Что такое мониторинг и работоспособности Microsoft Entra?
Функции мониторинга и работоспособности Microsoft Entra обеспечивают комплексное представление действий, связанных с удостоверениями в вашей среде. Эти данные позволяют:
- Определите, как пользователи используют приложения и службы.
- Обнаружение потенциальных рисков, влияющих на работоспособность вашей среды.
- устранить неполадки, влияющие на работу пользователей.
- Получите аналитические сведения, просмотрив события аудита изменений в каталоге Microsoft Entra.
Журналы входа и аудита включают журналы действий, лежащие в основе многих отчетов Microsoft Entra, которые можно использовать для анализа, отслеживания и устранения неполадок действий в клиенте. Маршрутизация журналов действий в решение для анализа и мониторинга обеспечивает более подробные сведения о работоспособности и безопасности клиента.
В этой статье описываются типы журналов действий, доступные в идентификаторе Microsoft Entra, отчеты, использующие журналы, и службы мониторинга, доступные для анализа данных.
Журналы действий удостоверений
Журналы действий помогают понять поведение пользователей в организации. Существует три типа журналов действий в идентификаторе Microsoft Entra:
Журналы аудита включают журнал каждой задачи, выполняемой в клиенте.
Журналы входа записывают попытки входа пользователей и клиентских приложений.
Журналы подготовки предоставляют сведения о пользователях, подготовленных в клиенте через стороннюю службу.
Журналы действий можно просматривать в портал Azure или с помощью API Microsoft Graph. Журналы действий также можно направлять в различные конечные точки для хранения или анализа. Дополнительные сведения обо всех параметрах просмотра журналов действий см. в статье "Как получить доступ к журналам действий".
Журналы аудита
Журналы аудита предоставляют записи системных действий для соответствия требованиям. Эти данные позволяют реализовать наиболее распространенные сценарии, примеры которых перечислены ниже.
- Кто-то в моем клиенте получил доступ к группе администраторов. Кто предоставил этот доступ?
- Я хочу узнать список пользователей, войдите в определенное приложение, потому что недавно я подключен к приложению и хочу знать, хорошо ли это делается.
- Я хочу знать, сколько сбросов паролей происходит в моем клиенте.
Журналы входа
Журналы входа позволяют найти ответы на такие вопросы, как:
- Что такое шаблон входа пользователя?
- Сколько пользователей входили в течение недели?
- Каков статус их входа?
Журналы подготовки
Журналы подготовки можно использовать для поиска ответов на такие вопросы:
- Какие группы были успешно созданы в ServiceNow?
- Какие пользователи были успешно удалены из Adobe?
- Какие пользователи из Workday были успешно созданы в Active Directory?
Отчеты об удостоверениях
Просмотр данных в журналах действий Microsoft Entra может предоставить полезные сведения для ИТ-администраторов. Чтобы упростить процесс проверки данных по ключевым сценариям, мы создали несколько отчетов о распространенных сценариях, использующих журналы действий.
- Защита идентификации использует данные входа для создания отчетов о рискованных пользователях и действиях входа.
- Действия, связанные с приложениями, такими как действие учетных данных субъекта-службы и приложения, используются для создания отчетов в службе "Использование и аналитика".
- Книги Microsoft Entra предоставляют настраиваемый способ просмотра и анализа журналов действий.
- Используйте рекомендации Microsoft Entra для мониторинга и улучшения безопасности клиента.
- Microsoft Entra Health захватывает глобальный уровень обслуживания соглашения о достижении и работоспособности для нескольких ключевых сценариев.
Мониторинг удостоверений и работоспособности клиента
Просмотр журналов действий Microsoft Entra — это первый шаг в обслуживании и улучшении работоспособности и безопасности вашего клиента. Необходимо проанализировать данные, отслеживать рискованные сценарии и определять, где можно улучшить. Мониторинг Microsoft Entra предоставляет необходимые средства для принятия обоснованных решений.
Для мониторинга журналов действий Microsoft Entra требуется маршрутизация данных журнала в решение для мониторинга и анализа. Конечные точки включают журналы Azure Monitor, Microsoft Sentinel или стороннее средство управления сведениями о безопасности и событиями (SIEM) стороннего решения.
- Потоковая передача журналов в концентратор событий для интеграции со сторонними средствами SIEM.
- Интеграция журналов с журналами Azure Monitor.
- Анализ журналов с помощью журналов Azure Monitor и Log Analytics.
Случаи использования
Использование журналов, отчетов и служб мониторинга зависит от потребностей вашей организации. Чтобы лучше определить приоритеты вариантов использования и решений, это может помочь увидеть, как эти решения связаны друг с другом, как они отличаются и как они могут использоваться вместе.
Рекомендации
- Хранение — хранение журналов: хранение журналов аудита и вход журналов Microsoft Entra дольше 30 дней
- Аналитика. Журналы доступны для поиска с помощью средств аналитики
- Аналитика операционной и безопасности . Предоставление доступа к использованию приложений, ошибкам входа, самостоятельному использованию, тенденциям и т. д.
- Интеграция SIEM . Интеграция и потоковая передача журналов входа Microsoft Entra и журналов аудита в системы SIEM
С помощью мониторинга Microsoft Entra можно направлять журналы действий Microsoft Entra и сохранять их для долгосрочного создания отчетов и анализа для получения аналитических сведений об среде и интеграции с средствами SIEM. Используйте следующую блок-диаграмму принятия решений, чтобы помочь выбрать архитектуру.
Общие сведения о доступе, хранении и анализе журналов действий см. в статье "Как получить доступ к журналам действий".