Поделиться через


Что такое мониторинг и состояние Microsoft Entra?

Функции мониторинга и состояния Microsoft Entra обеспечивают комплексное представление действий, связанных с удостоверениями в вашей среде. Эти данные позволяют:

  • Определите, как пользователи используют приложения и службы.
  • Обнаружение потенциальных рисков, влияющих на здоровье вашей среды.
  • устранить неполадки, влияющие на работу пользователей.
  • Получите аналитические сведения, просмотрив события аудита изменений в каталоге Microsoft Entra.

Журналы входа и аудита состоят из журналов действий, основную часть которых составляют многие отчеты в Microsoft Entra, которые можно использовать для анализа, отслеживания и устранения неполадок активности в вашей аренде. Маршрутизация журналов действий в решение для анализа и мониторинга обеспечивает более подробные сведения о работоспособности и безопасности клиента.

В этой статье описываются типы журналов действий, доступные в идентификаторе Microsoft Entra, отчеты, использующие журналы, и службы мониторинга, доступные для анализа данных.

Журналы действий идентификации

Журналы действий помогают понять поведение пользователей в организации. Существует три типа журналов действий в идентификаторе Microsoft Entra:

Журналы действий можно просматривать в портал Azure или с помощью API Microsoft Graph. Журналы действий также можно направлять в различные конечные точки для хранения или анализа. Дополнительные сведения обо всех параметрах просмотра журналов действий см. в статье "Как получить доступ к журналам действий".

Журналы аудита

Журналы аудита предоставляют записи системных действий для соответствия требованиям. Эти данные позволяют реализовать наиболее распространенные сценарии, примеры которых перечислены ниже.

  • Кто-то из моих арендаторов получил доступ к группе администраторов. Кто предоставил этот доступ?
  • Я хочу узнать список пользователей, входящих в определенное приложение, потому что недавно начал им пользоваться и хочу знать, успешно ли оно функционирует.
  • Я хочу знать, сколько сбросов паролей происходит в моем клиенте.

Журналы входа

Журналы входа позволяют найти ответы на такие вопросы, как:

  • Что такое шаблон входа пользователя?
  • Сколько пользователей входили в течение недели?
  • Каков статус этих входов в систему?

Журналы подготовки

Журналы предоставления можно использовать для поиска ответов на такие вопросы:

  • Какие группы были успешно созданы в ServiceNow?
  • Какие пользователи были успешно удалены из Adobe?
  • Какие пользователи из Workday были успешно созданы в Active Directory?

Отчеты об идентификации

Просмотр данных в журналах действий Microsoft Entra может предоставить полезные сведения для ИТ-администраторов. Чтобы упростить процесс проверки данных по ключевым сценариям, мы создали несколько отчетов о распространенных сценариях, использующих журналы действий.

  • Защита идентичности использует данные входа в систему для создания отчетов о рискованных пользователях и действиях входа в систему.
  • Деятельность, связанная с вашими приложениями, например, основная служба и активность приложения, связанная с учетными данными, используются для создания отчетов в "Использование и аналитика".
  • Рабочие тетради Microsoft Entra предоставляют настраиваемый способ просмотра и анализа журналов действий.
  • Используйте рекомендации Microsoft Entra для мониторинга и улучшения безопасности клиента.
  • Microsoft Entra Health отслеживает достижение глобального соглашения об уровне обслуживания и показатели состояния для нескольких ключевых сценариев.

Мониторинг идентификации и состояния арендатора

Просмотр журналов действий Microsoft Entra — это первый шаг в обслуживании и улучшении работоспособности и безопасности вашего клиента. Необходимо проанализировать данные, отслеживать рискованные сценарии и определять, где можно улучшить. Мониторинг Microsoft Entra предоставляет необходимые средства для принятия обоснованных решений.

Для мониторинга журналов действий Microsoft Entra требуется маршрутизация данных журнала в решение для мониторинга и анализа. Конечные точки включают журналы Azure Monitor, Microsoft Sentinel или стороннее решение для управления сведениями о безопасности и событиями (SIEM).

Случаи использования

Использование журналов, отчетов и служб мониторинга зависит от потребностей вашей организации. Чтобы лучше определить приоритеты вариантов использования и решений, это может помочь увидеть, как эти решения связаны друг с другом, как они отличаются и как они могут использоваться вместе.

Рекомендации

  • Хранение журналов: сохранение журналов аудита и журналов входа Microsoft Entra более 30 дней
  • Аналитика. Журналы могут быть найдены с помощью аналитических инструментов.
  • Аналитика операционной и безопасности . Предоставление доступа к использованию приложений, ошибкам входа, самостоятельному использованию, тенденциям и т. д.
  • Интеграция SIEM - интеграция и передача журналов входа и аудита Microsoft Entra в системы SIEM

С помощью мониторинга Microsoft Entra можно направлять журналы действий Microsoft Entra и сохранять их для долгосрочного создания отчетов и анализа, чтобы получить аналитические сведения о среде и для интеграции с SIEM-инструментами. Используйте следующую блок-диаграмму принятия решений, чтобы помочь выбрать архитектуру.

Рисунок матрицы принятия решений для архитектуры, необходимой для бизнеса.

Общие сведения о доступе, хранении и анализе журналов действий см. в статье "Как получить доступ к журналам действий".