Zugreifen auf Aktivitätsprotokolle in Microsoft Entra ID

Die in Ihren Microsoft Entra-Protokollen gesammelten Daten ermöglichen es Ihnen, viele Aspekte Ihres Microsoft Entra-Mandanten zu bewerten. Um ein breites Spektrum an Szenarien abzudecken, bietet Ihnen Microsoft Entra ID mehrere Optionen für den Zugriff auf Ihre Aktivitätsprotokolldaten. Als IT-Administrator müssen Sie die beabsichtigten Anwendungsfälle für diese Optionen verstehen, damit Sie die richtige Zugriffsmethode für Ihr Szenario auswählen können.

Sie können mit den folgenden Methoden auf Microsoft Entra-Aktivitätsprotokolle und -berichte zugreifen:

• Streamen von Aktivitätsprotokollen an einen Event Hub zur Integration in andere Tools
• Zugreifen auf Aktivitätsprotokolle über die Microsoft Graph-API
• Integrieren von Aktivitätsprotokollen in Azure Monitor-Protokolle
• Überwachen von Aktivitäten in Echtzeit mit Microsoft Sentinel
• Anzeigen von Aktivitätsprotokollen und Berichten im Azure-Portal
• Exportieren von Aktivitätsprotokollen für Speicher und Abfragen

Jede dieser Methoden bietet Ihnen Funktionen, die für bestimmte Szenarien geeignet sein können. In diesem Artikel werden diese Szenarien beschrieben, einschließlich Empfehlungen und Details zu verwandten Berichten, die die Daten in den Aktivitätsprotokollen verwenden. Erkunden Sie die Optionen in diesem Artikel, um mehr über diese Szenarien zu erfahren, damit Sie die richtige Methode auswählen können.

Voraussetzungen

• Ein funktionierender Microsoft Entra-Mandant mit der entsprechenden Microsoft Entra-Lizenz, die ihm zugeordnet ist.
  • Eine vollständige Liste der Lizenzanforderungen finden Sie unter Microsoft Entra Monitoring and Health Licensing.
• Überwachungsprotokolle sind für Features verfügbar, die Sie lizenziert haben.
• Der Berichtsleser ist die am wenigsten privilegierte Rolle, die für den Zugriff auf Aktivitätsprotokolle erforderlich ist.
• Sicherheitsadministrator ist die am wenigsten privilegierte Rolle, die zum Konfigurieren von Diagnoseeinstellungen erforderlich ist.
• Um den erforderlichen Berechtigungen zum Anzeigen von Protokollen mit Microsoft Graph zuzustimmen, müssen Sie Administrator für privilegierte Rollen sein.
• Eine vollständige Liste der Rollen finden Sie unter Rolle mit den geringsten Privilegien nach Aufgabe.

Die erforderlichen Lizenzen variieren je nach Überwachung und Integritätsfunktion.

Funktion	Microsoft Entra ID Free	Microsoft Entra ID P1 oder P2 / Microsoft Entra Suite
Überwachungsprotokolle	Ja	Ja
Anmeldeprotokolle	Ja	Ja
Bereitstellungsprotokolle	No	Ja
Benutzerdefinierte Sicherheitsattribute	Ja	Ja
Integrität	No	Ja
Microsoft Graph-Aktivitätsprotokolle	No	Ja
Nutzung und Erkenntnisse	No	Ja

Anzeigen von Protokollen über das Microsoft Entra Admin Center

Für einmalige Untersuchungen mit begrenztem Umfang ist das Microsoft Entra Admin Center oft der einfachste Weg, um die benötigten Daten zu finden. Die Benutzeroberfläche für die einzelnen Berichte bietet Filteroptionen, mit denen Sie die Einträge finden können, die Sie zum Lösen Ihres Szenarios benötigen.

Die in den Microsoft Entra-Aktivitätsprotokollen erfassten Daten werden in zahlreichen Berichten und Diensten verwendet. Sie können die Anmelde-, Überwachungs- und Bereitstellungsprotokolle für einmalige Szenarien überprüfen oder die Berichte verwenden, um Muster und Trends zu untersuchen. Die Daten aus den Aktivitätsprotokollen helfen beim Auffüllen der Identity Protection-Berichte, die Risikoerkennungen im Zusammenhang mit der Informationssicherheit bereitstellen, die Microsoft Entra ID erkennen und melden kann. Microsoft Entra-Aktivitätsprotokolle füllen auch Berichte zu Nutzung und Erkenntnissen auf, die Nutzungsdetails für die Anwendungen Ihres Mandanten bereitstellen.

Empfohlene Verwendung

Die im Azure-Portal verfügbaren Berichte bieten eine Vielzahl von Funktionen zum Überwachen von Aktivitäten und Nutzung in Ihrem Mandanten. Die folgende Liste der Verwendungsmöglichkeiten und Szenarien ist nicht vollständig. Sehen Sie sich daher die Berichte für Ihre Anforderungen an.

• Untersuchen Sie die Anmeldeaktivität eines Benutzers, oder verfolgen Sie die Nutzung einer Anwendung nach.
• Überprüfen Sie Details zu Gruppennamenänderungen, Geräteregistrierung und Kennwortzurücksetzungen mit Überwachungsprotokollen.
• Verwenden Sie die Identity Protection-Berichte für die Überwachung gefährdeter Benutzer*innen, risikobehafteter Workloadidentitäten und Risikoanmeldungen.
• Um sicherzustellen, dass Ihre Benutzer auf die in Ihrem Mandanten verwendeten Anwendungen zugreifen können, können Sie die Anmeldeerfolgsrate im Bericht mit der Microsoft Entra-Anwendungsaktivität (Vorschau) unter „Nutzung und Erkenntnisse“ überprüfen.
• Vergleichen Sie die verschiedenen Authentifizierungsmethoden, die Ihre Benutzer*innen bevorzugen, mit dem Bericht „Authentifizierungsmethoden“ unter „Nutzung und Erkenntnisse“.

Kurzanleitung

Führen Sie die folgenden grundlegenden Schritte aus, um auf die Berichte im Microsoft Entra Admin Center zuzugreifen.

Microsoft Entra-Aktivitätsprotokolle

1. Navigieren Sie zu Identität>Überwachung und Integrität>Überwachungsprotokolle/Anmeldeprotokolle/Bereitstellungsprotokolle.
2. Passen Sie den Filter entsprechend Ihren Anforderungen an.
   • Informationen zum Filtern der Aktivitätsprotokolle
   • Untersuchen der Kategorien und Aktivitäten in Microsoft Entra-Überwachungsprotokollen
   • Grundlegende Informationen in den Microsoft Entra-Anmeldeprotokollen

Auf Überwachungsprotokolle kann direkt über den Bereich des Microsoft Entra Admin Centers zugegriffen werden, in dem Sie arbeiten. Wenn Sie sich beispielsweise im Abschnitt Gruppen oder Lizenzen der Microsoft Entra-ID befinden, können Sie direkt in diesem Bereich auf die Überwachungsprotokolle für diese spezifischen Aktivitäten zugreifen. Wenn Sie auf diese Weise auf die Überwachungsprotokolle zugreifen, werden die Filterkategorien automatisch festgelegt. Wenn Sie sich in Gruppen befinden, wird die Filterkategorie des Überwachungsprotokolls auf GroupManagement festgelegt.

Microsoft Entra ID Protection-Berichte

1. Navigieren Sie zu Schutz>Identitätsschutz.
2. Erkunden Sie die verfügbaren Berichte.
   • Erfahren Sie mehr über Identity Protection
   • Informationen zum Untersuchen von Risiken

Nutzungs- und Erkenntnisberichte

1. Navigieren Sie zu Identität>Überwachung und Integrität>Nutzung und Erkenntnisse.
2. Erkunden Sie die verfügbaren Berichte.
   • Weitere Informationen zum Bericht „Nutzung und Erkenntnisse“

Streamen von Protokollen an einen Event Hub zur Integration in SIEM-Tools

Das Streaming Ihrer Aktivitätsprotokolle an einen Event Hub ist erforderlich, um Ihre Aktivitätsprotokolle in SIEM-Tools (Security Information and Event Management) wie Splunk und SumoLogic zu integrieren. Bevor Sie Protokolle an einen Event Hub streamen können, müssen Sie in Ihrem Azure-Abonnement einen Event Hubs-Namespace und einen Event Hub einrichten.

Empfohlene Verwendung

Die SIEM-Tools, die Sie in Ihren Event Hub integrieren können, können Analyse- und Überwachungsfunktionen bereitstellen. Wenn Sie diese Tools bereits zum Erfassen von Daten aus anderen Quellen verwenden, können Sie Ihre Identitätsdaten für eine umfassendere Analyse und Überwachung streamen. Es wird empfohlen, Ihre Aktivitätsprotokolle bei den folgenden Szenarien an einen Event Hub zu streamen:

• Sie benötigen eine Big Data-Streaming-Plattform und einen Ereigniserfassungsdienst, um Millionen von Ereignissen pro Sekunde zu empfangen und zu verarbeiten.
• Sie möchten Daten über einen Echtzeitanalyseanbieter oder Batchverarbeitungs-/Speicheradapter transformieren und speichern.

Kurzanleitung

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.
2. Erstellen eines Event Hubs-Namespaces und eines Event Hubs.
3. Navigieren Sie zu Identität>Überwachung und Integrität>Diagnoseeinstellungen.
4. Wählen Sie die Protokolle aus, die Sie streamen möchten, wählen Sie die Option An einen Event Hub streamen aus, und füllen Sie die Felder aus.
   • Einrichten eines Event Hubs-Namespace und eines Event Hub
   • Weitere Informationen zum Streamen von Aktivitätsprotokollen an einen Event Hub

Ihr unabhängiger Sicherheitsanbieter sollte Ihnen Anweisungen zur Erfassung von Daten aus Azure Event Hubs in sein Tool bereitstellen.

Zugreifen auf Protokolle mit der Microsoft Graph-API

Die Microsoft Graph-API bietet ein einheitliches Programmierbarkeitsmodell, mit dem Sie auf Daten für Ihre Microsoft Entra ID P1- oder P2-Mandanten zugreifen können. Sie erfordert keine*n Administrator*in oder Entwickler*in für die Einrichtung zusätzlicher Infrastruktur, um Ihr Skript oder Ihre App zu unterstützen

Empfohlene Verwendung

Mit dem Microsoft Graph-Explorer können Sie Abfragen ausführen, die Sie bei den folgenden Szenarien unterstützen:

• Anzeigen von Mandantenaktivitäten, z. B. wer wann eine Änderung an einer Gruppe vorgenommen hat
• Markieren Sie ein Microsoft Entra-Anmeldeereignis als sicher oder als bestätigt kompromittiert.
• Abrufen einer Liste der Anwendungsanmeldungen für die letzten 30 Tage

Hinweis

Mit Microsoft Graph können Sie auf Daten aus mehreren Diensten zugreifen, die ihre eigenen Drosselungsgrenzwerte festlegen. Weitere Informationen zur Drosselung von Aktivitätsprotokollen finden Sie unter Dienstspezifische Microsoft Graph-Drosselungsgrenzwerte.

Kurzanleitung

1. Konfigurieren der Voraussetzungen
2. Melden Sie sich bei Graph Explorer an.
3. Legen Sie die HTTP-Methode und API-Version fest.
4. Fügen Sie eine Abfrage hinzu, und wählen Sie dann die Schaltfläche Abfrage ausführen aus.
   • Machen Sie sich mit den Microsoft Graph-Eigenschaften für Verzeichnisüberwachungen vertraut.
   • Lesen Sie die MS Graph-Schnellstartanleitung.

Integration von Protokollen in Azure Monitor-Protokolle

Mit der Integration von Azure Monitor-Protokollen können Sie funktionsreiche Visualisierungen, Überwachung und Benachrichtigungen für die verbundenen Daten aktivieren. Log Analytics bietet erweiterte Abfrage- und Analysefunktionen für Microsoft Entra-Aktivitätsprotokolle. Zum Integrieren von Microsoft Entra-Aktivitätsprotokollen in Azure Monitor-Protokolle benötigen Sie einen Log Analytics-Arbeitsbereich. Von dort aus können Sie Abfragen über Log Analytics ausführen.

Empfohlene Verwendung

Die Integration von Microsoft Entra-Protokollen in Azure Monitor-Protokolle bietet einen zentralen Speicherort zum Abfragen von Protokollen. Es wird empfohlen, für die folgenden Szenarien Protokolle in Azure Monitor zu integrieren:

• Vergleichen Sie Microsoft Entra-Anmeldeprotokolle mit Protokollen, die von anderen Azure-Diensten veröffentlicht wurden.
• Korrelieren Sie Anmeldeprotokolle mit Azure Application Insights.
• Fragen Sie Protokolle mithilfe bestimmter Suchparameter ab.

Kurzanleitung

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.
2. Erstellen eines Log Analytics-Arbeitsbereichs
3. Navigieren Sie zu Identität>Überwachung und Integrität>Diagnoseeinstellungen.
4. Wählen Sie die Protokolle aus, die Sie streamen möchten, wählen Sie die Option An Log Analytics-Arbeitsbereich senden aus, und füllen Sie die Felder aus.
5. Navigieren Sie zu Identity>Überwachung und Integrität>Log Analytics, und beginnen Sie mit der Abfrage der Daten.
   • Integration von Microsoft Entra ID-Protokollen in Azure Monitor-Protokolle
   • Informationen zum Abfragen mithilfe von Log Analytics

Überwachen von Ereignissen mit Microsoft Sentinel

Das Senden von Anmelde- und Überwachungsprotokollen an Microsoft Sentinel bietet Ihrem Security Operations Center nahezu in Echtzeit Sicherheitserkennung und Bedrohungssuche. Der Begriff Bedrohungssuche bezieht sich auf einen proaktiven Ansatz zur Verbesserung des Sicherheitsstatus Ihrer Umgebung. Im Gegensatz zum klassischen Schutz wird bei der Bedrohungssuche proaktiv versucht, potenzielle Bedrohungen zu identifizieren, die Ihrem System schaden könnten. Ihre Aktivitätsprotokolldaten können Teil Ihrer Bedrohungssuchelösung sein.

Empfohlene Verwendung

Es wird empfohlen, die Funktionen zur Echtzeitsicherheitserkennung von Microsoft Sentinel zu verwenden, wenn Ihre Organisation Sicherheitsanalysen und Threat Intelligence benötigt. Verwenden Sie Microsoft Sentinel, wenn Folgendes erforderlich ist:

• Sammeln von Sicherheitsdaten im gesamten Unternehmen
• Erkennen von Bedrohungen mit umfangreicher Threat Intelligence
• Untersuchen kritischer Vorfälle, unterstützt von KI
• Schnelles Reagieren und Automatisieren des Schutzes

Kurzanleitung

1. Erfahren Sie mehr über die Voraussetzungen, Rollen und Berechtigungen.
2. Schätzen der potenziellen Kosten
3. Durchführen des Onboardings in Microsoft Sentinel
4. Sammeln Sie Microsoft Entra-Daten.
5. Beginnen mit der Suche nach Bedrohungen.

Exportieren von Protokollen für Speicher und Abfragen

Die richtige Lösung für Ihre langfristige Speicherung hängt von Ihrem Budget sowie davon ab, welche Ziele Sie mit den Daten verfolgen. Sie haben drei Möglichkeiten:

• Archivieren von Protokollen in Azure Storage
• Herunterladen von Protokollen zur manuellen Speicherung
• Integration von Protokollen in Azure Monitor-Protokolle

Azure Storage ist die richtige Lösung, wenn Sie ihre Daten nicht oft abfragen möchten. Weitere Informationen finden Sie unter Archivieren von Azure AD-Protokollen in einem Speicherkonto.

Wenn Sie die Protokolle häufig abfragen möchten, um Berichte oder Analysen für die gespeicherten Protokolle auszuführen, sollten Sie Ihre Daten in Azure Monitor-Protokolle integrieren.

Wenn Ihr Budget knapp ist und Sie eine kostengünstige Methode benötigen, um eine langfristige Sicherung Ihrer Aktivitätsprotokolle zu erstellen, können Sie Ihre Protokolle manuell herunterladen. Über die Benutzeroberfläche der Aktivitätsprotokolle im Portal haben Sie die Möglichkeit, die Daten als JSON- oder CSV-Datei herunterzuladen. Ein Nachteil des manuellen Herunterladens ist, dass dafür mehr manuelle Interaktion erforderlich ist. Wenn Sie nach einer professionelleren Lösung suchen, verwenden Sie entweder Azure Storage oder Azure Monitor.

Empfohlene Verwendung

Es wird empfohlen, ein Speicherkonto einzurichten, um Ihre Aktivitätsprotokolle für die Governance- und Complianceszenarien zu archivieren, in denen eine langfristige Speicherung erforderlich ist.

Wenn Sie eine langfristige Speicherung wünschen und Abfragen für die Daten ausführen möchten, lesen Sie den Abschnitt zur Integration Ihrer Aktivitätsprotokolle in Azure Monitor-Protokolle.

Es wird empfohlen, Ihre Aktivitätsprotokolle manuell herunterzuladen und zu speichern, wenn Sie nur über ein begrenztes Budget verfügen.

Kurzanleitung

Führen Sie die folgenden grundlegenden Schritte aus, um Ihre Aktivitätsprotokolle zu archivieren oder herunterzuladen.

Archivieren von Aktivitätsprotokollen in einem Speicherkonto

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.
2. Erstellen Sie ein Speicherkonto.
3. Navigieren Sie zu Identität>Überwachung und Integrität>Diagnoseeinstellungen.
4. Wählen Sie die Protokolle aus, die Sie streamen möchten, wählen Sie die Option In einem Speicherkonto archivieren aus, und füllen Sie die Felder aus.
   • Überprüfen der Datenaufbewahrungsrichtlinien

Manuelles Herunterladen von Aktivitätsprotokollen

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.
2. Navigieren Sie im Menü Überwachung zu Identität>Überwachung und Integrität>Überwachungsprotokolle/Anmeldeprotokolle/Bereitstellungsprotokolle des Überwachungsmenü.
3. Wählen Sie Herunterladen aus.
   • Weitere Informationen zum Herunterladen von Protokollen

Nächste Schritte

• Streamen von Protokollen an einen Event Hub
• Archivieren von Protokollen in einem Speicherkonto
• Integration von Protokollen in Azure Monitor-Protokolle