Как получить доступ к журналам аудита глобального безопасного доступа (предварительная версия)

Журналы аудита Microsoft Entra являются ценным источником информации при изучении или устранении неполадок в среде Microsoft Entra. Изменения, связанные с глобальным безопасным доступом, фиксируются в журналах аудита в нескольких категориях, таких как профили пересылки трафика, удаленное управление сетями и многое другое. В этой статье описывается, как использовать журнал аудита для отслеживания изменений в среде глобального безопасного доступа.

Предварительные условия

Чтобы получить доступ к журналу аудита для клиента, необходимо иметь одну из следующих ролей:

• Просмотрщик отчетов
• Читатель сведений о безопасности
• Администратор безопасности

Журналы аудита доступны во всех выпусках Microsoft Entra. Для хранения и интеграции с средствами анализа и мониторинга могут потребоваться дополнительные лицензии и роли.

Доступ к журналам аудита

Существует несколько способов просмотра журналов аудита. Дополнительные сведения о параметрах и рекомендациях по использованию каждого параметра см. в разделе "Как получить доступ к журналам действий".

Доступ к журналам аудита из Центра администрирования Microsoft Entra

Вы можете получить доступ к журналам аудита из глобального безопасного доступа и из мониторинга и работоспособности идентификаторов Microsoft Entra ID.

Из глобального безопасного доступа:

1. Войдите в Центр администрирования Microsoft Entra с помощью одной из обязательных ролей.
2. Перейдите к Глобальному безопасному доступу>Монитор>Журналы аудита. Фильтры предварительно заполнены категориями и действиями, связанными с глобальным безопасным доступом.

Из мониторинга и безопасности Microsoft Entra:

1. Войдите в Центр администрирования Microsoft Entra с помощью одной из обязательных ролей.
2. Перейдите к Удостоверения>Мониторинг и работоспособность>Журналы аудита.
3. Выберите диапазон дат, который требуется запросить.
4. Откройте фильтр службы, выберите "Глобальный безопасный доступ" и нажмите кнопку "Применить".
5. Откройте фильтр категорий, выберите хотя бы один из доступных параметров и нажмите кнопку "Применить".

Сохранение журналов аудита

Данные журнала аудита по умолчанию хранятся только 30 дней, что может быть недостаточным для определенных организаций. Вы также можете интегрировать журналы с другими службами для расширенного мониторинга и анализа, если вам нужно просмотреть или запросить журналы через 30 дней.

• Передача журналов активности в концентратор событий для интеграции с другими инструментами, такими как Azure Monitor или Splunk.
• Экспорт журналов действий для хранилища.
• Мониторинг действий в режиме реального времени с помощью Microsoft Sentinel.

Следующие шаги

• Просмотр журналов сетевого трафика
• Доступ к обогащенным журналам Microsoft 365