Zugreifen auf Aktivitätsprotokolle in Microsoft Entra ID

  • Artikel

Die in Ihren Microsoft Entra-Protokollen gesammelten Daten ermöglichen es Ihnen, viele Aspekte Ihres Microsoft Entra-Mandanten zu bewerten. Um ein breites Spektrum an Szenarien abzudecken, bietet Ihnen Microsoft Entra ID mehrere Optionen für den Zugriff auf Ihre Aktivitätsprotokolldaten. Als IT-Administrator müssen Sie die beabsichtigten Anwendungsfälle für diese Optionen verstehen, damit Sie die richtige Zugriffsmethode für Ihr Szenario auswählen können.

Sie können mit den folgenden Methoden auf Microsoft Entra-Aktivitätsprotokolle und -berichte zugreifen:

Jede dieser Methoden bietet Ihnen Funktionen, die für bestimmte Szenarien geeignet sein können. In diesem Artikel werden diese Szenarien beschrieben, einschließlich Empfehlungen und Details zu verwandten Berichten, die die Daten in den Aktivitätsprotokollen verwenden. Erkunden Sie die Optionen in diesem Artikel, um mehr über diese Szenarien zu erfahren, damit Sie die richtige Methode auswählen können.

Voraussetzungen

Die erforderlichen Rollen und Lizenzen können je nach Bericht variieren. Für den Zugriff auf Überwachungs- und Integritätsdaten in Microsoft Graph sind separate Berechtigungen erforderlich. Es wird jedoch empfohlen, gemäß dem Zero Trust-Leitfaden eine Rolle mit den geringsten Berechtigungen zu verwenden.

Protokoll/Bericht Rollen Lizenzen
Überwachung Berichtleseberechtigter
Sicherheitsleseberechtigter
Sicherheitsadministrator
Globaler Leser
 Alle Editionen von Microsoft Entra ID
Anmeldungen Berichtleseberechtigter
Sicherheitsleseberechtigter
Sicherheitsadministrator
Globaler Leser
 Alle Editionen von Microsoft Entra ID
Bereitstellung Berichtleseberechtigter
Sicherheitsleseberechtigter
Sicherheitsadministrator
Globaler Leser
Sicherheitsoperator
Anwendungsadministrator
Cloud-App-Administrator*in
 Microsoft Entra ID P1 oder P2
Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute* Attributprotokolladministrator
Attributprotokollleser		 Alle Editionen von Microsoft Entra ID
Nutzung und Erkenntnisse Berichtleseberechtigter
Sicherheitsleseberechtigter
Sicherheitsadministrator		 Microsoft Entra ID P1 oder P2
Identitätsschutz** Sicherheitsadministrator
Sicherheitsoperator
Sicherheitsleseberechtigter
Globaler Leser
 Microsoft Entra ID Free
Microsoft 365 Apps
Microsoft Entra ID P1 oder P2
Microsoft Graph-Aktivitätsprotokolle Sicherheitsadministrator
Berechtigungen für den Zugriff auf Daten im entsprechenden Protokollziel		 Microsoft Entra ID P1 oder P2

*Das Anzeigen der benutzerdefinierten Sicherheitsattribute in den Überwachungsprotokollen oder das Erstellen von Diagnoseeinstellungen für benutzerdefinierte Sicherheitsattribute erfordert eine der Attributprotokollrollen. Außerdem benötigen Sie die entsprechende Rolle, um die Standardüberwachungsprotokolle anzuzeigen.

**Die Zugriffsebene und die Funktionen für den Identitätsschutz variieren je nach Rolle und Lizenz. Weitere Informationen finden Sie in den Lizenzanforderungen für Identity Protection.

Überwachungsprotokolle sind für Features verfügbar, die Sie lizenziert haben. Ihrem Mandanten muss eine Microsoft Entra ID P1- oder P2-Lizenz zugewiesen sein, damit der Zugriff auf die Anmeldeprotokolle mithilfe der Microsoft Graph-API möglich ist.

Streamen von Protokollen an einen Event Hub zur Integration in SIEM-Tools

Das Streaming Ihrer Aktivitätsprotokolle an einen Event Hub ist erforderlich, um Ihre Aktivitätsprotokolle in SIEM-Tools (Security Information and Event Management) wie Splunk und SumoLogic zu integrieren. Bevor Sie Protokolle an einen Event Hub streamen können, müssen Sie in Ihrem Azure-Abonnement einen Event Hubs-Namespace und einen Event Hub einrichten.

Die SIEM-Tools, die Sie in Ihren Event Hub integrieren können, können Analyse- und Überwachungsfunktionen bereitstellen. Wenn Sie diese Tools bereits zum Erfassen von Daten aus anderen Quellen verwenden, können Sie Ihre Identitätsdaten für eine umfassendere Analyse und Überwachung streamen. Es wird empfohlen, Ihre Aktivitätsprotokolle bei den folgenden Szenarien an einen Event Hub zu streamen:

  • Sie benötigen eine Big Data-Streamingplattform und einen Ereigniserfassungsdienst, um Millionen von Ereignissen pro Sekunde zu empfangen und zu verarbeiten.
  • Sie möchten Daten über einen Echtzeitanalyseanbieter oder Batchverarbeitungs-/Speicheradapter transformieren und speichern.

Kurzanleitung

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.
  2. Erstellen eines Event Hubs-Namespaces und eines Event Hubs.
  3. Navigieren Sie zu Identität>Überwachung und Integrität>Diagnoseeinstellungen.
  4. Wählen Sie die Protokolle aus, die Sie streamen möchten, wählen Sie die Option An einen Event Hub streamen aus, und füllen Sie die Felder aus.

Ihr unabhängiger Sicherheitsanbieter sollte Ihnen Anweisungen zur Erfassung von Daten aus Azure Event Hubs in sein Tool bereitstellen.

Zugreifen auf Protokolle mit der Microsoft Graph-API

Die Microsoft Graph-API bietet ein einheitliches Programmierbarkeitsmodell, mit dem Sie auf Daten für Ihre Microsoft Entra ID P1- oder P2-Mandanten zugreifen können. Sie erfordert keine*n Administrator*in oder Entwickler*in für die Einrichtung zusätzlicher Infrastruktur, um Ihr Skript oder Ihre App zu unterstützen

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Mit dem Microsoft Graph-Explorer können Sie Abfragen ausführen, die Sie bei den folgenden Szenarien unterstützen:

  • Anzeigen von Mandantenaktivitäten, z. B. wer wann eine Änderung an einer Gruppe vorgenommen hat
  • Markieren Sie ein Microsoft Entra-Anmeldeereignis als sicher oder als bestätigt kompromittiert.
  • Abrufen einer Liste der Anwendungsanmeldungen für die letzten 30 Tage

Hinweis

Mit Microsoft Graph können Sie auf Daten aus mehreren Diensten zugreifen, die ihre eigenen Drosselungsgrenzwerte festlegen. Weitere Informationen zur Drosselung von Aktivitätsprotokollen finden Sie unter Dienstspezifische Microsoft Graph-Drosselungsgrenzwerte.

Kurzanleitung

  1. Konfigurieren der Voraussetzungen
  2. Melden Sie sich bei Graph Explorer an.
  3. Legen Sie die HTTP-Methode und API-Version fest.
  4. Fügen Sie eine Abfrage hinzu, und wählen Sie dann die Schaltfläche Abfrage ausführen aus.

Integration von Protokollen in Azure Monitor-Protokolle

Mit der Integration von Azure Monitor-Protokollen können Sie funktionsreiche Visualisierungen, Überwachung und Benachrichtigungen für die verbundenen Daten aktivieren. Log Analytics bietet erweiterte Abfrage- und Analysefunktionen für Microsoft Entra-Aktivitätsprotokolle. Zum Integrieren von Microsoft Entra-Aktivitätsprotokollen in Azure Monitor-Protokolle benötigen Sie einen Log Analytics-Arbeitsbereich. Von dort aus können Sie Abfragen über Log Analytics ausführen.

Die Integration von Microsoft Entra-Protokollen in Azure Monitor-Protokolle bietet einen zentralen Speicherort zum Abfragen von Protokollen. Es wird empfohlen, für die folgenden Szenarien Protokolle in Azure Monitor zu integrieren:

  • Vergleichen Sie Microsoft Entra-Anmeldeprotokolle mit Protokollen, die von anderen Azure-Diensten veröffentlicht wurden.
  • Korrelieren Sie Anmeldeprotokolle mit Azure Application Insights.
  • Fragen Sie Protokolle mithilfe bestimmter Suchparameter ab.

Kurzanleitung

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.
  2. Erstellen eines Log Analytics-Arbeitsbereichs
  3. Navigieren Sie zu Identität>Überwachung und Integrität>Diagnoseeinstellungen.
  4. Wählen Sie die Protokolle aus, die Sie streamen möchten, wählen Sie die Option An Log Analytics-Arbeitsbereich senden aus, und füllen Sie die Felder aus.
  5. Navigieren Sie zu Identity>Überwachung und Integrität>Log Analytics, und beginnen Sie mit der Abfrage der Daten.

Überwachen von Ereignissen mit Microsoft Sentinel

Das Senden von Anmelde- und Überwachungsprotokollen an Microsoft Sentinel bietet Ihrem Security Operations Center nahezu in Echtzeit Sicherheitserkennung und Bedrohungssuche. Der Begriff Bedrohungssuche bezieht sich auf einen proaktiven Ansatz zur Verbesserung des Sicherheitsstatus Ihrer Umgebung. Im Gegensatz zum klassischen Schutz wird bei der Bedrohungssuche proaktiv versucht, potenzielle Bedrohungen zu identifizieren, die Ihrem System schaden könnten. Ihre Aktivitätsprotokolldaten können Teil Ihrer Bedrohungssuchelösung sein.

Es wird empfohlen, die Funktionen zur Echtzeitsicherheitserkennung von Microsoft Sentinel zu verwenden, wenn Ihre Organisation Sicherheitsanalysen und Threat Intelligence benötigt. Verwenden Sie Microsoft Sentinel, wenn Folgendes erforderlich ist:

  • Sammeln von Sicherheitsdaten im gesamten Unternehmen
  • Erkennen von Bedrohungen mit umfangreicher Threat Intelligence
  • Untersuchen kritischer Vorfälle, unterstützt von KI
  • Schnelles Reagieren und Automatisieren des Schutzes

Kurzanleitung

  1. Erfahren Sie mehr über die Voraussetzungen, Rollen und Berechtigungen.
  2. Schätzen der potenziellen Kosten
  3. Durchführen des Onboardings in Microsoft Sentinel
  4. Sammeln Sie Microsoft Entra-Daten.
  5. Beginnen mit der Suche nach Bedrohungen

Anzeigen von Protokollen über das Microsoft Entra Admin Center

Für einmalige Untersuchungen mit begrenztem Umfang ist das Microsoft Entra Admin Center oft der einfachste Weg, um die benötigten Daten zu finden. Die Benutzeroberfläche für die einzelnen Berichte bietet Filteroptionen, mit denen Sie die Einträge finden können, die Sie zum Lösen Ihres Szenarios benötigen.

Die in den Microsoft Entra-Aktivitätsprotokollen erfassten Daten werden in zahlreichen Berichten und Diensten verwendet. Sie können die Anmelde-, Überwachungs- und Bereitstellungsprotokolle für einmalige Szenarien überprüfen oder die Berichte verwenden, um Muster und Trends zu untersuchen. Die Daten aus den Aktivitätsprotokollen helfen beim Auffüllen der Identity Protection-Berichte, die Risikoerkennungen im Zusammenhang mit der Informationssicherheit bereitstellen, die Microsoft Entra ID erkennen und melden kann. Microsoft Entra-Aktivitätsprotokolle füllen auch Berichte zu Nutzung und Erkenntnissen auf, die Nutzungsdetails für die Anwendungen Ihres Mandanten bereitstellen.

Die im Azure-Portal verfügbaren Berichte bieten eine Vielzahl von Funktionen zum Überwachen von Aktivitäten und Nutzung in Ihrem Mandanten. Die folgende Liste der Verwendungsmöglichkeiten und Szenarien ist nicht vollständig. Sehen Sie sich daher die Berichte für Ihre Anforderungen an.

  • Untersuchen Sie die Anmeldeaktivität eines Benutzers, oder verfolgen Sie die Nutzung einer Anwendung nach.
  • Überprüfen Sie Details zu Gruppennamenänderungen, Geräteregistrierung und Kennwortzurücksetzungen mit Überwachungsprotokollen.
  • Verwenden Sie die Identity Protection-Berichte für die Überwachung gefährdeter Benutzer*innen, risikobehafteter Workloadidentitäten und Risikoanmeldungen.
  • Um sicherzustellen, dass Ihre Benutzer auf die in Ihrem Mandanten verwendeten Anwendungen zugreifen können, können Sie die Anmeldeerfolgsrate im Bericht mit der Microsoft Entra-Anwendungsaktivität (Vorschau) unter „Nutzung und Erkenntnisse“ überprüfen.
  • Vergleichen Sie die verschiedenen Authentifizierungsmethoden, die Ihre Benutzer*innen bevorzugen, mit dem Bericht „Authentifizierungsmethoden“ unter „Nutzung und Erkenntnisse“.

Kurzanleitung

Führen Sie die folgenden grundlegenden Schritte aus, um auf die Berichte im Microsoft Entra Admin Center zuzugreifen.

Microsoft Entra-Aktivitätsprotokolle

  1. Navigieren Sie zu Identität>Überwachung und Integrität>Überwachungsprotokolle/Anmeldeprotokolle/Bereitstellungsprotokolle.
  2. Passen Sie den Filter entsprechend Ihren Anforderungen an.

Auf Überwachungsprotokolle kann direkt über den Bereich des Microsoft Entra Admin Centers zugegriffen werden, in dem Sie arbeiten. Wenn Sie sich beispielsweise im Abschnitt Gruppen oder Lizenzen der Microsoft Entra-ID befinden, können Sie direkt in diesem Bereich auf die Überwachungsprotokolle für diese spezifischen Aktivitäten zugreifen. Wenn Sie auf diese Weise auf die Überwachungsprotokolle zugreifen, werden die Filterkategorien automatisch festgelegt. Wenn Sie sich in Gruppen befinden, wird die Filterkategorie des Überwachungsprotokolls auf GroupManagement festgelegt.

Microsoft Entra ID Protection-Berichte

  1. Navigieren Sie zu Schutz>Identitätsschutz.
  2. Erkunden Sie die verfügbaren Berichte.

Nutzungs- und Erkenntnisberichte

  1. Navigieren Sie zu Identität>Überwachung und Integrität>Nutzung und Erkenntnisse.
  2. Erkunden Sie die verfügbaren Berichte.

Exportieren von Protokollen für Speicher und Abfragen

Die richtige Lösung für Ihre langfristige Speicherung hängt von Ihrem Budget sowie davon ab, welche Ziele Sie mit den Daten verfolgen. Sie haben drei Möglichkeiten:

  • Archivieren von Protokollen in Azure Storage
  • Herunterladen von Protokollen zur manuellen Speicherung
  • Integration von Protokollen in Azure Monitor-Protokolle

Azure Storage ist die richtige Lösung, wenn Sie ihre Daten nicht oft abfragen möchten. Weitere Informationen finden Sie unter Archivieren von Azure AD-Protokollen in einem Speicherkonto.

Wenn Sie die Protokolle häufig abfragen möchten, um Berichte oder Analysen für die gespeicherten Protokolle auszuführen, sollten Sie Ihre Daten in Azure Monitor-Protokolle integrieren.

Wenn Ihr Budget knapp ist und Sie eine kostengünstige Methode benötigen, um eine langfristige Sicherung Ihrer Aktivitätsprotokolle zu erstellen, können Sie Ihre Protokolle manuell herunterladen. Über die Benutzeroberfläche der Aktivitätsprotokolle im Portal haben Sie die Möglichkeit, die Daten als JSON- oder CSV-Datei herunterzuladen. Ein Nachteil des manuellen Herunterladens ist, dass dafür mehr manuelle Interaktion erforderlich ist. Wenn Sie nach einer professionelleren Lösung suchen, verwenden Sie entweder Azure Storage oder Azure Monitor.

Es wird empfohlen, ein Speicherkonto einzurichten, um Ihre Aktivitätsprotokolle für die Governance- und Complianceszenarien zu archivieren, in denen eine langfristige Speicherung erforderlich ist.

Wenn Sie eine langfristige Speicherung wünschen und Abfragen für die Daten ausführen möchten, lesen Sie den Abschnitt zur Integration Ihrer Aktivitätsprotokolle in Azure Monitor-Protokolle.

Es wird empfohlen, Ihre Aktivitätsprotokolle manuell herunterzuladen und zu speichern, wenn Sie nur über ein begrenztes Budget verfügen.

Kurzanleitung

Führen Sie die folgenden grundlegenden Schritte aus, um Ihre Aktivitätsprotokolle zu archivieren oder herunterzuladen.

Archivieren von Aktivitätsprotokollen in einem Speicherkonto

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.
  2. Erstellen Sie ein Speicherkonto.
  3. Navigieren Sie zu Identität>Überwachung und Integrität>Diagnoseeinstellungen.
  4. Wählen Sie die Protokolle aus, die Sie streamen möchten, wählen Sie die Option In einem Speicherkonto archivieren aus, und füllen Sie die Felder aus.

Manuelles Herunterladen von Aktivitätsprotokollen

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.
  2. Navigieren Sie im Menü Überwachung zu Identität>Überwachung und Integrität>Überwachungsprotokolle/Anmeldeprotokolle/Bereitstellungsprotokolle des Überwachungsmenü.
  3. Wählen Sie Herunterladen aus.

Nächste Schritte