configurare i prerequisiti.
  2. Accedere a Graph explorer.
  3. Impostare il metodo HTTP e la versione dell'API.
  4. Aggiungere una query e selezionare il pulsante Esegui query.

Integrazione con i log di Monitoraggio di Azure

Con l'integrazione dei log di Monitoraggio di Azure, è possibile abilitare visualizzazioni, monitoraggio e avvisi avanzati sui dati connessi. Log Analytics offre funzionalità avanzate di query e analisi per i log attività di Microsoft Entra. Per integrare i log attività di Microsoft Entra con i log di Monitoraggio di Azure, è necessaria un'area di lavoro Log Analytics. Da qui è possibile eseguire query tramite Log Analytics.

L'integrazione dei log di Microsoft Entra con i log di Monitoraggio di Azure offre una posizione centralizzata per l'esecuzione di query sui log. È consigliabile integrare i log con Monitoraggio di Azure per i tipi di scenari seguenti:

  • Confrontare i log di accesso di Microsoft Entra con i log pubblicati da altri servizi di Azure.
  • Correlare i log di accesso ad Azure Application Insights.
  • Eseguire query sui log usando parametri di ricerca specifici.

Azioni rapide

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore della sicurezza.
  2. Creare un'area di lavoro Log Analytics.
  3. Passare a Identità>Monitoraggio e integrità>Impostazioni diagnostiche.
  4. Scegliere i log da trasmettere, selezionare l'opzione Invia a area di lavoro Log Analytics e completare i campi.
  5. Passare a Identità>Monitoraggio e integrità>Log Analytics e avviare il processo di query dei dati.

Monitorare gli eventi con Microsoft Sentinel

L'invio di log di accesso e di audit a Microsoft Sentinel offre al centro operazioni di sicurezza quasi in tempo reale il rilevamento e la ricerca delle minacce. Il termine ricerca delle minacce si riferisce a un approccio proattivo per migliorare il comportamento di sicurezza dell'ambiente. Invece della protezione classica, la ricerca delle minacce tenta di identificare in modo proattivo potenziali minacce che potrebbero danneggiare il sistema. I dati del log attività potrebbero far parte della soluzione di ricerca delle minacce.

È consigliabile usare le funzionalità di rilevamento della sicurezza in tempo reale di Microsoft Sentinel se l'organizzazione necessita di analisi della sicurezza e intelligence sulle minacce. Usare Microsoft Sentinel se è necessario:

  • Raccogliere i dati di sicurezza nell'intera azienda.
  • Rilevare le minacce con un'ampia intelligence sulle minacce.
  • Analizzare gli eventi imprevisti critici guidati dall'IA.
  • Rispondere rapidamente e automatizzare la protezione.

Azioni rapide

  1. Informazioni su prerequisiti, ruoli e autorizzazioni.
  2. Stimare i costi potenziali.
  3. Eseguire l'onboarding in Microsoft Sentinel.
  4. Raccogliere i dati di Microsoft Entra.
  5. Iniziare a cercare le minacce.

Esportare i log per l'archiviazione e le query

La soluzione più adatta per l'archiviazione a lungo termine dipende dal budget e da ciò che si intende eseguire con i dati. Sono disponibili tre opzioni:

  • Archiviare i log in Archiviazione di Azure
  • Scaricare i log per l'archiviazione manuale
  • Integrazione con i log di Monitoraggio di Azure

Archiviazione di Azure è la soluzione ideale se non si prevede di eseguire spesso query sui dati. Per altre informazioni, vedere Archiviare i log di directory in un account di archiviazione.

Se si prevede di eseguire query sui log spesso per eseguire report o eseguire analisi sui log archiviati, è consigliabile integrare i dati con i log di Monitoraggio di Azure.

Se il budget è limitato ed è necessario un metodo economico per creare un backup a lungo termine dei log attività, è possibile scaricare manualmente i log. L'interfaccia utente dei log attività nel portale offre un'opzione per scaricare i dati come JSON o CSV. Un compromesso del download manuale è che richiede un'interazione più manuale. Se si sta cercando una soluzione più professionale, usare Archiviazione di Azure o Monitoraggio di Azure.

È consigliabile configurare un account di archiviazione per archiviare i log attività per gli scenari di governance e conformità in cui è necessaria l'archiviazione a lungo termine.

Se si desidera archiviare a lungo termine e si desidera eseguire query sui dati, vedere la sezione sull'integrazione dei log attività con i log di Monitoraggio di Azure.

Se sono presenti vincoli di budget, è consigliabile scaricare e archiviare manualmente i log attività.

Azioni rapide

Seguire questa procedura di base per archiviare o scaricare i log attività.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore della sicurezza.
  2. Creare un account di archiviazione.
  3. Passare a Identità>Monitoraggio e integrità>Impostazioni diagnostiche.
  4. Scegliere i log da trasmettere, selezionare l'opzione Archivia in un account di archiviazione e completare i campi.

Passaggi successivi