Что такое мониторинг и состояние Microsoft Entra?

Функции мониторинга и состояния Microsoft Entra обеспечивают комплексное представление действий, связанных с удостоверениями в вашей среде. Эти данные позволяют:

• Определите, как пользователи используют приложения и службы.
• Обнаружение потенциальных рисков, влияющих на здоровье вашей среды.
• устранить неполадки, влияющие на работу пользователей.
• Получите аналитические сведения, просмотрив события аудита изменений в каталоге Microsoft Entra.

Журналы входа и аудита состоят из журналов действий, основную часть которых составляют многие отчеты в Microsoft Entra, которые можно использовать для анализа, отслеживания и устранения неполадок активности в вашей аренде. Маршрутизация журналов действий в решение для анализа и мониторинга обеспечивает более подробные сведения о работоспособности и безопасности клиента.

В этой статье описываются типы журналов действий, доступные в идентификаторе Microsoft Entra, отчеты, использующие журналы, и службы мониторинга, доступные для анализа данных.

Журналы действий идентификации

Журналы действий помогают понять поведение пользователей в организации. Существует три типа журналов действий в идентификаторе Microsoft Entra:

• Журналы аудита включают историю каждой задачи, выполняемой в вашем арендаторе.

• Журналы регистрации входа записывают попытки входа пользователей и клиентских приложений.

• Журналы управления ресурсами предоставляют сведения о пользователях, настроенных в клиентской системе через стороннюю службу.

Журналы действий можно просматривать в портал Azure или с помощью API Microsoft Graph. Журналы действий также можно направлять в различные конечные точки для хранения или анализа. Дополнительные сведения обо всех параметрах просмотра журналов действий см. в статье "Как получить доступ к журналам действий".

Журналы аудита

Журналы аудита предоставляют записи системных действий для соответствия требованиям. Эти данные позволяют реализовать наиболее распространенные сценарии, примеры которых перечислены ниже.

• Кто-то из моих арендаторов получил доступ к группе администраторов. Кто предоставил этот доступ?
• Я хочу узнать список пользователей, входящих в определенное приложение, потому что недавно начал им пользоваться и хочу знать, успешно ли оно функционирует.
• Я хочу знать, сколько сбросов паролей происходит в моем клиенте.

Журналы входа

Журналы входа позволяют найти ответы на такие вопросы, как:

• Что такое шаблон входа пользователя?
• Сколько пользователей входили в течение недели?
• Каков статус этих входов в систему?

Журналы подготовки

Журналы предоставления можно использовать для поиска ответов на такие вопросы:

• Какие группы были успешно созданы в ServiceNow?
• Какие пользователи были успешно удалены из Adobe?
• Какие пользователи из Workday были успешно созданы в Active Directory?

Отчеты об идентификации

Просмотр данных в журналах действий Microsoft Entra может предоставить полезные сведения для ИТ-администраторов. Чтобы упростить процесс проверки данных по ключевым сценариям, мы создали несколько отчетов о распространенных сценариях, использующих журналы действий.

• Защита идентичности использует данные входа в систему для создания отчетов о рискованных пользователях и действиях входа в систему.
• Деятельность, связанная с вашими приложениями, например, основная служба и активность приложения, связанная с учетными данными, используются для создания отчетов в "Использование и аналитика".
• Рабочие тетради Microsoft Entra предоставляют настраиваемый способ просмотра и анализа журналов действий.
• Используйте рекомендации Microsoft Entra для мониторинга и улучшения безопасности клиента.
• Microsoft Entra Health отслеживает достижение глобального соглашения об уровне обслуживания и показатели состояния для нескольких ключевых сценариев.

Мониторинг идентификации и состояния арендатора

Просмотр журналов действий Microsoft Entra — это первый шаг в обслуживании и улучшении работоспособности и безопасности вашего клиента. Необходимо проанализировать данные, отслеживать рискованные сценарии и определять, где можно улучшить. Мониторинг Microsoft Entra предоставляет необходимые средства для принятия обоснованных решений.

Для мониторинга журналов действий Microsoft Entra требуется маршрутизация данных журнала в решение для мониторинга и анализа. Конечные точки включают журналы Azure Monitor, Microsoft Sentinel или стороннее решение для управления сведениями о безопасности и событиями (SIEM).

• Перенаправление журналов в концентратор событий для интеграции с внешними средствами SIEM.
• Интеграция журналов с журналами Azure Monitor.
• Анализируйте журналы с помощью Azure Monitor и Log Analytics.

Случаи использования

Использование журналов, отчетов и служб мониторинга зависит от потребностей вашей организации. Чтобы лучше определить приоритеты вариантов использования и решений, это может помочь увидеть, как эти решения связаны друг с другом, как они отличаются и как они могут использоваться вместе.

Рекомендации

• Хранение журналов: сохранение журналов аудита и журналов входа Microsoft Entra более 30 дней
• Аналитика. Журналы могут быть найдены с помощью аналитических инструментов.
• Аналитика операционной и безопасности . Предоставление доступа к использованию приложений, ошибкам входа, самостоятельному использованию, тенденциям и т. д.
• Интеграция SIEM - интеграция и передача журналов входа и аудита Microsoft Entra в системы SIEM

С помощью мониторинга Microsoft Entra можно направлять журналы действий Microsoft Entra и сохранять их для долгосрочного создания отчетов и анализа, чтобы получить аналитические сведения о среде и для интеграции с SIEM-инструментами. Используйте следующую блок-диаграмму принятия решений, чтобы помочь выбрать архитектуру.

Общие сведения о доступе, хранении и анализе журналов действий см. в статье "Как получить доступ к журналам действий".