Quali sono i log delle identità che è possibile trasmettere a un endpoint?

Usando le impostazioni di diagnostica di Microsoft Entra, è possibile indirizzare i log attività a diversi endpoint per la conservazione a lungo termine e le informazioni dettagliate sui dati. Selezionare i log da indirizzare e quindi selezionare l'endpoint.

Questo articolo descrive i log che è possibile indirizzare a un endpoint con le impostazioni di diagnostica di Microsoft Entra.

Requisiti e opzioni di streaming di log

La configurazione di un endpoint, ad esempio un hub eventi o un account di archiviazione, potrebbe richiedere ruoli e licenze diversi. Per creare o modificare una nuova impostazione di diagnostica, è necessario un utente che sia un amministratore della sicurezza per il tenant di Microsoft Entra.

Per decidere quale sia l'opzione di routing dei log più adatta, consultare Come accedere ai log attività. Il processo e i requisiti generali per ogni tipo di endpoint sono trattati negli articoli seguenti:

• Inviare i log a un'area di lavoro Log Analytics per integrarli con i log di Monitoraggio di Azure
• Archiviare i log un account di archiviazione
• Trasmettere i log a un hub degli eventi
• Inviare a una soluzione partner

Opzioni di Log attività

I log seguenti possono essere indirizzati a un endpoint per l'archiviazione, l'analisi o il monitoraggio.

Log di controllo

Il report AuditLogs acquisisce le modifiche alle applicazioni, ai gruppi, agli utenti e alle licenze nel tenant di Microsoft Entra. Una volta indirizzati i log di controllo, è possibile filtrarli o analizzarli in base alla data/ora, al servizio che ha registrato l'evento e a chi ha apportato la modifica. Per ulteriori informazioni, consultare Log di controllo.

Log di accesso

SignInLogs inviano i log di accesso interattivi, ovvero i log generati dagli utenti che effettuano l'accesso. I log di accesso vengono generati quando gli utenti forniscono il nome utente e la password in una schermata di accesso di Microsoft Entra o quando completano l'MFA. Per ulteriori informazioni, consultare Accessi utente interattivi.

Accessi utente non interattivi

NonInteractiveUserSIgnInLogs sono accessi effettuati per conto di un utente, ad esempio da un'app client. Il dispositivo o il client usa un token o un codice per eseguire l'autenticazione o l'accesso a una risorsa per conto di un utente. Per ulteriori informazioni, consultare Accessi utente non interattivi.

Log di accesso dell'entità servizio

Se è necessario esaminare l'attività di accesso per le app o per le entità di servizio, l'opzione ServicePrincipalSignInLogs potrebbe essere valida. In questi scenari, i certificati o i segreti client vengono usati per l'autenticazione. Per ulteriori informazioni, consultare Accessi entità servizio.

Log di accesso dell'identità gestita

ManagedIdentitySignInLogs forniscono informazioni simili ai log di accesso dell'entità servizio, ma per le identità gestite, di cui Azure gestisce i segreti. Per ulteriori informazioni, consultare Accessi dell'identità gestita.

Log di provisioning

Se l'organizzazione effettua il provisioning degli utenti tramite un'applicazione non Microsoft, come Workday o ServiceNow, è possibile esportare i report ProvisioningLogs. Per altre informazioni sul provisioning, vedere Log di provisioning.

Log di accesso di AD FS

L'attività di accesso alle applicazioni AD FS (Active Directory Federated Services) viene acquisita in questo report sull'utilizzo e sui dati analitici. È possibile esportare il report ADFSSignInLogs per monitorare l'attività di accesso alle applicazioni AD FS. Per ulteriori informazioni, consultare Log di accesso di AD FS.

Utenti a rischio

I log RiskyUsers identificano gli utenti a rischio in base all'attività di accesso. Questo report fa parte di Microsoft Entra ID Protection e sfrutta i dati di accesso di Microsoft Entra ID. Per ulteriori informazioni, consultare Cos'è Microsoft Entra ID Protection?

Eventi di rischio per l'identità dell'utente

I log UserRiskEvents fanno parte di Microsoft Entra ID Protection. Questi log acquisiscono informazioni sugli eventi di accesso a rischio. Per altre informazioni, vedere Come analizzare i rischi.

Log del traffico di accesso alla rete

Gli oggetti NetworkAccessTrafficLogs sono associati ad Accesso a Internet Microsoft Entra e Accesso privato Microsoft Entra I log sono visibili in Microsoft Entra ID, ma selezionando questa opzione non vengono aggiunti nuovi log all'area di lavoro, a meno che l'organizzazione non usi Accesso a Internet Microsoft Entra e Accesso privato Microsoft Entra per proteggere l'accesso alle risorse aziendali. Per altre informazioni, vedere Che cos'è l'Accesso globale sicuro?.

Entità servizio rischiose

I log RiskyServicePrincipals forniscono informazioni sulle entità servizio rilevate come rischiose da Microsoft Entra ID Protection. Il rischio entità servizio rappresenta la probabilità che un'identità o un account sia compromesso. Questi rischi vengono calcolati in modo asincrono usando dati e criteri delle fonti di intelligence sulle minacce interne ed esterne di Microsoft. Queste fonti possono includere ricercatori della sicurezza, professionisti delle forze dell'ordine e team di sicurezza di Microsoft. Per altre informazioni, vedere Protezione delle identità dei carichi di lavoro.

Eventi di rischio dell'entità servizio

Gli oggetti ServicePrincipalRiskEvents forniscono dettagli sugli eventi di accesso a rischio per le entità servizio. Questi log possono includere gli eventi identificati come sospetti correlati agli account dell'entità servizio. Per altre informazioni, vedere Protezione delle identità dei carichi di lavoro.

Log di controllo arricchiti di Microsoft 365

Gli oggetti EnrichedOffice365AuditLogs sono associati ai log arricchiti che è possibile abilitare per Accesso a Internet Microsoft Entra. Se si seleziona questa opzione, non vengono aggiunti nuovi log all'area di lavoro, a meno che l'organizzazione non usi Microsoft Entra Internet per proteggere l'accesso al traffico di Microsoft 365 e i log arricchiti non siano abilitati. Per altre informazioni, vedere Come utilizzare i log arricchiti Microsoft 365 di Accesso globale sicuro.

Log attività di Microsoft Graph

Gli oggetti MicrosoftGraphActivityLogs forniscono agli amministratori visibilità completa su tutte le richieste HTTP che accedono alle risorse del tenant tramite l'API di Microsoft Graph. È possibile usare questi log per identificare le attività eseguite da un account utente compromesso nel tenant o per analizzare comportamenti problematici o imprevisti per le applicazioni client, ad esempio volumi di chiamate eccessivi. Instradare questi log alla stessa area di lavoro Log Analytics con SignInLogs per fare riferimento incrociato ai dettagli delle richieste di token per i log di accesso. Per altre informazioni, vedere Accedere ai log attività di Microsoft Graph.

Log di integrità della rete remota

Gli oggetti RemoteNetworkHealthLogs forniscono informazioni dettagliate sull'integrità della rete remota configurata tramite Accesso globale sicuro. Se si seleziona questa opzione, non vengono aggiunti nuovi log all'area di lavoro, a meno che l'organizzazione non usi Accesso a Internet Microsoft Entra e Accesso privato Microsoft Entra per proteggere l'accesso alle risorse aziendali. Per altre informazioni, vedere Log di integrità della rete remota.

Log di controllo degli attributi di sicurezza personalizzati

Gli oggetti CustomSecurityAttributeAuditLogs sono configurati nella sezione Attributi di sicurezza personalizzati delle impostazioni di diagnostica. Questi log acquisiscono le modifiche apportate agli attributi di sicurezza personalizzati nel tenant di Microsoft Entra. Per visualizzare questi log nei log di controllo di Microsoft Entra, è necessario il Ruolo con autorizzazioni di lettura per i log degli attributi. Per indirizzare questi log a un endpoint, è necessario il Ruolo con autorizzazioni di lettura per i log degli attributi e Amministratore della sicurezza.