Что такое мониторинг и состояние Microsoft Entra?
Функции мониторинга и состояния Microsoft Entra обеспечивают комплексное представление действий, связанных с удостоверениями в вашей среде. Эти данные позволяют:
- Определите, как пользователи используют приложения и службы.
- Обнаружение потенциальных рисков, влияющих на здоровье вашей среды.
- устранить неполадки, влияющие на работу пользователей.
- Получите аналитические сведения, просмотрив события аудита изменений в каталоге Microsoft Entra.
Журналы входа и аудита состоят из журналов действий, основную часть которых составляют многие отчеты в Microsoft Entra, которые можно использовать для анализа, отслеживания и устранения неполадок активности в вашей аренде. Маршрутизация журналов действий в решение для анализа и мониторинга обеспечивает более подробные сведения о работоспособности и безопасности клиента.
В этой статье описываются типы журналов действий, доступные в идентификаторе Microsoft Entra, отчеты, использующие журналы, и службы мониторинга, доступные для анализа данных.
Журналы действий идентификации
Журналы действий помогают понять поведение пользователей в организации. Существует три типа журналов действий в идентификаторе Microsoft Entra:
Журналы аудита включают историю каждой задачи, выполняемой в вашем арендаторе.
Журналы регистрации входа записывают попытки входа пользователей и клиентских приложений.
Журналы действий можно просматривать в портал Azure или с помощью API Microsoft Graph. Журналы действий также можно направлять в различные конечные точки для хранения или анализа. Дополнительные сведения обо всех параметрах просмотра журналов действий см. в статье "Как получить доступ к журналам действий".
Журналы аудита
Журналы аудита предоставляют записи системных действий для соответствия требованиям. Эти данные позволяют реализовать наиболее распространенные сценарии, примеры которых перечислены ниже.
- Кто-то из моих арендаторов получил доступ к группе администраторов. Кто предоставил этот доступ?
- Я хочу узнать список пользователей, входящих в определенное приложение, потому что недавно начал им пользоваться и хочу знать, успешно ли оно функционирует.
- Я хочу знать, сколько сбросов паролей происходит в моем клиенте.
Журналы входа
Журналы входа позволяют найти ответы на такие вопросы, как:
- Что такое шаблон входа пользователя?
- Сколько пользователей входили в течение недели?
- Каков статус этих входов в систему?
Журналы подготовки
Журналы предоставления можно использовать для поиска ответов на такие вопросы:
- Какие группы были успешно созданы в ServiceNow?
- Какие пользователи были успешно удалены из Adobe?
- Какие пользователи из Workday были успешно созданы в Active Directory?
Отчеты об идентификации
Просмотр данных в журналах действий Microsoft Entra может предоставить полезные сведения для ИТ-администраторов. Чтобы упростить процесс проверки данных по ключевым сценариям, мы создали несколько отчетов о распространенных сценариях, использующих журналы действий.
- Защита идентичности использует данные входа в систему для создания отчетов о рискованных пользователях и действиях входа в систему.
- Деятельность, связанная с вашими приложениями, например, основная служба и активность приложения, связанная с учетными данными, используются для создания отчетов в "Использование и аналитика".
- Рабочие тетради Microsoft Entra предоставляют настраиваемый способ просмотра и анализа журналов действий.
- Используйте рекомендации Microsoft Entra для мониторинга и улучшения безопасности клиента.
- Microsoft Entra Health отслеживает достижение глобального соглашения об уровне обслуживания и показатели состояния для нескольких ключевых сценариев.
Мониторинг идентификации и состояния арендатора
Просмотр журналов действий Microsoft Entra — это первый шаг в обслуживании и улучшении работоспособности и безопасности вашего клиента. Необходимо проанализировать данные, отслеживать рискованные сценарии и определять, где можно улучшить. Мониторинг Microsoft Entra предоставляет необходимые средства для принятия обоснованных решений.
Для мониторинга журналов действий Microsoft Entra требуется маршрутизация данных журнала в решение для мониторинга и анализа. Конечные точки включают журналы Azure Monitor, Microsoft Sentinel или стороннее решение для управления сведениями о безопасности и событиями (SIEM).
- Перенаправление журналов в концентратор событий для интеграции с внешними средствами SIEM.
- Интеграция журналов с журналами Azure Monitor.
- Анализируйте журналы с помощью Azure Monitor и Log Analytics.
Случаи использования
Использование журналов, отчетов и служб мониторинга зависит от потребностей вашей организации. Чтобы лучше определить приоритеты вариантов использования и решений, это может помочь увидеть, как эти решения связаны друг с другом, как они отличаются и как они могут использоваться вместе.
Рекомендации
- Хранение журналов: сохранение журналов аудита и журналов входа Microsoft Entra более 30 дней
- Аналитика. Журналы могут быть найдены с помощью аналитических инструментов.
- Аналитика операционной и безопасности . Предоставление доступа к использованию приложений, ошибкам входа, самостоятельному использованию, тенденциям и т. д.
- Интеграция SIEM - интеграция и передача журналов входа и аудита Microsoft Entra в системы SIEM
С помощью мониторинга Microsoft Entra можно направлять журналы действий Microsoft Entra и сохранять их для долгосрочного создания отчетов и анализа, чтобы получить аналитические сведения о среде и для интеграции с SIEM-инструментами. Используйте следующую блок-диаграмму принятия решений, чтобы помочь выбрать архитектуру.
Общие сведения о доступе, хранении и анализе журналов действий см. в статье "Как получить доступ к журналам действий".