Sdílet prostřednictvím

Přístup k protokolům aktivit v Microsoft Entra ID

  • Článek

Data shromážděná v protokolech Microsoft Entra umožňují vyhodnotit mnoho aspektů vašeho tenanta Microsoft Entra. Pokud chcete pokrýt širokou škálu scénářů, poskytuje Microsoft Entra ID několik možností pro přístup k datům protokolu aktivit. Jako správce IT potřebujete porozumět zamýšleným případům použití těchto možností, abyste pro svůj scénář mohli vybrat správnou metodu přístupu.

K protokolům a sestavám aktivit Microsoft Entra můžete přistupovat pomocí následujících metod:

Každá z těchto metod poskytuje možnosti, které můžou být v souladu s určitými scénáři. Tento článek popisuje tyto scénáře, včetně doporučení a podrobností o souvisejících sestavách, které používají data v protokolech aktivit. Prozkoumejte možnosti v tomto článku a seznamte se s těmito scénáři, abyste mohli zvolit správnou metodu.

Požadavky

Požadované role a licence se liší v závislosti na sestavě. Pro přístup k datům monitorování a stavu v Microsoft Graphu se vyžadují samostatná oprávnění. K zajištění souladu s pokyny k nulová důvěra (Zero Trust) doporučujeme použít roli s přístupem s nejnižšími oprávněními. Úplný seznam rolí najdete v tématu Nejméně privilegované role podle úlohy.

Protokol / sestava Role Opravňuje licencí
Protokoly auditu Čtenář sestav
Čtenář zabezpečení
Správce zabezpečení		 Všechny edice Microsoft Entra ID
Protokoly přihlašování Čtenář sestav
Čtenář zabezpečení
Správce zabezpečení		 Všechny edice Microsoft Entra ID
Protokoly zřizování Čtenář sestav
Čtenář zabezpečení
Správce aplikace
Správce cloudových aplikací		 Microsoft Entra ID P1 nebo P2
Protokoly auditu vlastních atributů zabezpečení* Správce protokolu atributů
Čtenář protokolu atributů		 Všechny edice Microsoft Entra ID
Zdraví Čtenář sestav
Čtenář zabezpečení
Správce helpdesku		 Microsoft Entra ID P1 nebo P2
Microsoft Entra ID Protection** Správce zabezpečení
Operátor zabezpečení
Čtenář zabezpečení
Globální čtenář
 Microsoft Entra ID Free
Microsoft 365 Apps
Microsoft Entra ID P1 nebo P2
Protokoly aktivit Microsoft Graphu Správce zabezpečení
Oprávnění pro přístup k datům v odpovídajícím cíli protokolu		 Microsoft Entra ID P1 nebo P2
Využití a přehledy Čtenář sestav
Čtenář zabezpečení
Správce zabezpečení		 Microsoft Entra ID P1 nebo P2

*Zobrazení vlastních atributů zabezpečení v protokolech auditu nebo vytvoření nastavení diagnostiky pro vlastní atributy zabezpečení vyžaduje jednu z rolí protokolu atributů. K zobrazení standardních protokolů auditu potřebujete také příslušnou roli.

**Úroveň přístupu a možností pro Microsoft Entra ID Protection se liší podle role a licence. Další informace najdete v licenčních požadavcích pro SLUŽBU ID Protection.

Protokoly auditu jsou k dispozici pro funkce, které máte licencované. Pokud chcete získat přístup k protokolům přihlašování pomocí rozhraní Microsoft Graph API, musí mít váš tenant přidruženou licenci Microsoft Entra ID P1 nebo P2.

Zobrazení protokolů prostřednictvím Centra pro správu Microsoft Entra

U jednorázových šetření s omezeným rozsahem je centrum pro správu Microsoft Entra často nejjednodušší způsob, jak najít potřebná data. Uživatelské rozhraní pro každou z těchto sestav nabízí možnosti filtru, které vám umožní najít položky, které potřebujete k vyřešení vašeho scénáře.

Data zachycená v protokolech aktivit Microsoft Entra se používají v mnoha sestavách a službách. Protokoly přihlašování, auditu a zřizování můžete zkontrolovat v jednorázových scénářích nebo pomocí sestav podívat se na vzory a trendy. Data z protokolů aktivit pomáhají naplnit sestavy identity Protection, které poskytují detekce rizik souvisejících se zabezpečením informací, které může Microsoft Entra ID detekovat a hlásit. Protokoly aktivit Microsoft Entra také naplňují sestavy využití a přehledů, které poskytují podrobnosti o využití pro aplikace vašeho tenanta.

Sestavy dostupné na webu Azure Portal poskytují širokou škálu možností pro monitorování aktivit a využití ve vašem tenantovi. Následující seznam použití a scénářů není vyčerpávající, proto prozkoumejte sestavy podle svých potřeb.

  • Prohledáte přihlašovací aktivitu uživatele nebo sledujte využití aplikace.
  • Zkontrolujte podrobnosti o změnách názvů skupin, registraci zařízení a resetování hesel pomocí protokolů auditu.
  • Sestavy identity Protection slouží k monitorování rizikových uživatelů, rizikových identit úloh a rizikových přihlášení.
  • Zkontrolujte úspěšnost přihlášení v sestavě aktivit aplikace Microsoft Entra (Preview) ze sestavy Využití a přehledy, abyste měli jistotu, že vaši uživatelé budou mít přístup k aplikacím, které se používají ve vašem tenantovi.
  • Porovnejte různé metody ověřování, které uživatelé preferují, se sestavou metod ověřování ze sestavy Využití a přehledy.

Rychlé kroky

Pro přístup k sestavám v Centru pro správu Microsoft Entra použijte následující základní kroky.

  1. Přejděte k >protokolům auditu monitorování identit a auditu>stavu– Protokoly/zřizování protokolů/ přihlášení.
  2. Upravte filtr podle svých potřeb.

Protokoly auditu jsou přístupné přímo z oblasti Centra pro správu Microsoft Entra, kde pracujete. Pokud jste například v části Skupiny nebo licence ID Microsoft Entra, budete mít přístup k protokolům auditu pro konkrétní aktivity přímo z této oblasti. Když tímto způsobem přistupujete k protokolům auditu, kategorie filtrů se automaticky nastaví. Pokud jste ve skupinách, je kategorie filtru protokolu auditu nastavená na GroupManagement.

Streamování protokolů do centra událostí pro integraci s nástroji SIEM

Streamování protokolů aktivit do centra událostí se vyžaduje k integraci protokolů aktivit s nástroji SIEM (Security Information and Event Management), jako jsou Splunk a SumoLogic. Než budete moct streamovat protokoly do centra událostí, musíte ve svém předplatném Azure nastavit obor názvů služby Event Hubs a centrum událostí.

Nástroje SIEM, které můžete integrovat s centrem událostí, můžou poskytovat možnosti analýzy a monitorování. Pokud už tyto nástroje používáte k ingestování dat z jiných zdrojů, můžete streamovat data identity pro komplexnější analýzu a monitorování. Pro následující typy scénářů doporučujeme streamovat protokoly aktivit do centra událostí:

  • K příjmu a zpracování milionů událostí za sekundu potřebujete platformu pro streamování velkých objemů dat a službu pro příjem událostí.
  • Chcete transformovat a ukládat data pomocí poskytovatele analýz v reálném čase nebo adaptérů dávkování a úložiště.

Rychlé kroky

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.
  2. Vytvořte obor názvů služby Event Hubs a centrum událostí.
  3. Přejděte do nastavení diagnostiky stavu a>monitorování identit>.
  4. Zvolte protokoly, které chcete streamovat, vyberte možnost Stream do centra událostí a vyplňte pole.

Nezávislý dodavatel zabezpečení by vám měl poskytnout pokyny, jak ingestovat data ze služby Azure Event Hubs do svého nástroje.

Přístup k protokolům pomocí rozhraní Microsoft Graph API

Rozhraní Microsoft Graph API poskytuje jednotný model programovatelnosti, který můžete použít pro přístup k datům pro tenanty Microsoft Entra ID P1 nebo P2. Nevyžaduje, aby správce nebo vývojář nastavil další infrastrukturu pro podporu vašeho skriptu nebo aplikace.

Spropitné

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Pomocí Microsoft Graph Exploreru můžete spouštět dotazy, které vám pomůžou s následujícími typy scénářů:

  • Umožňuje zobrazit aktivity tenanta, například kdo provedl změnu skupiny a kdy.
  • Označte přihlašovací událost Microsoft Entra jako bezpečnou nebo potvrzenou ohrožení zabezpečení.
  • Načtěte seznam přihlášení aplikací za posledních 30 dnů.

Poznámka

Microsoft Graph umožňuje přístup k datům z více služeb, které mají vlastní limity omezování. Další informace o omezování protokolu aktivit najdete v tématu Omezení omezení specifické pro službu Microsoft Graph.

Rychlé kroky

  1. Nakonfigurujte požadavky.
  2. Přihlaste se k Graph Exploreru.
  3. Nastavte metodu HTTP a verzi rozhraní API.
  4. Přidejte dotaz a pak vyberte tlačítko Spustit dotaz .

Integrace protokolů s protokoly služby Azure Monitor

Díky integraci protokolů služby Azure Monitor můžete povolit bohaté vizualizace, monitorování a upozorňování na připojená data. Log Analytics poskytuje rozšířené možnosti dotazování a analýzy pro protokoly aktivit Microsoft Entra. Pokud chcete integrovat protokoly aktivit Microsoft Entra s protokoly služby Azure Monitor, potřebujete pracovní prostor služby Log Analytics. Odtud můžete spouštět dotazy prostřednictvím Log Analytics.

Integrace protokolů Microsoft Entra s protokoly Azure Monitoru poskytuje centralizované umístění pro dotazování protokolů. Pro následující typy scénářů doporučujeme integrovat protokoly se službou Azure Monitor:

  • Porovnejte protokoly přihlašování Microsoft Entra s protokoly publikovanými jinými službami Azure.
  • Korelujte protokoly přihlašování s Aplikace Azure lication Insights.
  • Dotazování protokolů pomocí konkrétních parametrů hledání

Rychlé kroky

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.
  2. Vytvořte pracovní prostor služby Log Analytics.
  3. Přejděte do nastavení diagnostiky stavu a>monitorování identit>.
  4. Zvolte protokoly, které chcete streamovat, vyberte možnost Odeslat do pracovního prostoru služby Log Analytics a vyplňte pole.
  5. Přejděte do služby Log Analytics pro monitorování identit>a stav>a začněte dotazovat data.

Monitorování událostí pomocí Služby Microsoft Sentinel

Odesílání protokolů přihlašování a auditu do Služby Microsoft Sentinel poskytuje centrum operací zabezpečení s detekcí zabezpečení a proaktivním vyhledáváním hrozeb téměř v reálném čase. Pojem proaktivní proaktivní vyhledávání hrozeb označuje proaktivní přístup ke zlepšení stavu zabezpečení vašeho prostředí. Na rozdíl od klasické ochrany se vyhledávání hrozeb snaží proaktivně identifikovat potenciální hrozby, které by mohly poškodit váš systém. Data protokolu aktivit můžou být součástí vašeho řešení proaktivního vyhledávání hrozeb.

Pokud vaše organizace potřebuje analýzu zabezpečení a analýzu hrozeb, doporučujeme používat funkce detekce zabezpečení služby Microsoft Sentinel v reálném čase. Pokud potřebujete:

  • Shromážděte data zabezpečení v celém podniku.
  • Detekce hrozeb pomocí rozsáhlé analýzy hrozeb
  • Prozkoumejte kritické incidenty řízené AI.
  • Rychle reagovat a automatizovat ochranu

Rychlé kroky

  1. Přečtěte si o požadavcích, rolích a oprávněních.
  2. Odhad potenciálních nákladů
  3. Připojte se k Microsoft Sentinelu.
  4. Shromážděte data Microsoft Entra.
  5. Začněte hledat hrozby.

Export protokolů pro úložiště a dotazy

Správné řešení pro dlouhodobé úložiště závisí na vašem rozpočtu a na tom, co plánujete s daty dělat. Máte tři možnosti:

  • Archivace protokolů do Azure Storage
  • Stažení protokolů pro ruční úložiště
  • Integrace protokolů s protokoly služby Azure Monitor

Azure Storage je správné řešení, pokud neplánujete často dotazovat data. Další informace najdete v tématu Archivace protokolů adresáře do účtu úložiště.

Pokud máte v úmyslu dotazovat se na protokoly, které často spouštějí sestavy nebo provádějí analýzu uložených protokolů, měli byste data integrovat s protokoly služby Azure Monitor.

Pokud je váš rozpočet těsný a potřebujete levnou metodu pro vytvoření dlouhodobé zálohy protokolů aktivit, můžete si protokoly stáhnout ručně. Uživatelské rozhraní protokolů aktivit na portálu poskytuje možnost stáhnout data jako JSON nebo CSV. Jedním kompromisem z ručního stahování je, že vyžaduje větší ruční interakci. Pokud hledáte profesionálnější řešení, použijte Azure Storage nebo Azure Monitor.

Doporučujeme nastavit účet úložiště pro archivaci protokolů aktivit pro tyto scénáře zásad správného řízení a dodržování předpisů, ve kterých se vyžaduje dlouhodobé úložiště.

Pokud chcete dlouhodobé úložiště a chcete spouštět dotazy na data, projděte si část věnovanou integraci protokolů aktivit s protokoly služby Azure Monitor.

Pokud máte rozpočtová omezení, doporučujeme ručně stahovat a ukládat protokoly aktivit.

Rychlé kroky

K archivaci nebo stažení protokolů aktivit použijte následující základní kroky.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.
  2. Vytvořte účet úložiště.
  3. Přejděte do nastavení diagnostiky stavu a>monitorování identit>.
  4. Zvolte protokoly, které chcete streamovat, vyberte možnost Archivovat do účtu úložiště a vyplňte pole.

Další kroky