Tevékenységnaplók elérése a Microsoft Entra-azonosítóban
A Microsoft Entra-naplókban gyűjtött adatok lehetővé teszik a Microsoft Entra-bérlő számos aspektusának felmérését. A forgatókönyvek széles körének lefedése érdekében a Microsoft Entra ID számos lehetőséget kínál a tevékenységnapló adatainak elérésére. Rendszergazdaként ismernie kell a beállításokhoz használni kívánt használati eseteket, hogy kiválaszthatja a forgatókönyvéhez megfelelő hozzáférési módszert.
A Microsoft Entra tevékenységnaplóihoz és jelentéseihez az alábbi módszerekkel férhet hozzá:
- Tevékenységnaplók streamelése eseményközpontba más eszközökkel való integrációhoz
- Tevékenységnaplók elérése a Microsoft Graph API-n keresztül
- Tevékenységnaplók integrálása az Azure Monitor-naplókkal
- Tevékenységek valós idejű monitorozása a Microsoft Sentinel használatával
- Tevékenységnaplók és jelentések megtekintése az Azure Portalon
- Tevékenységnaplók exportálása tároláshoz és lekérdezésekhez
Ezek a módszerek olyan képességeket biztosítanak, amelyek bizonyos forgatókönyvekhez igazodhatnak. Ez a cikk ezeket a forgatókönyveket ismerteti, beleértve a tevékenységnaplókban szereplő adatokat használó kapcsolódó jelentésekre vonatkozó javaslatokat és részleteket. A cikkben szereplő lehetőségeket áttekintve megismerheti ezeket a forgatókönyveket, így kiválaszthatja a megfelelő módszert.
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Előfeltételek
A szükséges szerepkörök és licencek a jelentéstől függően változhatnak. A globális Rendszergazda istratorok hozzáférhetnek az összes jelentéshez, de azt javasoljuk, hogy a Teljes felügyelet útmutatásnak megfelelően használjon a legkevésbé jogosultsági hozzáféréssel rendelkező szerepkört.
Napló/ jelentés | Roles | Licencek |
---|---|---|
Audit | Jelentésolvasó Security Reader Security Administrator Global Reader |
A Microsoft Entra ID összes kiadása |
Sign-ins | Jelentésolvasó Security Reader Security Administrator Global Reader |
A Microsoft Entra ID összes kiadása |
Provisioning | Ugyanaz, mint a naplózás és a bejelentkezések, valamint Biztonsági operátor Application Administrator Cloud App Rendszergazda istrator Egyéni szerepkör engedélyekkel provisioningLogs |
Prémium P1 vagy P2 |
Használat és elemzések | Security Reader Jelentésolvasó Security Administrator |
Prémium P1 vagy P2 |
Identity Protection* | Security Administrator Biztonsági operátor Security Reader Global Reader |
Ingyenes Microsoft Entra-azonosító/Microsoft 365-alkalmazások Microsoft Entra ID P1 vagy P2 |
*Az Identity Protection hozzáférési szintje és képességei a szerepkörtől és a licenctől függően változnak. További információkért tekintse meg az Identity Protection licenckövetelményét.
A naplók a licencelt funkciókhoz érhetők el. A bejelentkezési naplók Microsoft Graph API-val való eléréséhez a bérlőnek rendelkeznie kell egy P1 vagy P2 azonosítójú Microsoft Entra-licenccel.
Naplók streamelése eseményközpontba a SIEM-eszközökkel való integrációhoz
A tevékenységnaplók eseményközpontba való streameléséhez a tevékenységnaplók biztonsági információval és eseménykezeléssel (SIEM) való integrálásához szükséges, például a Splunk és a SumoLogic. Mielőtt naplókat streamelhet egy eseményközpontba, be kell állítania egy Event Hubs-névteret és egy eseményközpontot az Azure-előfizetésében.
Ajánlott felhasználások
Az eseményközponttal integrálható SIEM-eszközök elemzési és monitorozási képességeket biztosítanak. Ha már használja ezeket az eszközöket más forrásokból származó adatok betöltésére, az identitásadatokat átfogóbb elemzés és monitorozás céljából streamelheti. Javasoljuk, hogy a tevékenységnaplókat egy eseményközpontba streamelje az alábbi forgatókönyvek esetében:
- Ha nagy adatstreamelési platformra és eseménybetöltési szolgáltatásra van szüksége másodpercenként több millió esemény fogadásához és feldolgozásához.
- Ha valós idejű elemzési szolgáltató vagy kötegelési/tárolási adapterek használatával szeretné átalakítani és tárolni az adatokat.
Gyors lépések
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági Rendszergazda istratorként.
- Hozzon létre egy Event Hubs-névteret és eseményközpontot.
- Keresse meg az Identitásmonitorozás>& állapotdiagnosztikai>beállításait.
- Válassza ki a streamelni kívánt naplókat, válassza ki a Stream eseményközpontba lehetőséget, és töltse ki a mezőket.
A független biztonsági szállítónak útmutatást kell adnia az Azure Event Hubsból az eszközbe való adatbetöltéshez.
Naplók elérése a Microsoft Graph API-val
A Microsoft Graph API egységes programozhatósági modellt biztosít, amellyel hozzáférhet a P1 vagy P2-bérlői Microsoft Entra-azonosítójú adatokhoz. Nincs szükség rendszergazdára vagy fejlesztőre, hogy további infrastruktúrát állítson be a szkript vagy az alkalmazás támogatásához.
Ajánlott felhasználások
A Microsoft Graph Explorerrel lekérdezéseket futtathat, amelyek segítenek a következő típusú forgatókönyvekben:
- Megtekintheti a bérlői tevékenységeket, például azt, hogy ki módosított egy csoportot, és mikor.
- Jelöljön meg egy Microsoft Entra-bejelentkezési eseményt biztonságosként vagy igazoltan sérültként.
- Kérje le az alkalmazás-bejelentkezések listáját az elmúlt 30 napban.
Gyors lépések
- Konfigurálja az előfeltételeket.
- Jelentkezzen be a Graph Explorerbe.
- Állítsa be a HTTP-metódust és az API-verziót.
- Adjon hozzá egy lekérdezést, majd válassza a Lekérdezés futtatása gombot.
Naplók integrálása az Azure Monitor-naplókkal
Az Azure Monitor-naplók integrációjával számos vizualizációt, monitorozást és riasztást engedélyezhet a csatlakoztatott adatokon. A Log Analytics továbbfejlesztett lekérdezési és elemzési képességeket biztosít a Microsoft Entra tevékenységnaplóihoz. A Microsoft Entra-tevékenységnaplók Azure Monitor-naplókkal való integrálásához Log Analytics-munkaterületre van szükség. Innen lekérdezéseket futtathat a Log Analyticsen keresztül.
Ajánlott felhasználások
A Microsoft Entra-naplók Azure Monitor-naplókkal való integrálása központosított helyet biztosít a naplók lekérdezéséhez. Javasoljuk, hogy az alábbi forgatókönyvek esetében integrálja a naplókat az Azure Monitor-naplókkal:
- Hasonlítsa össze a Microsoft Entra bejelentkezési naplóit más Azure-szolgáltatások által közzétett naplókkal.
- A bejelentkezési naplók korrelálása Azure-alkalmazás megállapításokkal.
- Adott keresési paramétereket használó naplók lekérdezése.
Gyors lépések
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági Rendszergazda istratorként.
- Hozzon létre egy Log Analytics-munkaterületet.
- Keresse meg az Identitásmonitorozás>& állapotdiagnosztikai>beállításait.
- Válassza ki a streamelni kívánt naplókat, válassza a Küldés a Log Analytics-munkaterületre lehetőséget, és fejezze be a mezőket.
- Keresse meg az Identity>Monitoring & health>Log Analytics webhelyet, és kezdje el az adatok lekérdezését.
Események monitorozása a Microsoft Sentinelrel
A bejelentkezési és naplózási naplók Microsoft Sentinelbe való küldése közel valós idejű biztonsági észlelést és fenyegetéskeresést biztosít a biztonsági üzemeltetési központ számára. A veszélyforrás-keresés kifejezés proaktív megközelítésre utal a környezet biztonsági helyzetének javítása érdekében. A klasszikus védelem helyett a fenyegetésvadászat proaktív módon próbálja azonosítani a rendszerét esetlegesen veszélyeztető potenciális fenyegetéseket. A tevékenységnapló adatai a fenyegetéskeresési megoldás részét képezhetik.
Ajánlott felhasználások
Javasoljuk, hogy használja a Microsoft Sentinel valós idejű biztonsági észlelési képességeit, ha a szervezetnek biztonsági elemzésre és fenyegetésfelderítésre van szüksége. A Következő esetekben használja a Microsoft Sentinelt:
- Biztonsági adatok gyűjtése a vállalaton belül.
- Fenyegetések észlelése hatalmas fenyegetésfelderítéssel.
- Vizsgálja meg az AI által irányított kritikus incidenseket.
- Gyorsan válaszoljon, és automatizálja a védelmet.
Gyors lépések
- Ismerje meg az előfeltételeket, a szerepköröket és az engedélyeket.
- A lehetséges költségek becslése.
- Bevezetés a Microsoft Sentinelbe.
- Microsoft Entra-adatok gyűjtése.
- Kezdjen el fenyegetéseket keresni.
Naplók megtekintése a Microsoft Entra Felügyeleti központban
A korlátozott hatókörű egyszeri vizsgálatok esetében gyakran a Microsoft Entra felügyeleti központ a legegyszerűbb módja a szükséges adatok megkeresésének. Az egyes jelentések felhasználói felülete szűrőbeállításokat biztosít, amelyekkel megtalálhatja a forgatókönyv megoldásához szükséges bejegyzéseket.
A Microsoft Entra tevékenységnaplóiban rögzített adatokat számos jelentésben és szolgáltatásban használják. Áttekintheti a bejelentkezési, naplózási és kiépítési naplókat egyszeri forgatókönyvek esetén, vagy jelentéseket használhat a minták és trendek megtekintéséhez. A tevékenységnaplókból származó adatok segítenek feltölteni az Identity Protection-jelentéseket, amelyek olyan információbiztonsági kockázatészleléseket biztosítanak, amelyeket a Microsoft Entra ID képes észlelni és jelenteni. A Microsoft Entra tevékenységnaplói a Használati és elemzési jelentéseket is feltöltik, amelyek a bérlő alkalmazásainak használati adatait adják meg.
Ajánlott felhasználások
Az Azure Portalon elérhető jelentések számos lehetőséget kínálnak a bérlő tevékenységeinek és használatának monitorozására. A felhasználások és forgatókönyvek alábbi listája nem teljes, ezért tekintse át az igényeinek megfelelő jelentéseket.
- A felhasználó bejelentkezési tevékenységének kutatása vagy egy alkalmazás használatának nyomon követése.
- Tekintse át a csoportnév-módosításokkal, az eszközregisztrációval és a jelszó-visszaállítással kapcsolatos részleteket az auditnaplókkal.
- Használja az Identity Protection-jelentéseket a veszélyeztetett felhasználók, a kockázatos számítási feladatok identitásainak és a kockázatos bejelentkezések figyeléséhez.
- Annak érdekében, hogy a felhasználók hozzáférhessenek a bérlőben használt alkalmazásokhoz, áttekintheti a Bejelentkezés sikerességének arányát a Microsoft Entra alkalmazástevékenység (előzetes verzió) jelentésében a Használat és elemzések alapján.
- Hasonlítsa össze a felhasználók által előnyben részesített különböző hitelesítési módszereket a Használat és elemzések hitelesítési módszerek jelentésével.
Gyors lépések
A microsoft entrai felügyeleti központban az alábbi alapvető lépések végrehajtásával érheti el a jelentéseket.
Microsoft Entra-tevékenységnaplók
- Keresse meg az Identitásmonitorozás>& állapotnaplóinak>/bejelentkezési naplóinak/kiépítési naplóit.
- Állítsa be a szűrőt az igényeinek megfelelően.
Microsoft Entra ID-védelem jelentések
- Keresse meg a Protection>Identity Protectiont.
- Tekintse át az elérhető jelentéseket.
Használati és elemzési jelentések
- Keresse meg az identitásmonitorozás>& állapotának>használatát és az elemzéseket.
- Tekintse át az elérhető jelentéseket.
Naplók exportálása tároláshoz és lekérdezésekhez
A hosszú távú tároláshoz megfelelő megoldás a költségvetéstől és az adatokkal való használattól függ. Három lehetősége van:
- Naplók archiválása az Azure Storage-ba
- Naplók letöltése manuális tároláshoz
- Naplók integrálása az Azure Monitor-naplókkal
Az Azure Storage a megfelelő megoldás, ha nem tervezi gyakran lekérdezni az adatokat. További információ: Címtárnaplók archiválása tárfiókba.
Ha gyakran tervezi lekérdezni a naplókat jelentések futtatásához vagy a tárolt naplók elemzéséhez, integrálnia kell az adatokat az Azure Monitor-naplókkal.
Ha szűk a költségvetése, és olcsó módszerre van szüksége a tevékenységnaplók hosszú távú biztonsági mentéséhez, manuálisan letöltheti a naplókat. A portál tevékenységnaplóinak felhasználói felülete lehetővé teszi az adatok JSON-ként vagy CSV-ként való letöltését. A manuális letöltés egyik hátránya, hogy több manuális interakciót igényel. Ha professzionálisabb megoldást keres, használja az Azure Storage-t vagy az Azure Monitort.
Ajánlott felhasználások
Javasoljuk, hogy állítson be egy tárfiókot, amely archiválja a tevékenységnaplókat azokhoz az irányítási és megfelelőségi forgatókönyvekhez, ahol hosszú távú tárolásra van szükség.
Ha hosszú távú tárolást szeretne, és lekérdezéseket szeretne futtatni az adatokon, tekintse át a tevékenységnaplók Azure Monitor-naplókkal való integrálásáról szóló szakaszt.
Javasoljuk, hogy költségvetési korlátozások esetén manuálisan töltse le és tárolja a tevékenységnaplókat.
Gyors lépések
A tevékenységnaplók archiválásához vagy letöltéséhez kövesse az alábbi alapvető lépéseket.
Tevékenységnaplók archiválása egy Storage-fiókba
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági Rendszergazda istratorként.
- Tárfiók létrehozása.
- Keresse meg az Identitásmonitorozás>& állapotdiagnosztikai>beállításait.
- Válassza ki a streamelni kívánt naplókat, válassza az Archiválás tárfiókba lehetőséget, és töltse ki a mezőket.
Tevékenységnaplók manuális letöltése
- Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább jelentésolvasóként.
- Keresse meg az Identitásmonitorozás &>állapotnaplóinak/>bejelentkezési naplóinak/kiépítési naplóit a Figyelés menüből.
- Select Download.