Jak uzyskać dostęp do dzienników aktywności w usłudze identyfikatora Microsoft Entra

Dane zebrane w dziennikach firmy Microsoft Entra umożliwiają ocenę wielu aspektów dzierżawy firmy Microsoft Entra. Aby uwzględnić szeroką gamę scenariuszy, identyfikator Entra firmy Microsoft udostępnia kilka opcji uzyskiwania dostępu do danych dziennika aktywności. Jako administrator IT musisz zrozumieć zamierzone przypadki użycia dla tych opcji, aby można było wybrać odpowiednią metodę dostępu dla danego scenariusza.

Dostęp do dzienników aktywności i raportów firmy Microsoft entra można uzyskać przy użyciu następujących metod:

• Przesyłanie strumieniowe dzienników aktywności do centrum zdarzeń w celu integracji z innymi narzędziami
• Uzyskiwanie dostępu do dzienników aktywności za pośrednictwem interfejsu API programu Microsoft Graph
• Integrowanie dzienników aktywności z dziennikami usługi Azure Monitor
• Monitorowanie aktywności w czasie rzeczywistym za pomocą usługi Microsoft Sentinel
• Wyświetlanie dzienników aktywności i raportów w witrynie Azure Portal
• Eksportowanie dzienników aktywności dla magazynu i zapytań

Każda z tych metod zapewnia możliwości, które mogą być zgodne z niektórymi scenariuszami. W tym artykule opisano te scenariusze, w tym zalecenia i szczegółowe informacje o powiązanych raportach, które używają danych w dziennikach aktywności. Zapoznaj się z opcjami w tym artykule, aby dowiedzieć się więcej o tych scenariuszach, aby wybrać właściwą metodę.

Wymagania wstępne

• Działająca dzierżawa firmy Microsoft Entra z odpowiednią skojarzoną licencją firmy Microsoft Entra.
  • Aby uzyskać pełną listę wymagań dotyczących licencji, zobacz Microsoft Entra monitoring and health licensing (Licencjonowanie monitorowania i kondycji firmy Microsoft).
• Dzienniki inspekcji są dostępne dla funkcji, które zostały licencjonowane.
• Czytelnik raportów jest najmniej uprzywilejowaną rolą wymaganą do uzyskania dostępu do dzienników aktywności.
• Administrator zabezpieczeń jest najmniej uprzywilejowaną rolą wymaganą do skonfigurowania ustawień diagnostycznych.
• Aby wyrazić zgodę na wymagane uprawnienia do wyświetlania dzienników za pomocą programu Microsoft Graph, potrzebny jest administrator ról uprzywilejowanych.
• Aby uzyskać pełną listę ról, zobacz Najmniej uprzywilejowana rola według zadania.

Wymagane licencje różnią się w zależności od możliwości monitorowania i kondycji.

Możliwość	Microsoft Entra ID Free	Microsoft Entra ID P1 lub P2 / Microsoft Entra Suite
Dzienniki inspekcji	Tak	Tak
Dzienniki logowania	Tak	Tak
Dzienniki aprowizowania	Nie.	Tak
Niestandardowe atrybuty zabezpieczeń	Tak	Tak
Służba zdrowia	Nie.	Tak
Dzienniki aktywności programu Microsoft Graph	Nie.	Tak
Użycie i szczegółowe informacje	Nie.	Tak

Wyświetlanie dzienników za pośrednictwem centrum administracyjnego firmy Microsoft Entra

W przypadku jednorazowych badań z ograniczonym zakresem centrum administracyjne firmy Microsoft Entra jest często najprostszym sposobem znalezienia potrzebnych danych. Interfejs użytkownika dla każdego z tych raportów zawiera opcje filtrowania umożliwiające znalezienie wpisów, które należy rozwiązać w scenariuszu.

Dane przechwycone w dziennikach aktywności firmy Microsoft są używane w wielu raportach i usługach. Możesz przejrzeć dzienniki logowania, inspekcji i aprowizacji dla scenariuszy jednorazowych lub użyć raportów, aby przyjrzeć się wzorom i trendom. Dane z dzienników aktywności ułatwiają wypełnianie raportów usługi Identity Protection, które zapewniają wykrywanie zagrożeń związanych z zabezpieczeniami informacji, których identyfikator Entra firmy Microsoft może wykrywać i zgłaszać. Dzienniki aktywności firmy Microsoft entra wypełniają również raporty użycia i szczegółowych informacji, które zawierają szczegóły użycia aplikacji dzierżawy.

Zalecane zastosowania

Raporty dostępne w witrynie Azure Portal zapewniają szeroką gamę możliwości monitorowania działań i użycia w dzierżawie. Poniższa lista zastosowań i scenariuszy nie jest wyczerpująca, dlatego zapoznaj się z raportami dla Twoich potrzeb.

• Zbadaj aktywność logowania użytkownika lub śledź użycie aplikacji.
• Przejrzyj szczegółowe informacje dotyczące zmian nazw grup, rejestracji urządzeń i resetowania haseł za pomocą dzienników inspekcji.
• Raporty usługi Identity Protection służą do monitorowania zagrożonych użytkowników, ryzykownych tożsamości obciążeń i ryzykownych logowań.
• Przejrzyj wskaźnik powodzenia logowania w raporcie Aktywności aplikacji Entra firmy Microsoft (wersja zapoznawcza) z sekcji Użycie i szczegółowe informacje, aby upewnić się, że użytkownicy mogą uzyskiwać dostęp do aplikacji używanych w dzierżawie.
• Porównaj różne metody uwierzytelniania preferowane przez użytkowników z raportem Metody uwierzytelniania z sekcji Użycie i szczegółowe informacje.

Szybkie kroki

Aby uzyskać dostęp do raportów w centrum administracyjnym firmy Microsoft Entra, wykonaj następujące podstawowe kroki.

Dzienniki aktywności firmy Microsoft Entra

1. Przejdź do obszaru Monitorowanie tożsamości>i>inspekcja dzienników inspekcji dzienników/logowania Dzienniki/ aprowizacji.
2. Dostosuj filtr zgodnie z potrzebami.
   • Dowiedz się, jak filtrować dzienniki aktywności
   • Eksplorowanie kategorii i działań dziennika inspekcji firmy Microsoft Entra
   • Dowiedz się więcej o podstawowych informacjach w dziennikach logowania firmy Microsoft

Dostęp do dzienników inspekcji można uzyskać bezpośrednio z poziomu centrum administracyjnego firmy Microsoft Entra, w którym pracujesz. Jeśli na przykład jesteś w sekcji Grupy lub licencje identyfikatora Entra firmy Microsoft, możesz uzyskać dostęp do dzienników inspekcji dla tych konkretnych działań bezpośrednio z tego obszaru. Gdy uzyskujesz dostęp do dzienników inspekcji w ten sposób, kategorie filtrów są ustawiane automatycznie. Jeśli jesteś w grupach, kategoria filtru dziennika inspekcji jest ustawiona na GroupManagement.

raporty Ochrona tożsamości Microsoft Entra

1. Przejdź do sekcji Ochrona tożsamości.>
2. Zapoznaj się z dostępnymi raportami.
   • Dowiedz się więcej o usłudze Identity Protection
   • Dowiedz się, jak badać ryzyko

Raporty użycia i szczegółowych informacji

1. Przejdź do strony Monitorowanie tożsamości>i użycie kondycji>oraz szczegółowe informacje.
2. Zapoznaj się z dostępnymi raportami.
   • Dowiedz się więcej o raporcie Użycie i szczegółowe informacje

Przesyłanie strumieniowe dzienników do centrum zdarzeń w celu integracji z narzędziami SIEM

Przesyłanie strumieniowe dzienników aktywności do centrum zdarzeń jest wymagane do zintegrowania dzienników aktywności z narzędziami do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), takimi jak Splunk i SumoLogic. Aby można było przesyłać strumieniowo dzienniki do centrum zdarzeń, należy skonfigurować przestrzeń nazw usługi Event Hubs i centrum zdarzeń w ramach subskrypcji platformy Azure.

Zalecane zastosowania

Narzędzia SIEM, które można zintegrować z centrum zdarzeń, mogą zapewnić możliwości analizy i monitorowania. Jeśli już używasz tych narzędzi do pozyskiwania danych z innych źródeł, możesz przesyłać strumieniowo dane tożsamości w celu uzyskania bardziej kompleksowej analizy i monitorowania. Zalecamy przesyłanie strumieniowe dzienników aktywności do centrum zdarzeń dla następujących typów scenariuszy:

• Potrzebujesz platformy przesyłania strumieniowego danych big data i usługi pozyskiwania zdarzeń, aby odbierać i przetwarzać miliony zdarzeń na sekundę.
• Chcesz przekształcić i przechowywać dane przy użyciu dostawcy analizy w czasie rzeczywistym lub kart wsadowych/magazynowych.

Szybkie kroki

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
2. Utwórz przestrzeń nazw usługi Event Hubs i centrum zdarzeń.
3. Przejdź do pozycji Ustawienia>diagnostyczne monitorowania tożsamości i kondycji.>
4. Wybierz dzienniki, które chcesz przesłać strumieniowo, wybierz opcję Stream do centrum zdarzeń i wypełnij pola.
   • Konfigurowanie przestrzeni nazw usługi Event Hubs i centrum zdarzeń
   • Dowiedz się więcej na temat przesyłania strumieniowego dzienników aktywności do centrum zdarzeń

Niezależny dostawca zabezpieczeń powinien przekazać instrukcje dotyczące pozyskiwania danych z usługi Azure Event Hubs do ich narzędzia.

Uzyskiwanie dostępu do dzienników za pomocą interfejsu API programu Microsoft Graph

Interfejs API programu Microsoft Graph udostępnia ujednolicony model programowy, którego można użyć do uzyskiwania dostępu do danych dla dzierżaw firmy Microsoft Entra ID P1 lub P2. Nie wymaga to od administratora ani dewelopera skonfigurowania dodatkowej infrastruktury w celu obsługi skryptu lub aplikacji.

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Zalecane zastosowania

Za pomocą Eksploratora programu Microsoft Graph można uruchamiać zapytania, aby ułatwić wykonywanie następujących typów scenariuszy:

• Wyświetl działania dzierżawy, takie jak osoba, która dokonała zmiany w grupie i kiedy.
• Oznacz zdarzenie logowania w usłudze Microsoft Entra jako bezpieczne lub potwierdzone naruszenie zabezpieczeń.
• Pobierz listę logów aplikacji z ostatnich 30 dni.

Uwaga

Program Microsoft Graph umożliwia dostęp do danych z wielu usług, które nakładają własne limity ograniczania przepustowości. Aby uzyskać więcej informacji na temat ograniczania dzienników aktywności, zobacz Limity ograniczania przepustowości specyficzne dla usługi Microsoft Graph.

Szybkie kroki

1. Skonfiguruj wymagania wstępne.
2. Zaloguj się do Eksploratora programu Graph.
3. Ustaw metodę HTTP i wersję interfejsu API.
4. Dodaj zapytanie, a następnie wybierz przycisk Uruchom zapytanie .
   • Zapoznaj się z właściwościami programu Microsoft Graph na potrzeby inspekcji katalogów
   • Ukończ przewodnik Szybki start dotyczący programu MS Graph

Integrowanie dzienników z dziennikami usługi Azure Monitor

Dzięki integracji dzienników usługi Azure Monitor można włączyć zaawansowane wizualizacje, monitorowanie i alerty dotyczące połączonych danych. Usługa Log Analytics udostępnia ulepszone funkcje zapytań i analizy dzienników aktywności firmy Microsoft Entra. Aby zintegrować dzienniki aktywności firmy Microsoft Entra z dziennikami usługi Azure Monitor, potrzebujesz obszaru roboczego usługi Log Analytics. Z tego miejsca możesz uruchamiać zapytania za pośrednictwem usługi Log Analytics.

Zalecane zastosowania

Zintegrowanie dzienników firmy Microsoft Entra z dziennikami usługi Azure Monitor zapewnia scentralizowaną lokalizację do wykonywania zapytań dotyczących dzienników. Zalecamy zintegrowanie dzienników z usługą Azure Monitor dla następujących typów scenariuszy:

• Porównaj dzienniki logowania firmy Microsoft Entra z dziennikami opublikowanymi przez inne usługi platformy Azure.
• Korelowanie dzienników logowania z aplikacja systemu Azure szczegółowych informacji.
• Wykonywanie zapytań dotyczących dzienników przy użyciu określonych parametrów wyszukiwania.

Szybkie kroki

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
2. Utwórz obszar roboczy usługi Log Analytics.
3. Przejdź do pozycji Ustawienia>diagnostyczne monitorowania tożsamości i kondycji.>
4. Wybierz dzienniki, które chcesz przesłać strumieniowo, wybierz opcję Wyślij do obszaru roboczego usługi Log Analytics i wypełnij pola.
5. Przejdź do usługi Log Analytics monitorowania tożsamości>i kondycji>i rozpocznij wykonywanie zapytań dotyczących danych.
   • Integrowanie dzienników firmy Microsoft Entra z dziennikami usługi Azure Monitor
   • Dowiedz się, jak wykonywać zapytania przy użyciu usługi Log Analytics

Monitorowanie zdarzeń za pomocą usługi Microsoft Sentinel

Wysyłanie dzienników logowania i inspekcji do usługi Microsoft Sentinel zapewnia centrum operacji zabezpieczeń z wykrywaniem zabezpieczeń i wyszukiwaniem zagrożeń w czasie rzeczywistym. Termin wyszukiwanie zagrożeń odnosi się do proaktywnego podejścia w celu poprawy stanu zabezpieczeń środowiska. W przeciwieństwie do ochrony klasycznej wyszukiwanie zagrożeń próbuje aktywnie identyfikować potencjalne zagrożenia, które mogą zaszkodzić systemowi. Dane dziennika aktywności mogą być częścią rozwiązania do wyszukiwania zagrożeń.

Zalecane zastosowania

Zalecamy korzystanie z funkcji wykrywania zabezpieczeń w czasie rzeczywistym usługi Microsoft Sentinel, jeśli Twoja organizacja potrzebuje analizy zabezpieczeń i analizy zagrożeń. Użyj usługi Microsoft Sentinel, jeśli potrzebujesz:

• Zbieranie danych zabezpieczeń w przedsiębiorstwie.
• Wykrywanie zagrożeń za pomocą ogromnej analizy zagrożeń.
• Badanie krytycznych zdarzeń kierowanych przez sztuczną inteligencję.
• Szybkie reagowanie i automatyzowanie ochrony.

Szybkie kroki

1. Dowiedz się więcej o wymaganiach wstępnych, rolach i uprawnieniach.
2. Szacowanie potencjalnych kosztów.
3. Dołącz do usługi Microsoft Sentinel.
4. Zbieranie danych firmy Microsoft Entra.
5. Rozpocznij wyszukiwanie zagrożeń.

Eksportowanie dzienników dla magazynu i zapytań

Odpowiednie rozwiązanie dla magazynu długoterminowego zależy od budżetu i tego, co planujesz robić z danymi. Dostępne są trzy opcje:

• Archiwizowanie dzienników w usłudze Azure Storage
• Pobieranie dzienników dla magazynu ręcznego
• Integrowanie dzienników z dziennikami usługi Azure Monitor

Usługa Azure Storage jest właściwym rozwiązaniem, jeśli często nie planujesz wykonywania zapytań dotyczących danych. Aby uzyskać więcej informacji, zobacz Archiwizowanie dzienników katalogów na koncie magazynu.

Jeśli planujesz często wykonywać zapytania dotyczące dzienników w celu uruchamiania raportów lub przeprowadzania analizy przechowywanych dzienników, należy zintegrować dane z dziennikami usługi Azure Monitor.

Jeśli budżet jest napięty i potrzebujesz taniej metody, aby utworzyć długoterminową kopię zapasową dzienników aktywności, możesz ręcznie pobrać dzienniki. Interfejs użytkownika dzienników aktywności w portalu udostępnia opcję pobierania danych w formacie JSON lub CSV. Jednym z kompromisów ręcznego pobierania jest to, że wymaga więcej interakcji ręcznych. Jeśli szukasz bardziej profesjonalnego rozwiązania, użyj usługi Azure Storage lub Usługi Azure Monitor.

Zalecane zastosowania

Zalecamy skonfigurowanie konta magazynu w celu zarchiwizowania dzienników aktywności dla scenariuszy zapewniania ładu i zgodności, w których wymagany jest długoterminowy magazyn.

Jeśli chcesz długoterminowego magazynu i chcesz uruchamiać zapytania względem danych, zapoznaj się z sekcją dotyczącą integrowania dzienników aktywności z dziennikami usługi Azure Monitor.

Zalecamy ręczne pobieranie i przechowywanie dzienników aktywności, jeśli masz ograniczenia budżetowe.

Szybkie kroki

Wykonaj następujące podstawowe kroki, aby zarchiwizować lub pobrać dzienniki aktywności.

Archiwizowanie dzienników aktywności na koncie magazynu

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
2. Create a storage account (Tworzenie konta magazynu).
3. Przejdź do pozycji Ustawienia>diagnostyczne monitorowania tożsamości i kondycji.>
4. Wybierz dzienniki, które chcesz przesłać strumieniowo, wybierz opcję Archiwum na koncie magazynu i wypełnij pola.
   • Przeglądanie zasad przechowywania danych

Ręczne pobieranie dzienników aktywności

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.
2. Przejdź do obszaru Monitorowanie tożsamości>i>inspekcja dzienników inspekcji dzienników logowania Dzienniki// aprowizacji z menu Monitorowanie.
3. Wybierz Pobierz.
   • Dowiedz się więcej na temat pobierania dzienników.

Następne kroki

• Przesyłanie strumieniowe dzienników do centrum zdarzeń
• Archiwizowanie dzienników na koncie magazynu
• Integrowanie dzienników z dziennikami usługi Azure Monitor