Naplók és jelentések archiválása a jogosultságkezelésről az Azure Monitorban

  • Cikk

A Microsoft Entra ID legfeljebb 30 napig tárolja a naplózási eseményeket a naplóban. A naplózási adatokat azonban az alapértelmezett megőrzési időszaknál tovább is megőrizheti, a Microsoft Entra ID mennyi ideig tárolja a jelentéskészítési adatokat?, ha azokat egy Azure Storage-fiókhoz vagy az Azure Monitor használatával irányítja. Ezután munkafüzeteket, egyéni lekérdezéseket és jelentéseket használhat ezen adatokon.

A Microsoft Entra ID konfigurálása az Azure Monitor használatára

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Az Azure Monitor-munkafüzetek használata előtt konfigurálnia kell a Microsoft Entra-azonosítót, hogy a naplók másolatát elküldje az Azure Monitornak.

A Microsoft Entra auditnaplóinak archiválásához azure-előfizetésben kell rendelkeznie az Azure Monitorral. Az Azure Monitor használatának előfeltételeiről és becsült költségeiről az Azure Monitor Microsoft Entra tevékenységnaplóiban olvashat bővebben.

Előfeltétel-szerepkör: Globális Rendszergazda istrator

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális Rendszergazda istratorként. Győződjön meg arról, hogy rendelkezik hozzáféréssel az Azure Monitor-munkaterületet tartalmazó erőforráscsoporthoz.

  2. Tallózással keresse meg az Identitásfigyelés>& Állapotdiagnosztikai>beállításokat.

  3. Ellenőrizze, hogy van-e már olyan beállítás, amellyel elküldheti a naplókat a munkaterületre.

  4. Ha még nincs beállítás, válassza a Diagnosztikai beállítás hozzáadása lehetőséget. A Microsoft Entra-naplók Azure Monitor-naplókkal való integrálásával küldje el a Microsoft Entra auditnaplót az Azure Monitor-munkaterületre.

    Diagnostics settings pane

  5. Miután a naplót elküldte az Azure Monitornak, válassza ki a Log Analytics-munkaterületeket, és válassza ki a Microsoft Entra naplózási naplóit tartalmazó munkaterületet.

  6. Válassza ki a használatot és a becsült költségeket, majd válassza az Adatmegőrzés lehetőséget. Módosítsa a csúszkát arra a napokra, amíg meg szeretné tartani az adatokat a naplózási követelményeknek megfelelően.

    Log Analytics workspaces pane

  7. Később a munkaterületen tárolt dátumtartomány megtekintéséhez használhatja az archivált naplódátumtartomány munkafüzetet:

    1. Tallózással keresse meg az Identitásfigyelés>és állapot>munkafüzeteket.

    2. Bontsa ki a Microsoft Entra hibaelhárítási szakaszát, és válassza az archivált naplódátumtartományt.

Hozzáférési csomag eseményeinek megtekintése

A hozzáférési csomag eseményeinek megtekintéséhez hozzáféréssel kell rendelkeznie a mögöttes Azure Monitor-munkaterülethez (információkért lásd : Naplóadatokhoz és munkaterületekhez való hozzáférés kezelése az Azure Monitorban ) és az alábbi szerepkörök egyikében:

  • Global administrator
  • Security administrator
  • Security reader
  • Jelentésolvasó
  • Alkalmazás-rendszergazda

Az események megtekintéséhez kövesse az alábbi eljárást:

  1. A Microsoft Entra Felügyeleti központban válassza az Identitás, majd a Munkafüzetek lehetőséget. Ha csak egy előfizetéssel rendelkezik, folytassa a 3. lépéssel.

  2. Ha több előfizetéssel rendelkezik, válassza ki a munkaterületet tartalmazó előfizetést.

  3. Válassza ki az Access-csomagtevékenység nevű munkafüzetet.

  4. Ebben a munkafüzetben válasszon ki egy időtartományt (ha nem biztos benne), és válasszon egy hozzáférési csomag azonosítót az adott időtartományban tevékenységet tartalmazó összes hozzáférési csomag legördülő listájából. Megjelennek a hozzáférési csomaghoz kapcsolódó események, amelyek a kiválasztott időtartományban történtek.

    View access package events

    Minden sor tartalmazza az időt, a hozzáférési csomag azonosítóját, a művelet nevét, az objektumazonosítót, az UPN-t és a műveletet kezdő felhasználó megjelenítendő nevét. A JSON további részleteket tartalmaz.

  5. Ha szeretné látni, hogy történtek-e olyan változások egy alkalmazás szerepkör-hozzárendelésében, amely nem a csomaghozzárendelések elérése miatt történt, például ha egy globális rendszergazda közvetlenül hozzárendel egy felhasználót egy alkalmazásszerepkörhöz, akkor kiválaszthatja az alkalmazásszerepkör-hozzárendelési tevékenység nevű munkafüzetet.

    View app role assignments

Egyéni Azure Monitor-lekérdezések létrehozása a Microsoft Entra Felügyeleti központ használatával

Saját lekérdezéseket hozhat létre a Microsoft Entra naplózási eseményein, beleértve a jogosultságkezelési eseményeket is.

  1. A Microsoft Entra Felügyeleti központ Identitás lapján válassza a Bal oldali navigációs menü Figyelés szakaszában található Naplók lehetőséget egy új lekérdezési lap létrehozásához.

  2. A munkaterületnek a lekérdezési oldal bal felső sarkában kell megjelennie. Ha több Azure Monitor-munkaterülete van, és a Microsoft Entra naplózási események tárolásához használt munkaterület nem jelenik meg, válassza a Hatókör kiválasztása lehetőséget. Ezután válassza ki a megfelelő előfizetést és munkaterületet.

  3. Ezután a lekérdezés szövegterületében törölje a "search *" sztringet, és cserélje le a következő lekérdezésre:

    AuditLogs | where Category == "EntitlementManagement"

  4. Ezután válassza a Futtatás lehetőséget.

    Click Run to start query

A táblázat alapértelmezés szerint az elmúlt órában a jogosultságkezelés naplóeseményeit jeleníti meg. A régebbi események megtekintéséhez módosíthatja az "Időtartomány" beállítást. A beállítás módosítása azonban csak azokat az eseményeket jeleníti meg, amelyek azután történtek, hogy a Microsoft Entra ID-t úgy konfigurálták, hogy eseményeket küldjön az Azure Monitornak.

Ha tudni szeretné az Azure Monitorban tárolt legrégebbi és legújabb naplózási eseményeket, használja a következő lekérdezést:

AuditLogs | where TimeGenerated > ago(3653d) | summarize OldestAuditEvent=min(TimeGenerated), NewestAuditEvent=max(TimeGenerated) by Type

Az Azure Monitorban a naplózási eseményekhez tárolt oszlopokról további információt a Microsoft Entra naplózási sémájának értelmezése az Azure Monitorban című témakörben talál.

Egyéni Azure Monitor-lekérdezések létrehozása az Azure PowerShell használatával

Miután konfigurálta a Microsoft Entra ID-t, hogy naplókat küldjön az Azure Monitornak, a PowerShellen keresztül érheti el a naplókat. Ezután küldjön lekérdezéseket szkriptekből vagy a PowerShell parancssorból anélkül, hogy globális Rendszergazda istratornak kellene lennie a bérlőben.

Győződjön meg arról, hogy a felhasználó vagy a szolgáltatásnév a megfelelő szerepkör-hozzárendeléssel rendelkezik

Győződjön meg arról, hogy Ön, a Microsoft Entra-azonosítóval hitelesítést végző felhasználó vagy szolgáltatásnév a Log Analytics-munkaterület megfelelő Azure-szerepkörében van. A szerepkör-beállítások a Log Analytics-olvasó vagy a Log Analytics-közreműködő. Ha már van ilyen szerepköre, ugorjon a Log Analytics-azonosító lekérésére egy Azure-előfizetéssel.

A szerepkör-hozzárendelés beállításához és egy lekérdezés létrehozásához hajtsa végre a következő lépéseket:

  1. A Microsoft Entra Felügyeleti központban keresse meg a Log Analytics-munkaterületet.

  2. Select Access Control (IAM).

  3. Ezután válassza a Hozzáadás lehetőséget egy szerepkör-hozzárendelés hozzáadásához.

    Add a role assignment

Install Azure PowerShell module

Miután megkapta a megfelelő szerepkör-hozzárendelést, indítsa el a PowerShellt, és telepítse az Azure PowerShell-modult (ha még nem tette meg), írja be a következőt:

install-module -Name az -allowClobber -Scope CurrentUser

Most már készen áll a Microsoft Entra-azonosító hitelesítésére, és lekérheti a lekérdezett Log Analytics-munkaterület azonosítóját.

Log Analytics-azonosító lekérése egyetlen Azure-előfizetéssel

Ha csak egyetlen Azure-előfizetéssel és egyetlen Log Analytics-munkaterületel rendelkezik, írja be a következőket a Microsoft Entra-azonosító hitelesítéséhez, az előfizetéshez való csatlakozáshoz és a munkaterület lekéréséhez:

Connect-AzAccount
$wks = Get-AzOperationalInsightsWorkspace

Log Analytics-azonosító lekérése több Azure-előfizetéssel

A Get-AzOperational Elemzések Workspace egyszerre egy előfizetésben működik. Ha tehát több Azure-előfizetéssel rendelkezik, győződjön meg arról, hogy a Log Analytics-munkaterülettel rendelkezőhöz csatlakozik a Microsoft Entra-naplókkal.

Az alábbi parancsmagok megjelenítik az előfizetések listáját, és megkeresik a Log Analytics-munkaterületet tartalmazó előfizetés azonosítóját:

Connect-AzAccount
$subs = Get-AzSubscription
$subs | ft

A PowerShell-munkamenetet újrahitelesítheti és társíthatja az előfizetéshez egy olyan paranccsal, mint a Connect-AzAccount –Subscription $subs[0].id. Ha többet szeretne megtudni arról, hogyan hitelesítheti magát az Azure-ban a PowerShell-lel, beleértve a nem interaktív hitelesítést is, olvassa el a Bejelentkezés az Azure PowerShell-lel című témakört.

Ha az előfizetésben több Log Analytics-munkaterület is található, akkor a Get-AzOperational parancsmag Elemzések Munkatér visszaadja a munkaterületek listáját. Ezután megtalálhatja azt, amelyiken a Microsoft Entra-naplók találhatók. A CustomerId parancsmag által visszaadott mező megegyezik a Log Analytics-munkaterület áttekintésében a Microsoft Entra felügyeleti központban megjelenő "Munkaterület-azonosító" értékével.

$wks = Get-AzOperationalInsightsWorkspace
$wks | ft CustomerId, Name

A lekérdezés elküldése a Log Analytics-munkaterületre

Végül, miután azonosított egy munkaterületet, az Invoke-AzOperational Elemzések Query használatával kusto-lekérdezést küldhet az adott munkaterületre. Ezek a lekérdezések Kusto lekérdezési nyelven vannak megírva.

Lekérheti például a naplózási eseményrekordok dátumtartományát a Log Analytics-munkaterületről, a PowerShell-parancsmagokkal például a következő lekérdezéseket küldheti el:

$aQuery = "AuditLogs | where TimeGenerated > ago(3653d) | summarize OldestAuditEvent=min(TimeGenerated), NewestAuditEvent=max(TimeGenerated) by Type"
$aResponse = Invoke-AzOperationalInsightsQuery -WorkspaceId $wks[0].CustomerId -Query $aQuery
$aResponse.Results |ft

A jogosultságkezelési eseményeket a következő lekérdezésekkel is lekérheti:

$bQuery = 'AuditLogs | where Category == "EntitlementManagement"'
$bResponse = Invoke-AzOperationalInsightsQuery -WorkspaceId $wks[0].CustomerId -Query $Query
$bResponse.Results |ft

Lekérdezésszűrők használata

Belefoglalhatja a TimeGenerated mezőt, hogy egy lekérdezés hatóköre egy adott időtartományra terjedjen ki. Ha például le szeretné kérni az elmúlt 90 napban létrehozott vagy frissített jogosultságkezelési hozzáférési csomag-hozzárendelési szabályzatok naplóeseményeit, megadhat egy lekérdezést, amely tartalmazza ezt a mezőt, valamint a kategória és a művelet típusát.

AuditLogs | 
where TimeGenerated > ago(90d) and Category == "EntitlementManagement" and Result == "success" and (AADOperationType == "CreateEntitlementGrantPolicy" or AADOperationType == "UpdateEntitlementGrantPolicy") | 
project ActivityDateTime,OperationName, InitiatedBy, AdditionalDetails, TargetResources

Egyes szolgáltatások, például a jogosultságkezelés naplózási eseményei esetén a módosított erőforrások érintett tulajdonságaira is kiterjesztheti és szűrheti azokat. Megtekintheti például azokat a hozzáférési csomag-hozzárendelési szabályzatok naplózási naplórekordjait, amelyek nem igényelnek jóváhagyást a felhasználók számára a hozzárendelés hozzáadásához.

AuditLogs | 
where TimeGenerated > ago(90d) and Category == "EntitlementManagement" and Result == "success" and (AADOperationType == "CreateEntitlementGrantPolicy" or AADOperationType == "UpdateEntitlementGrantPolicy") | 
mv-expand TargetResources | 
where TargetResources.type == "AccessPackageAssignmentPolicy" | 
project ActivityDateTime,OperationName,InitiatedBy,PolicyId=TargetResources.id,PolicyDisplayName=TargetResources.displayName,MP1=TargetResources.modifiedProperties | 
mv-expand MP1 | 
where (MP1.displayName == "IsApprovalRequiredForAdd" and MP1.newValue == "\"False\"") |
order by ActivityDateTime desc

További lépések