Come accedere ai log attività in Microsoft Entra ID

I dati raccolti nei log di Microsoft Entra consentono di valutare molti aspetti del tenant di Microsoft Entra. Per coprire un'ampia gamma di scenari, Microsoft Entra ID offre diverse opzioni per accedere ai dati del log attività. In qualità di amministratore IT, è necessario comprendere i casi d'uso previsti per queste opzioni, in modo da poter selezionare il meccanismo di accesso appropriato per lo scenario.

È possibile accedere ai log attività e ai report di Microsoft Entra usando i metodi seguenti:

• Trasmettere i log attività a un hub di eventi per l'integrazione con gli altri strumenti
• Accedere ai log attività tramite l'API Microsoft Graph
• Integrare i log attività con i log di Azure Monitor
• Monitorare l'attività in tempo reale con Microsoft Sentinel
• Visualizzare i log attività e i report nell'interfaccia di amministrazione di Microsoft Entra
• Esportare i log di attività per l'archiviazione e le query

Ognuno di questi metodi offre funzionalità che potrebbero essere allineate a determinati scenari. Questo articolo descrive questi scenari, inclusi i consigli e i dettagli sui report correlati che usano i dati nei log attività. Esplorare le opzioni in questo articolo per informazioni su questi scenari, in modo da poter scegliere il metodo corretto.

Prerequisiti

• Un tenant Microsoft Entra funzionante con la licenza di Microsoft Entra appropriata associata. Per un elenco completo dei requisiti di licenza, vedere Licenze per il monitoraggio e la salute di Microsoft Entra.
• Lettore di report è il ruolo con privilegi minimi necessari per accedere ai registri delle attività.
• L'amministratore della sicurezza è il ruolo con privilegi minimi necessario per configurare le impostazioni di diagnostica.
• I log di controllo sono disponibili per le funzionalità concesse in licenza.
• Per fornire il consenso alle autorizzazioni necessarie per visualizzare i log con Microsoft Graph, è necessario l'amministratore del ruolo con privilegi.
• Per un elenco completo dei ruoli, vedere Ruolo con privilegi minimi per attività.

Le licenze necessarie variano in base alle capacità di monitoraggio e salute.

Capacità	Microsoft Entra ID gratis	Microsoft Entra ID P1 o P2/ Microsoft Entra Suite
Log di controllo	Sì	Sì
Log di accesso	Sì	Sì
Log di provisioning	No	Sì
Attributi di sicurezza personalizzati	Sì	Sì
Integrità	No	Sì
Log attività di Microsoft Graph	No	Sì
Utilizzo e informazioni dettagliate	No	Sì

Visualizzare i log tramite l'interfaccia di amministrazione di Microsoft Entra

Per le indagini occasionali con un ambito limitato, l'interfaccia di amministrazione di Microsoft Entra è spesso il modo più semplice per trovare i dati necessari. L'interfaccia utente per ognuno di questi report offre opzioni di filtro che consentono di trovare le voci necessarie per risolvere lo scenario.

I dati acquisiti nei log attività di Microsoft Entra vengono usati in molti report e servizi. È possibile esaminare i log di accesso, audit e provisioning per scenari occasionali o usare i report per esaminare modelli e tendenze. I dati dei log attività aiutano a popolare i report di protezione dell'identità, che forniscono rilevamenti sui rischi legati alla sicurezza delle informazioni che l'ID di Microsoft Entra può rilevare e segnalare. I registri delle attività di Microsoft Entra popolano anche i report di utilizzo e approfondimenti, che forniscono dettagli sull'utilizzo per le applicazioni del locatario.

Utilizzi consigliati

I report disponibili nel portale di Azure offrono un'ampia gamma di funzionalità per monitorare le attività e l'utilizzo nel tenant. L'elenco seguente di usi e scenari non è esaustivo, quindi esplorare i report per le proprie esigenze.

• Ricercare l'attività di accesso di un utente o tenere traccia dell'utilizzo di un'applicazione.
• Esaminare i dettagli relativi alle modifiche al nome del gruppo, alla registrazione del dispositivo e alle reimpostazioni delle password con i log di audit.
• Usare i report di protezione dell'identità per il monitoraggio degli utenti a rischio, delle identità del carico di lavoro rischiose e degli accessi a rischio.
• Revisionare il tasso di successo dell'accesso nella relazione Attività dell'applicazione Microsoft Entra (anteprima) da Utilizzo e approfondimenti per assicurarsi che gli utenti possano accedere alle applicazioni in uso nel tenant.
• Confronta i diversi metodi di autenticazione preferiti dagli utenti con il report Metodi di autenticazione in Utilizzo e analisi.

Azioni rapide

Seguire questa procedura di base per accedere ai report nell'interfaccia di amministrazione di Microsoft Entra.

Log di attività Microsoft Entra

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno con il ruolo di Lettore report.
2. Andare a Identità>Monitoraggio e integrità>Log di audit/Log di accesso/Log di provisioning.
3. Regolare il filtro in base alle esigenze.
   • Informazioni su come filtrare i log attività
   • Esplorare le categorie e le attività del log di audit di Microsoft Entra
   • Informazioni di base sui log di accesso di Microsoft Entra

È possibile accedere ai log di audit direttamente dall'area dell'interfaccia di amministrazione di Microsoft Entra in cui si lavora. Ad esempio, se ci si trova nella sezione Gruppi o Licenze di Microsoft Entra ID, è possibile accedere ai log di audit per tali attività specifiche direttamente da tale area. Quando si accede ai log di audit in questo modo, le categorie di filtro vengono impostate automaticamente. Ad esempio, se ci si trova in Gruppi, la categoria di filtro del log di controllo è impostata su GestioneGruppi.

Report di Microsoft Entra ID Protection

1. Andare a Protezione>Protezione dell'identità.
2. Esplora i report disponibili.
   • Altre informazioni su Identity Protection
   • Informazioni su come eseguire un'analisi del rischio

Report su utilizzo e informazioni dettagliate

1. Passare a Identità>Monitoraggio e integrità>Utilizzo e informazioni dettagliate.
2. Esplora i report disponibili.
   • Scopri di più sul report di utilizzo e analisi

Trasmettere i log a un hub eventi per l'integrazione con gli strumenti SIEM

Lo streaming dei log attività in un hub eventi è necessario per integrare i log attività con strumenti SIEM (Security Information and Event Management), ad esempio Splunk e SumoLogic. Prima di poter trasmettere i log a un Event Hub, è necessario configurare uno spazio dei nomi di Event Hubs e un Event Hub nella sottoscrizione di Azure.

Utilizzi consigliati

Gli strumenti SIEM che è possibile integrare con l'hub eventi possono fornire funzionalità di analisi e monitoraggio. Se si usano già questi strumenti per inserire dati da altre origini, è possibile trasmettere i dati di identità per un'analisi e un monitoraggio più completi. È consigliabile trasmettere i log attività a un hub eventi per i tipi di scenari seguenti:

• È necessaria una piattaforma di streaming per Big Data e un servizio di inserimento eventi per ricevere ed elaborare milioni di eventi al secondo.
• Si desidera trasformare e archiviare i dati usando un fornitore di analisi in tempo reale o adattatori di batch/archiviazione.

Azioni rapide

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore della sicurezza.
2. Creare uno spazio dei nomi di Event Hub e un hub eventi.
3. Passare a Identità>Monitoraggio e integrità>Impostazioni diagnostiche.
4. Scegliere i log da trasmettere, selezionare l'opzione Trasmetti a un hub eventi e completare i campi.
   • Configura uno spazio dei nomi di Event Hubs e un hub eventi
   • Ulteriori informazioni sulla trasmissione dei log attività a un hub eventi

Il fornitore di sicurezza indipendente dovrebbe fornire istruzioni su come inserire dati da Hub eventi di Azure nel suo strumento.

Accesso ai log tramite l'API Microsoft Graph

L'API Microsoft Graph fornisce un modello di programmabilità unificato che è possibile usare per accedere ai dati per i tenant Microsoft Entra ID P1 o P2. Non richiede che un amministratore o uno sviluppatore configuri un'infrastruttura aggiuntiva per supportare lo script o l'app.

Utilizzi consigliati

Usando Microsoft Graph Explorer, è possibile eseguire query per aiutarti con i seguenti tipi di scenari:

• Visualizzare le attività del tenant, ad esempio chi ha apportato una modifica a un gruppo e quando.
• Contrassegnare un evento di accesso a Microsoft Entra come sicuro o compromesso confermato.
• Recuperare un elenco di accessi dell'applicazione per gli ultimi 30 giorni.

Nota

Microsoft Graph consente di accedere ai dati da più servizi che impongono vincoli di controllo. Per ulteriori informazioni sul throttling dei log di attività, vedere Limiti specifici del servizio Microsoft Graph.

Azioni rapide

1. Configurare i prerequisiti.
2. Accedere a Graph explorer.
3. Impostare il metodo HTTP e la versione dell'API.
4. Aggiungere una query e selezionare il pulsante Esegui query.
   • Acquisire familiarità con le proprietà di Microsoft Graph per gli audit delle directory
   • Completare la guida introduttiva a MS Graph

Integrazione con i log di Monitoraggio di Azure

Con l'integrazione dei log di Monitoraggio di Azure, è possibile abilitare visualizzazioni, monitoraggio e avvisi avanzati sui dati connessi. Log Analytics offre funzionalità avanzate di query e analisi per i registri delle attività di Microsoft Entra. Per integrare i log attività di Microsoft Entra con i log di Monitoraggio di Azure, è necessaria un'area di lavoro Log Analytics. Da qui è possibile eseguire query tramite Log Analytics.

Utilizzi consigliati

L'integrazione dei log di Microsoft Entra con i log di Monitoraggio di Azure offre una posizione centralizzata per l'esecuzione di query sui log. È consigliabile integrare i log con Monitoraggio di Azure per i tipi di scenari seguenti:

• Confrontare i log di accesso di Microsoft Entra con i log pubblicati da altri servizi di Azure.
• Correlare i log di accesso ad Azure Application Insights.
• Consultare i log usando parametri di ricerca specifici.

Azioni rapide

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore della sicurezza.
2. Creare un'area di lavoro Log Analytics.
3. Passare a Identità>Monitoraggio e integrità>Impostazioni diagnostiche.
4. Scegliere i log da trasmettere, selezionare l'opzione Invia a area di lavoro Log Analytics e completare i campi.
5. Passare a Identità>Monitoraggio e integrità>Log Analytics e avviare il processo di query dei dati.
   • Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure
   • Informazioni su come eseguire query con Log Analytics

Monitorare gli eventi con Microsoft Sentinel

L'invio di log di accesso e di audit a Microsoft Sentinel offre al centro operativo di sicurezza il rilevamento e la ricerca delle minacce quasi in tempo reale. Il termine ricerca delle minacce si riferisce a un approccio proattivo per migliorare il comportamento di sicurezza dell'ambiente. Invece della protezione classica, la ricerca delle minacce tenta di identificare in modo proattivo potenziali minacce che potrebbero danneggiare il sistema. I dati del log attività potrebbero far parte della soluzione di ricerca delle minacce.

Utilizzi consigliati

È consigliabile usare le funzionalità di rilevamento della sicurezza in tempo reale di Microsoft Sentinel se l'organizzazione necessita di analisi della sicurezza e intelligence sulle minacce. Usare Microsoft Sentinel se è necessario:

• Raccogliere i dati di sicurezza nell'intera azienda.
• Rilevare le minacce con un'ampia intelligence sulle minacce.
• Analizzare gli eventi imprevisti critici guidati dall'IA.
• Rispondere rapidamente e automatizzare la protezione.

Azioni rapide

1. Informazioni su prerequisiti, ruoli e autorizzazioni.
2. Stimare i costi potenziali.
3. Eseguire l'integrazione in Microsoft Sentinel
4. Raccogliere i dati di Microsoft Entra.
5. Iniziare a cercare le minacce.

Esportare i registri per l'archiviazione e le interrogazioni

La soluzione più adatta per l'archiviazione a lungo termine dipende dal budget e da ciò che si intende eseguire con i dati. Sono disponibili tre opzioni:

• Archiviare i log su Archiviazione Azure
• Scaricare i log per l'archiviazione manuale
• Integrazione con i log di Monitoraggio di Azure

Archiviazione di Azure è la soluzione ideale se non si prevede di eseguire spesso query sui dati. Per altre informazioni, vedere Archiviare i log di directory in un account di archiviazione.

Se si prevede di eseguire query sui log spesso per eseguire report o eseguire analisi sui log archiviati, è consigliabile integrare i dati con i log di Monitoraggio di Azure.

Se il budget è limitato ed è necessario un metodo economico per creare un backup a lungo termine dei log attività, è possibile scaricare manualmente i log. L'interfaccia utente dei log attività nel portale offre un'opzione per scaricare i dati come JSON o CSV. Un compromesso del download manuale è che richiede un'interazione più manuale. Se si sta cercando una soluzione più professionale, usare Archiviazione di Azure o Monitoraggio di Azure.

Utilizzi consigliati

È consigliabile configurare un account di archiviazione per archiviare i log attività per gli scenari di governance e conformità in cui è necessaria l'archiviazione a lungo termine.

Se desiderate archiviare a lungo termine e eseguire query sui dati, vedere la sezione sull'integrazione dei log attività con Azure Monitor Logs.

Se sono presenti vincoli di budget, è consigliabile scaricare e archiviare manualmente i log attività.

Azioni rapide

Seguire questa procedura di base per archiviare o scaricare i log attività.

Archiviare i log attività in un account di archiviazione

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore della sicurezza.
2. Creare un account di archiviazione.
3. Passare a Identità>Monitoraggio e integrità>Impostazioni diagnostiche.
4. Scegliere i log da trasmettere, selezionare l'opzione Archivia in un account di archiviazione e completare i campi.
   • Rivedere i criteri di conservazione dei dati

Scaricare manualmente i registri delle attività

1. Accedi all'interfaccia di amministrazione di Microsoft Entra almeno con autorizzazioni di Lettore report.
2. Navigare fino a Identità>Monitoraggio e integrità>Log di audit/Log di accesso/Log di provisioning nel menu Monitoraggio.
3. Selezionare Download.
   • Ulteriori informazioni su come scaricare i log.

Passaggi successivi

• Trasmettere i log a un hub eventi
• Archivia i log in un account di archiviazione
• Integrazione con i log di Monitoraggio di Azure