Tevékenységnaplók elérése a Microsoft Entra-azonosítóban

A Microsoft Entra-naplókban gyűjtött adatok lehetővé teszik a Microsoft Entra-bérlő számos aspektusának felmérését. A forgatókönyvek széles körének lefedése érdekében a Microsoft Entra ID számos lehetőséget kínál a tevékenységnapló adatainak elérésére. Rendszergazdaként ismernie kell a beállításokhoz használni kívánt használati eseteket, hogy kiválaszthatja a forgatókönyvéhez megfelelő hozzáférési módszert.

A Microsoft Entra tevékenységnaplóihoz és jelentéseihez az alábbi módszerekkel férhet hozzá:

• Tevékenységnaplók streamelése eseményközpontba más eszközökkel való integrációhoz
• Tevékenységnaplók elérése a Microsoft Graph API-n keresztül
• Tevékenységnaplók integrálása az Azure Monitor-naplókkal
• Tevékenységek valós idejű monitorozása a Microsoft Sentinel használatával
• Tevékenységnaplók és jelentések megtekintése az Azure Portalon
• Tevékenységnaplók exportálása tároláshoz és lekérdezésekhez

Ezek a módszerek olyan képességeket biztosítanak, amelyek bizonyos forgatókönyvekhez igazodhatnak. Ez a cikk ezeket a forgatókönyveket ismerteti, beleértve a tevékenységnaplókban szereplő adatokat használó kapcsolódó jelentésekre vonatkozó javaslatokat és részleteket. A cikkben szereplő lehetőségeket áttekintve megismerheti ezeket a forgatókönyveket, így kiválaszthatja a megfelelő módszert.

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Előfeltételek

A szükséges szerepkörök és licencek a jelentéstől függően változhatnak. A globális Rendszergazda istratorok hozzáférhetnek az összes jelentéshez, de azt javasoljuk, hogy a Teljes felügyelet útmutatásnak megfelelően használjon a legkevésbé jogosultsági hozzáféréssel rendelkező szerepkört.

Napló/ jelentés	Roles	Licencek
Audit	Jelentésolvasó Security Reader Security Administrator Global Reader	A Microsoft Entra ID összes kiadása
Sign-ins	Jelentésolvasó Security Reader Security Administrator Global Reader	A Microsoft Entra ID összes kiadása
Provisioning	Ugyanaz, mint a naplózás és a bejelentkezések, valamint Biztonsági operátor Application Administrator Cloud App Rendszergazda istrator Egyéni szerepkör engedélyekkel provisioningLogs	Prémium P1 vagy P2
Használat és elemzések	Security Reader Jelentésolvasó Security Administrator	Prémium P1 vagy P2
Identity Protection*	Security Administrator Biztonsági operátor Security Reader Global Reader	Ingyenes Microsoft Entra-azonosító/Microsoft 365-alkalmazások Microsoft Entra ID P1 vagy P2

*Az Identity Protection hozzáférési szintje és képességei a szerepkörtől és a licenctől függően változnak. További információkért tekintse meg az Identity Protection licenckövetelményét.

A naplók a licencelt funkciókhoz érhetők el. A bejelentkezési naplók Microsoft Graph API-val való eléréséhez a bérlőnek rendelkeznie kell egy P1 vagy P2 azonosítójú Microsoft Entra-licenccel.

Naplók streamelése eseményközpontba a SIEM-eszközökkel való integrációhoz

A tevékenységnaplók eseményközpontba való streameléséhez a tevékenységnaplók biztonsági információval és eseménykezeléssel (SIEM) való integrálásához szükséges, például a Splunk és a SumoLogic. Mielőtt naplókat streamelhet egy eseményközpontba, be kell állítania egy Event Hubs-névteret és egy eseményközpontot az Azure-előfizetésében.

Ajánlott felhasználások

Az eseményközponttal integrálható SIEM-eszközök elemzési és monitorozási képességeket biztosítanak. Ha már használja ezeket az eszközöket más forrásokból származó adatok betöltésére, az identitásadatokat átfogóbb elemzés és monitorozás céljából streamelheti. Javasoljuk, hogy a tevékenységnaplókat egy eseményközpontba streamelje az alábbi forgatókönyvek esetében:

• Ha nagy adatstreamelési platformra és eseménybetöltési szolgáltatásra van szüksége másodpercenként több millió esemény fogadásához és feldolgozásához.
• Ha valós idejű elemzési szolgáltató vagy kötegelési/tárolási adapterek használatával szeretné átalakítani és tárolni az adatokat.

Gyors lépések

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági Rendszergazda istratorként.
2. Hozzon létre egy Event Hubs-névteret és eseményközpontot.
3. Keresse meg az Identitásmonitorozás>& állapotdiagnosztikai>beállításait.
4. Válassza ki a streamelni kívánt naplókat, válassza ki a Stream eseményközpontba lehetőséget, és töltse ki a mezőket.
   • Event Hubs-névtér és eseményközpont beállítása
   • További információ a tevékenységnaplók eseményközpontba történő streameléséről

A független biztonsági szállítónak útmutatást kell adnia az Azure Event Hubsból az eszközbe való adatbetöltéshez.

Naplók elérése a Microsoft Graph API-val

A Microsoft Graph API egységes programozhatósági modellt biztosít, amellyel hozzáférhet a P1 vagy P2-bérlői Microsoft Entra-azonosítójú adatokhoz. Nincs szükség rendszergazdára vagy fejlesztőre, hogy további infrastruktúrát állítson be a szkript vagy az alkalmazás támogatásához.

Ajánlott felhasználások

A Microsoft Graph Explorerrel lekérdezéseket futtathat, amelyek segítenek a következő típusú forgatókönyvekben:

• Megtekintheti a bérlői tevékenységeket, például azt, hogy ki módosított egy csoportot, és mikor.
• Jelöljön meg egy Microsoft Entra-bejelentkezési eseményt biztonságosként vagy igazoltan sérültként.
• Kérje le az alkalmazás-bejelentkezések listáját az elmúlt 30 napban.

Gyors lépések

1. Konfigurálja az előfeltételeket.
2. Jelentkezzen be a Graph Explorerbe.
3. Állítsa be a HTTP-metódust és az API-verziót.
4. Adjon hozzá egy lekérdezést, majd válassza a Lekérdezés futtatása gombot.
   • Ismerkedjen meg a Címtárnaplók Microsoft Graph-tulajdonságaival
   • Az MS Graph rövid útmutatójának befejezése

Naplók integrálása az Azure Monitor-naplókkal

Az Azure Monitor-naplók integrációjával számos vizualizációt, monitorozást és riasztást engedélyezhet a csatlakoztatott adatokon. A Log Analytics továbbfejlesztett lekérdezési és elemzési képességeket biztosít a Microsoft Entra tevékenységnaplóihoz. A Microsoft Entra-tevékenységnaplók Azure Monitor-naplókkal való integrálásához Log Analytics-munkaterületre van szükség. Innen lekérdezéseket futtathat a Log Analyticsen keresztül.

Ajánlott felhasználások

A Microsoft Entra-naplók Azure Monitor-naplókkal való integrálása központosított helyet biztosít a naplók lekérdezéséhez. Javasoljuk, hogy az alábbi forgatókönyvek esetében integrálja a naplókat az Azure Monitor-naplókkal:

• Hasonlítsa össze a Microsoft Entra bejelentkezési naplóit más Azure-szolgáltatások által közzétett naplókkal.
• A bejelentkezési naplók korrelálása Azure-alkalmazás megállapításokkal.
• Adott keresési paramétereket használó naplók lekérdezése.

Gyors lépések

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági Rendszergazda istratorként.
2. Hozzon létre egy Log Analytics-munkaterületet.
3. Keresse meg az Identitásmonitorozás>& állapotdiagnosztikai>beállításait.
4. Válassza ki a streamelni kívánt naplókat, válassza a Küldés a Log Analytics-munkaterületre lehetőséget, és fejezze be a mezőket.
5. Keresse meg az Identity>Monitoring & health>Log Analytics webhelyet, és kezdje el az adatok lekérdezését.
   • Microsoft Entra-naplók integrálása az Azure Monitor-naplókkal
   • Megtudhatja, hogyan kérdezhet le a Log Analytics használatával

Események monitorozása a Microsoft Sentinelrel

A bejelentkezési és naplózási naplók Microsoft Sentinelbe való küldése közel valós idejű biztonsági észlelést és fenyegetéskeresést biztosít a biztonsági üzemeltetési központ számára. A veszélyforrás-keresés kifejezés proaktív megközelítésre utal a környezet biztonsági helyzetének javítása érdekében. A klasszikus védelem helyett a fenyegetésvadászat proaktív módon próbálja azonosítani a rendszerét esetlegesen veszélyeztető potenciális fenyegetéseket. A tevékenységnapló adatai a fenyegetéskeresési megoldás részét képezhetik.

Ajánlott felhasználások

Javasoljuk, hogy használja a Microsoft Sentinel valós idejű biztonsági észlelési képességeit, ha a szervezetnek biztonsági elemzésre és fenyegetésfelderítésre van szüksége. A Következő esetekben használja a Microsoft Sentinelt:

• Biztonsági adatok gyűjtése a vállalaton belül.
• Fenyegetések észlelése hatalmas fenyegetésfelderítéssel.
• Vizsgálja meg az AI által irányított kritikus incidenseket.
• Gyorsan válaszoljon, és automatizálja a védelmet.

Gyors lépések

1. Ismerje meg az előfeltételeket, a szerepköröket és az engedélyeket.
2. A lehetséges költségek becslése.
3. Bevezetés a Microsoft Sentinelbe.
4. Microsoft Entra-adatok gyűjtése.
5. Kezdjen el fenyegetéseket keresni.

Naplók megtekintése a Microsoft Entra Felügyeleti központban

A korlátozott hatókörű egyszeri vizsgálatok esetében gyakran a Microsoft Entra felügyeleti központ a legegyszerűbb módja a szükséges adatok megkeresésének. Az egyes jelentések felhasználói felülete szűrőbeállításokat biztosít, amelyekkel megtalálhatja a forgatókönyv megoldásához szükséges bejegyzéseket.

A Microsoft Entra tevékenységnaplóiban rögzített adatokat számos jelentésben és szolgáltatásban használják. Áttekintheti a bejelentkezési, naplózási és kiépítési naplókat egyszeri forgatókönyvek esetén, vagy jelentéseket használhat a minták és trendek megtekintéséhez. A tevékenységnaplókból származó adatok segítenek feltölteni az Identity Protection-jelentéseket, amelyek olyan információbiztonsági kockázatészleléseket biztosítanak, amelyeket a Microsoft Entra ID képes észlelni és jelenteni. A Microsoft Entra tevékenységnaplói a Használati és elemzési jelentéseket is feltöltik, amelyek a bérlő alkalmazásainak használati adatait adják meg.

Ajánlott felhasználások

Az Azure Portalon elérhető jelentések számos lehetőséget kínálnak a bérlő tevékenységeinek és használatának monitorozására. A felhasználások és forgatókönyvek alábbi listája nem teljes, ezért tekintse át az igényeinek megfelelő jelentéseket.

• A felhasználó bejelentkezési tevékenységének kutatása vagy egy alkalmazás használatának nyomon követése.
• Tekintse át a csoportnév-módosításokkal, az eszközregisztrációval és a jelszó-visszaállítással kapcsolatos részleteket az auditnaplókkal.
• Használja az Identity Protection-jelentéseket a veszélyeztetett felhasználók, a kockázatos számítási feladatok identitásainak és a kockázatos bejelentkezések figyeléséhez.
• Annak érdekében, hogy a felhasználók hozzáférhessenek a bérlőben használt alkalmazásokhoz, áttekintheti a Bejelentkezés sikerességének arányát a Microsoft Entra alkalmazástevékenység (előzetes verzió) jelentésében a Használat és elemzések alapján.
• Hasonlítsa össze a felhasználók által előnyben részesített különböző hitelesítési módszereket a Használat és elemzések hitelesítési módszerek jelentésével.

Gyors lépések

A microsoft entrai felügyeleti központban az alábbi alapvető lépések végrehajtásával érheti el a jelentéseket.

Microsoft Entra-tevékenységnaplók

1. Keresse meg az Identitásmonitorozás>& állapotnaplóinak>/bejelentkezési naplóinak/kiépítési naplóit.
2. Állítsa be a szűrőt az igényeinek megfelelően.
   • Megtudhatja, hogyan szűrheti a tevékenységnaplókat
   • A Microsoft Entra auditnapló-kategóriáinak és tevékenységeinek megismerése
   • Tudnivalók a Microsoft Entra bejelentkezési naplóinak alapvető információiról

Microsoft Entra ID-védelem jelentések

1. Keresse meg a Protection>Identity Protectiont.
2. Tekintse át az elérhető jelentéseket.
   • További információ az Identity Protectionről
   • Megtudhatja, hogyan vizsgálhatja meg a kockázatokat

Használati és elemzési jelentések

1. Keresse meg az identitásmonitorozás>& állapotának>használatát és az elemzéseket.
2. Tekintse át az elérhető jelentéseket.
   • További információ a Használati és elemzési jelentésről

Naplók exportálása tároláshoz és lekérdezésekhez

A hosszú távú tároláshoz megfelelő megoldás a költségvetéstől és az adatokkal való használattól függ. Három lehetősége van:

• Naplók archiválása az Azure Storage-ba
• Naplók letöltése manuális tároláshoz
• Naplók integrálása az Azure Monitor-naplókkal

Az Azure Storage a megfelelő megoldás, ha nem tervezi gyakran lekérdezni az adatokat. További információ: Címtárnaplók archiválása tárfiókba.

Ha gyakran tervezi lekérdezni a naplókat jelentések futtatásához vagy a tárolt naplók elemzéséhez, integrálnia kell az adatokat az Azure Monitor-naplókkal.

Ha szűk a költségvetése, és olcsó módszerre van szüksége a tevékenységnaplók hosszú távú biztonsági mentéséhez, manuálisan letöltheti a naplókat. A portál tevékenységnaplóinak felhasználói felülete lehetővé teszi az adatok JSON-ként vagy CSV-ként való letöltését. A manuális letöltés egyik hátránya, hogy több manuális interakciót igényel. Ha professzionálisabb megoldást keres, használja az Azure Storage-t vagy az Azure Monitort.

Ajánlott felhasználások

Javasoljuk, hogy állítson be egy tárfiókot, amely archiválja a tevékenységnaplókat azokhoz az irányítási és megfelelőségi forgatókönyvekhez, ahol hosszú távú tárolásra van szükség.

Ha hosszú távú tárolást szeretne, és lekérdezéseket szeretne futtatni az adatokon, tekintse át a tevékenységnaplók Azure Monitor-naplókkal való integrálásáról szóló szakaszt.

Javasoljuk, hogy költségvetési korlátozások esetén manuálisan töltse le és tárolja a tevékenységnaplókat.

Gyors lépések

A tevékenységnaplók archiválásához vagy letöltéséhez kövesse az alábbi alapvető lépéseket.

Tevékenységnaplók archiválása egy Storage-fiókba

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági Rendszergazda istratorként.
2. Tárfiók létrehozása.
3. Keresse meg az Identitásmonitorozás>& állapotdiagnosztikai>beállításait.
4. Válassza ki a streamelni kívánt naplókat, válassza az Archiválás tárfiókba lehetőséget, és töltse ki a mezőket.
   • Az adatmegőrzési szabályzatok áttekintése

Tevékenységnaplók manuális letöltése

1. Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább jelentésolvasóként.
2. Keresse meg az Identitásmonitorozás &>állapotnaplóinak/>bejelentkezési naplóinak/kiépítési naplóit a Figyelés menüből.
3. Select Download.
   • További információ a naplók letöltéséről.

Következő lépések

• Naplók streamelése eseményközpontba
• Naplók archiválása tárfiókba
• Naplók integrálása az Azure Monitor-naplókkal