Как получить доступ к журналам аудита глобального безопасного доступа (предварительная версия)

Журналы аудита Microsoft Entra являются ценным источником информации при изучении или устранении неполадок в среде Microsoft Entra. Изменения, связанные с глобальным безопасным доступом, фиксируются в журналах аудита в нескольких категориях, таких как профили пересылки трафика, удаленное управление сетями и многое другое. В этой статье описывается, как использовать журнал аудита для отслеживания изменений в среде глобального безопасного доступа.

Необходимые компоненты

Чтобы получить доступ к журналу аудита для клиента, необходимо иметь одну из следующих ролей:

• Читатель отчетов
• Читатель сведений о безопасности
• Администратор безопасности

Журналы аудита доступны во всех выпусках Microsoft Entra. Для хранения и интеграции с средствами анализа и мониторинга могут потребоваться дополнительные лицензии и роли.

Доступ к журналам аудита

Существует несколько способов просмотра журналов аудита. Дополнительные сведения о параметрах и рекомендациях по использованию каждого параметра см. в разделе "Как получить доступ к журналам действий".

Доступ к журналам аудита из Центра администрирования Microsoft Entra

Вы можете получить доступ к журналам аудита из глобального безопасного доступа и из мониторинга и работоспособности идентификаторов Microsoft Entra ID.

Из глобального безопасного доступа:

1. Войдите в Центр администрирования Microsoft Entra с помощью одной из обязательных ролей.
2. Перейдите к журналам аудита глобального монитора>безопасного доступа.> Фильтры предварительно заполнены категориями и действиями, связанными с глобальным безопасным доступом.

Из microsoft Entra monitoring and health:

1. Войдите в Центр администрирования Microsoft Entra с помощью одной из обязательных ролей.
2. Перейдите к журналам мониторинга удостоверений и аудита работоспособности>>.
3. Выберите диапазон дат, который требуется запросить.
4. Откройте фильтр службы, выберите "Глобальный безопасный доступ" и нажмите кнопку "Применить".
5. Откройте фильтр категорий, выберите хотя бы один из доступных параметров и нажмите кнопку "Применить".

Сохранение журналов аудита

Данные журнала аудита по умолчанию хранятся только 30 дней, что может быть недостаточным для определенных организаций. Вы также можете интегрировать журналы с другими службами для расширенного мониторинга и анализа, если вам нужно просмотреть или запросить журналы через 30 дней.

• Потоковая передача журналов действий в концентратор событий для интеграции с другими инструментами, такими как Azure Monitor или Splunk.
• Экспорт журналов действий для хранилища.
• Мониторинг действий в режиме реального времени с помощью Microsoft Sentinel.

Следующие шаги

• Просмотр журналов сетевого трафика
• Доступ к обогащенным журналам Microsoft 365