Zugreifen auf Aktivitätsprotokolle in Microsoft Entra ID
Die in Ihren Microsoft Entra-Protokollen gesammelten Daten ermöglichen es Ihnen, viele Aspekte Ihres Microsoft Entra-Mandanten zu bewerten. Um ein breites Spektrum an Szenarien abzudecken, bietet Ihnen Microsoft Entra ID mehrere Optionen für den Zugriff auf Ihre Aktivitätsprotokolldaten. Als IT-Administrator müssen Sie die beabsichtigten Anwendungsfälle für diese Optionen verstehen, damit Sie die richtige Zugriffsmethode für Ihr Szenario auswählen können.
Sie können mit den folgenden Methoden auf Microsoft Entra-Aktivitätsprotokolle und -berichte zugreifen:
- Streamen von Aktivitätsprotokollen an einen Event Hub zur Integration in andere Tools
- Zugreifen auf Aktivitätsprotokolle über die Microsoft Graph-API
- Integrieren von Aktivitätsprotokollen in Azure Monitor-Protokolle
- Überwachen von Aktivitäten in Echtzeit mit Microsoft Sentinel
- Anzeigen von Aktivitätsprotokollen und Berichten im Azure-Portal
- Exportieren von Aktivitätsprotokollen für Speicher und Abfragen
Jede dieser Methoden bietet Ihnen Funktionen, die für bestimmte Szenarien geeignet sein können. In diesem Artikel werden diese Szenarien beschrieben, einschließlich Empfehlungen und Details zu verwandten Berichten, die die Daten in den Aktivitätsprotokollen verwenden. Erkunden Sie die Optionen in diesem Artikel, um mehr über diese Szenarien zu erfahren, damit Sie die richtige Methode auswählen können.
Voraussetzungen
Die erforderlichen Rollen und Lizenzen können je nach Bericht variieren. Für den Zugriff auf Überwachungs- und Integritätsdaten in Microsoft Graph sind separate Berechtigungen erforderlich. Es wird jedoch empfohlen, gemäß dem Zero Trust-Leitfaden eine Rolle mit den geringsten Berechtigungen zu verwenden. Eine vollständige Liste der Rollen finden Sie unter Rolle mit den geringsten Privilegien nach Aufgabe.
Protokoll/Bericht | Rollen | Lizenzen |
---|---|---|
Überwachungsprotokolle | Berichtleseberechtigter Sicherheitsleseberechtigter Sicherheitsadministrator |
Alle Editionen von Microsoft Entra ID |
Anmeldeprotokolle | Berichtleseberechtigter Sicherheitsleseberechtigter Sicherheitsadministrator |
Alle Editionen von Microsoft Entra ID |
Bereitstellungsprotokolle | Berichtleseberechtigter Sicherheitsleseberechtigter Anwendungsadministrator Cloud-App-Administrator*in |
Microsoft Entra ID P1 oder P2 |
Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute* | Attributprotokolladministrator Attributprotokollleser |
Alle Editionen von Microsoft Entra ID |
Gesundheit | Berichtleseberechtigter Sicherheitsleseberechtigter Helpdeskadministrator |
Microsoft Entra ID P1 oder P2 |
Microsoft Entra ID Protection** | Sicherheitsadministrator Sicherheitsoperator Sicherheitsleseberechtigter Globaler Leser |
Microsoft Entra ID Free Microsoft 365 Apps Microsoft Entra ID P1 oder P2 |
Microsoft Graph-Aktivitätsprotokolle | Sicherheitsadministrator Berechtigungen für den Zugriff auf Daten im entsprechenden Protokollziel |
Microsoft Entra ID P1 oder P2 |
Nutzung und Erkenntnisse | Berichtleseberechtigter Sicherheitsleseberechtigter Sicherheitsadministrator |
Microsoft Entra ID P1 oder P2 |
*Das Anzeigen der benutzerdefinierten Sicherheitsattribute in den Überwachungsprotokollen oder das Erstellen von Diagnoseeinstellungen für benutzerdefinierte Sicherheitsattribute erfordert eine der Attributprotokollrollen. Außerdem benötigen Sie die entsprechende Rolle, um die Standardüberwachungsprotokolle anzuzeigen.
**Die Zugriffsebene und die Funktionen für Microsoft Entra ID Protection variieren je nach Rolle und Lizenz. Weitere Informationen finden Sie in den Lizenzanforderungen für ID Protection.
Überwachungsprotokolle sind für Features verfügbar, die Sie lizenziert haben. Ihrem Mandanten muss eine Microsoft Entra ID P1- oder P2-Lizenz zugewiesen sein, damit der Zugriff auf die Anmeldeprotokolle mithilfe der Microsoft Graph-API möglich ist.
Anzeigen von Protokollen über das Microsoft Entra Admin Center
Für einmalige Untersuchungen mit begrenztem Umfang ist das Microsoft Entra Admin Center oft der einfachste Weg, um die benötigten Daten zu finden. Die Benutzeroberfläche für die einzelnen Berichte bietet Filteroptionen, mit denen Sie die Einträge finden können, die Sie zum Lösen Ihres Szenarios benötigen.
Die in den Microsoft Entra-Aktivitätsprotokollen erfassten Daten werden in zahlreichen Berichten und Diensten verwendet. Sie können die Anmelde-, Überwachungs- und Bereitstellungsprotokolle für einmalige Szenarien überprüfen oder die Berichte verwenden, um Muster und Trends zu untersuchen. Die Daten aus den Aktivitätsprotokollen helfen beim Auffüllen der Identity Protection-Berichte, die Risikoerkennungen im Zusammenhang mit der Informationssicherheit bereitstellen, die Microsoft Entra ID erkennen und melden kann. Microsoft Entra-Aktivitätsprotokolle füllen auch Berichte zu Nutzung und Erkenntnissen auf, die Nutzungsdetails für die Anwendungen Ihres Mandanten bereitstellen.
Empfohlene Verwendung
Die im Azure-Portal verfügbaren Berichte bieten eine Vielzahl von Funktionen zum Überwachen von Aktivitäten und Nutzung in Ihrem Mandanten. Die folgende Liste der Verwendungsmöglichkeiten und Szenarien ist nicht vollständig. Sehen Sie sich daher die Berichte für Ihre Anforderungen an.
- Untersuchen Sie die Anmeldeaktivität eines Benutzers, oder verfolgen Sie die Nutzung einer Anwendung nach.
- Überprüfen Sie Details zu Gruppennamenänderungen, Geräteregistrierung und Kennwortzurücksetzungen mit Überwachungsprotokollen.
- Verwenden Sie die Identity Protection-Berichte für die Überwachung gefährdeter Benutzer*innen, risikobehafteter Workloadidentitäten und Risikoanmeldungen.
- Um sicherzustellen, dass Ihre Benutzer auf die in Ihrem Mandanten verwendeten Anwendungen zugreifen können, können Sie die Anmeldeerfolgsrate im Bericht mit der Microsoft Entra-Anwendungsaktivität (Vorschau) unter „Nutzung und Erkenntnisse“ überprüfen.
- Vergleichen Sie die verschiedenen Authentifizierungsmethoden, die Ihre Benutzer*innen bevorzugen, mit dem Bericht „Authentifizierungsmethoden“ unter „Nutzung und Erkenntnisse“.
Kurzanleitung
Führen Sie die folgenden grundlegenden Schritte aus, um auf die Berichte im Microsoft Entra Admin Center zuzugreifen.
- Microsoft Entra-Aktivitätsprotokolle
- Microsoft Entra ID Protection-Berichte
- Nutzungs- und Erkenntnisberichte
- Navigieren Sie zu Identität>Überwachung und Integrität>Überwachungsprotokolle/Anmeldeprotokolle/Bereitstellungsprotokolle.
- Passen Sie den Filter entsprechend Ihren Anforderungen an.
Auf Überwachungsprotokolle kann direkt über den Bereich des Microsoft Entra Admin Centers zugegriffen werden, in dem Sie arbeiten. Wenn Sie sich beispielsweise im Abschnitt Gruppen oder Lizenzen der Microsoft Entra-ID befinden, können Sie direkt in diesem Bereich auf die Überwachungsprotokolle für diese spezifischen Aktivitäten zugreifen. Wenn Sie auf diese Weise auf die Überwachungsprotokolle zugreifen, werden die Filterkategorien automatisch festgelegt. Wenn Sie sich in Gruppen befinden, wird die Filterkategorie des Überwachungsprotokolls auf GroupManagement festgelegt.
Streamen von Protokollen an einen Event Hub zur Integration in SIEM-Tools
Das Streaming Ihrer Aktivitätsprotokolle an einen Event Hub ist erforderlich, um Ihre Aktivitätsprotokolle in SIEM-Tools (Security Information and Event Management) wie Splunk und SumoLogic zu integrieren. Bevor Sie Protokolle an einen Event Hub streamen können, müssen Sie in Ihrem Azure-Abonnement einen Event Hubs-Namespace und einen Event Hub einrichten.
Empfohlene Verwendung
Die SIEM-Tools, die Sie in Ihren Event Hub integrieren können, können Analyse- und Überwachungsfunktionen bereitstellen. Wenn Sie diese Tools bereits zum Erfassen von Daten aus anderen Quellen verwenden, können Sie Ihre Identitätsdaten für eine umfassendere Analyse und Überwachung streamen. Es wird empfohlen, Ihre Aktivitätsprotokolle bei den folgenden Szenarien an einen Event Hub zu streamen:
- Sie benötigen eine Big Data-Streaming-Plattform und einen Ereigniserfassungsdienst, um Millionen von Ereignissen pro Sekunde zu empfangen und zu verarbeiten.
- Sie möchten Daten über einen Echtzeitanalyseanbieter oder Batchverarbeitungs-/Speicheradapter transformieren und speichern.
Kurzanleitung
- Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.
- Erstellen Sie einen Event Hubs-Namespace und einen Event Hub.
- Browsen Sie zu Identität>Überwachung & Integrität>Diagnoseeinstellungen.
- Wählen Sie die Protokolle aus, die Sie streamen möchten, wählen Sie die Option An einen Event Hub streamen aus, und füllen Sie die Felder aus.
Ihr unabhängiger Sicherheitsanbieter sollte Ihnen Anweisungen zur Erfassung von Daten aus Azure Event Hubs in sein Tool bereitstellen.
Zugreifen auf Protokolle mit der Microsoft Graph-API
Die Microsoft Graph-API bietet ein einheitliches Programmierbarkeitsmodell, mit dem Sie auf Daten für Ihre Microsoft Entra ID P1- oder P2-Mandanten zugreifen können. Sie erfordert keine*n Administrator*in oder Entwickler*in für die Einrichtung zusätzlicher Infrastruktur, um Ihr Skript oder Ihre App zu unterstützen.
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, auf dem Sie beginnen, geringfügig variieren.
Empfohlene Verwendung
Mit dem Microsoft Graph-Explorer können Sie Abfragen ausführen, die Sie bei den folgenden Szenarien unterstützen:
- Anzeigen von Mandantenaktivitäten, z. B. wer wann eine Änderung an einer Gruppe vorgenommen hat.
- Markieren Sie ein Microsoft Entra-Anmeldeereignis als sicher oder als bestätigt kompromittiert.
- Abrufen einer Liste der Anwendungsanmeldungen für die letzten 30 Tage.
Hinweis
Mit Microsoft Graph können Sie auf Daten aus mehreren Diensten zugreifen, die ihre eigenen Drosselungsgrenzwerte festlegen. Weitere Informationen zur Drosselung von Aktivitätsprotokollen finden Sie unter Dienstspezifische Microsoft Graph-Drosselungsgrenzwerte.
Kurzanleitung
- Konfigurieren der Voraussetzungen.
- Melden Sie sich bei Graph Explorer an.
- Legen Sie die HTTP-Methode und API-Version fest.
- Fügen Sie eine Abfrage hinzu, und wählen Sie dann die Schaltfläche Abfrage ausführen aus.
Integration von Protokollen in Azure Monitor-Protokolle
Mit der Integration von Azure Monitor-Protokollen können Sie funktionsreiche Visualisierungen, Überwachung und Benachrichtigungen für die verbundenen Daten aktivieren. Protokollanalyse bietet erweiterte Abfrage- und Analysefunktionen für Microsoft Entra-Aktivitätsprotokolle. Zum Integrieren von Microsoft Entra-Aktivitätsprotokollen in Azure Monitor-Protokolle benötigen Sie einen Log Analytics-Arbeitsbereich. Von dort aus können Sie Abfragen über Log Analytics ausführen.
Empfohlene Verwendung
Die Integration von Microsoft Entra-Protokollen in Azure Monitor-Protokolle bietet einen zentralen Speicherort zum Abfragen von Protokollen. Es wird empfohlen, für die folgenden Szenarien Protokolle in Azure Monitor zu integrieren:
- Vergleichen Sie Microsoft Entra-Anmeldeprotokolle mit Protokollen, die von anderen Azure-Diensten veröffentlicht wurden.
- Korrelieren Sie Anmeldeprotokolle mit Azure Application Insights.
- Fragen Sie Protokolle mithilfe bestimmter Suchparameter ab.
Kurzanleitung
- Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.
- Erstellen eines Log Analytics-Arbeitsbereichs.
- Browsen Sie zu Identität>Überwachung & Integrität>Diagnoseeinstellungen.
- Wählen Sie die Protokolle aus, die Sie streamen möchten, wählen Sie die Option An Log Analytics-Arbeitsbereich senden aus, und füllen Sie die Felder aus.
- Navigieren Sie zu Identity>Überwachung und Integrität>Log Analytics, und beginnen Sie mit der Abfrage der Daten.
Überwachen von Ereignissen mit Microsoft Sentinel
Das Senden von Anmelde- und Überwachungsprotokollen an Microsoft Sentinel bietet Ihrem Security Operations Center nahezu in Echtzeit Sicherheitserkennung und Bedrohungssuche. Der Begriff Bedrohungssuche bezieht sich auf einen proaktiven Ansatz zur Verbesserung des Sicherheitsstatus Ihrer Umgebung. Im Gegensatz zum klassischen Schutz wird bei der Bedrohungssuche proaktiv versucht, potenzielle Bedrohungen zu identifizieren, die Ihrem System schaden könnten. Ihre Aktivitätsprotokolldaten können Teil Ihrer Bedrohungssuchelösung sein.
Empfohlene Verwendung
Es wird empfohlen, die Funktionen zur Echtzeitsicherheitserkennung von Microsoft Sentinel zu verwenden, wenn Ihre Organisation Sicherheitsanalysen und Threat Intelligence benötigt. Verwenden Sie Microsoft Sentinel, wenn Folgendes erforderlich ist:
- Sammeln von Sicherheitsdaten im gesamten Unternehmen.
- Erkennen von Bedrohungen mit umfangreicher Threat Intelligence.
- Untersuchen kritischer Vorfälle, unterstützt von KI.
- Schnelles Reagieren und Automatisieren des Schutzes.
Kurzanleitung
- Erfahren Sie mehr über die Voraussetzungen, Rollen und Berechtigungen.
- Schätzen der potenziellen Kosten.
- Durchführen des Onboardings in Microsoft Sentinel.
- Sammeln Sie Microsoft Entra-Daten.
- Beginnen mit der Suche nach Bedrohungen.
Exportieren von Protokollen für Speicher und Abfragen
Die richtige Lösung für Ihre langfristige Speicherung hängt von Ihrem Budget sowie davon ab, welche Ziele Sie mit den Daten verfolgen. Sie haben drei Möglichkeiten:
- Archivieren von Protokollen in Azure Storage
- Herunterladen von Protokollen zur manuellen Speicherung
- Integration von Protokollen in Azure Monitor-Protokolle
Azure Storage ist die richtige Lösung, wenn Sie ihre Daten nicht oft abfragen möchten. Weitere Informationen finden Sie unter Archivieren von Azure AD-Protokollen in einem Speicherkonto.
Wenn Sie die Protokolle häufig abfragen möchten, um Berichte oder Analysen für die gespeicherten Protokolle auszuführen, sollten Sie Ihre Daten in Azure Monitor-Protokolle integrieren.
Wenn Ihr Budget knapp ist und Sie eine kostengünstige Methode benötigen, um eine langfristige Sicherung Ihrer Aktivitätsprotokolle zu erstellen, können Sie Ihre Protokolle manuell herunterladen. Über die Benutzeroberfläche der Aktivitätsprotokolle im Portal haben Sie die Möglichkeit, die Daten als JSON- oder CSV-Datei herunterzuladen. Ein Nachteil des manuellen Herunterladens ist, dass dafür mehr manuelle Interaktion erforderlich ist. Wenn Sie nach einer professionelleren Lösung suchen, verwenden Sie entweder Azure Storage oder Azure Monitor.
Empfohlene Verwendung
Es wird empfohlen, ein Speicherkonto einzurichten, um Ihre Aktivitätsprotokolle für die Governance- und Complianceszenarien zu archivieren, in denen eine langfristige Speicherung erforderlich ist.
Wenn Sie eine langfristige Speicherung wünschen und Abfragen für die Daten ausführen möchten, lesen Sie den Abschnitt zur Integration Ihrer Aktivitätsprotokolle in Azure Monitor-Protokolle.
Es wird empfohlen, Ihre Aktivitätsprotokolle manuell herunterzuladen und zu speichern, wenn Sie nur über ein begrenztes Budget verfügen.
Kurzanleitung
Führen Sie die folgenden grundlegenden Schritte aus, um Ihre Aktivitätsprotokolle zu archivieren oder herunterzuladen.
- Archivieren von Aktivitätsprotokollen in einem Speicherkonto
- Manuelles Herunterladen von Aktivitätsprotokollen
- Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.
- Erstellen Sie ein Speicherkonto.
- Browsen Sie zu Identität>Überwachung & Integrität>Diagnoseeinstellungen.
- Wählen Sie die Protokolle aus, die Sie streamen möchten, wählen Sie die Option In einem Speicherkonto archivieren aus, und füllen Sie die Felder aus.