Megosztás a következőn keresztül:

Mi a Microsoft Entra monitorozása és állapota?

  • Cikk

A Microsoft Entra monitorozásának és állapotának funkciói átfogó képet nyújtanak az identitással kapcsolatos tevékenységekről a környezetben. Ezek az adatok a következőket teszik lehetővé:

  • Annak meghatározása, hogy a felhasználók hogyan használják az alkalmazásokat és szolgáltatásokat.
  • Észlelheti a környezet állapotát érintő lehetséges kockázatokat.
  • Elháríthatja azokat a problémákat, amelyek miatt a felhasználók nem végezhetik el a munkájukat.
  • A Microsoft Entra-címtár változásainak naplózási eseményeinek megtekintésével elemzéseket nyerhet.

A bejelentkezési és naplózási naplók számos Microsoft Entra-jelentés mögötti tevékenységnaplókból állnak, amelyek a bérlői tevékenység elemzéséhez, monitorozásához és hibaelhárításához használhatók. A tevékenységnaplók elemzési és monitorozási megoldáshoz való átirányítása nagyobb betekintést nyújt a bérlő állapotába és biztonságába.

Ez a cikk a Microsoft Entra ID-ban elérhető tevékenységnaplók típusait, a naplókat használó jelentéseket és az adatok elemzéséhez rendelkezésre álló figyelési szolgáltatásokat ismerteti.

Identitástevékenység-naplók

A tevékenységnaplók segítenek megérteni a szervezet felhasználóinak viselkedését. A Microsoft Entra-azonosítóban háromféle tevékenységnapló található:

A tevékenységnaplók megtekinthetők az Azure Portalon vagy a Microsoft Graph API használatával. A tevékenységnaplók különböző végpontokra is irányíthatók tárolás vagy elemzés céljából. A tevékenységnaplók megtekintésének összes lehetőségéről a Tevékenységnaplók elérése című témakörben olvashat.

Naplók naplózása

A naplózási naplók a megfelelőségi rendszertevékenységek nyilvántartását biztosítják. Ezek az adatok lehetővé teszik az olyan gyakori forgatókönyvek kezelését, mint például:

  • A bérlőm egy tagja hozzáfért egy rendszergazdai csoporthoz. Ki adott nekik hozzáférést?
  • Tudni szeretném az adott alkalmazásba bejelentkező felhasználók listáját, mert nemrég vettem fel az alkalmazást, és szeretném tudni, hogy jól működik-e.
  • Tudni szeretném, hogy hány jelszó-visszaállítás történik a bérlőmben.

Bejelentkezési naplók

A bejelentkezési naplók lehetővé teszik, hogy válaszokat találjon az olyan kérdésekre, mint például:

  • Mi a felhasználó bejelentkezési mintája?
  • Hány felhasználó jelentkezett be egy hét alatt?
  • Mi a bejelentkezések állapota?

Kiépítési naplók

A kiépítési naplók segítségével a következő kérdésekre kaphat választ:

  • Milyen csoportok lettek sikeresen létrehozva a ServiceNow-ban?
  • Milyen felhasználókat távolítottak el sikeresen az Adobe-ból?
  • Milyen felhasználók lettek sikeresen létrehozva a Workdayből az Active Directoryban?

Identitásjelentések

A Microsoft Entra tevékenységnaplóiban szereplő adatok áttekintése hasznos információkat nyújthat az informatikai rendszergazdáknak. A főbb forgatókönyvek adatainak áttekintési folyamatának egyszerűsítése érdekében több jelentést hoztunk létre a tevékenységnaplókat használó gyakori forgatókönyvekről.

  • Az Identity Protection bejelentkezési adatokkal készít jelentéseket kockázatos felhasználókról és bejelentkezési tevékenységekről.
  • Az alkalmazásokkal kapcsolatos tevékenységek, például a szolgáltatásnév és az alkalmazás hitelesítő adatai, jelentések létrehozására szolgálnak a Használat és elemzések szolgáltatásban.
  • A Microsoft Entra-munkafüzetek testre szabható módot biztosítanak a tevékenységnaplók megtekintésére és elemzésére.
  • A Microsoft Entra javaslatai segítségével figyelheti és javíthatja bérlője biztonságát.
  • A Microsoft Entra Health számos kulcsfontosságú forgatókönyv esetében rögzíti a globális szolgáltatásiszint-szerződések elérését és állapotjeleit.

Identitásfigyelés és bérlő állapota

A Microsoft Entra tevékenységnaplóinak áttekintése az első lépés a bérlő állapotának és biztonságának fenntartásában és javításában. Elemeznie kell az adatokat, figyelnie kell a kockázatos forgatókönyveket, és meg kell határoznia, hogy hol végezhet fejlesztéseket. A Microsoft Entra monitorozása biztosítja a szükséges eszközöket a megalapozott döntések meghozatalához.

A Microsoft Entra tevékenységnaplóinak monitorozásához a naplóadatoknak egy monitorozási és elemzési megoldáshoz kell átirányítása. A végpontok közé tartoznak az Azure Monitor-naplók, a Microsoft Sentinel vagy egy harmadik féltől származó, harmadik féltől származó megoldás, a Biztonsági információ és eseménykezelés (SIEM) eszköz.

Használati esetek

Az elérhető naplók, jelentések és monitorozási szolgáltatások használata a szervezet igényeitől függ. A használati esetek és megoldások jobb rangsorolása érdekében segíthet annak megtekintésében, hogy ezek a megoldások hogyan kapcsolódnak egymáshoz, miben különböznek egymástól, és hogyan használhatók együtt.

Megfontolások

  • Megőrzés – Naplómegőrzés: naplók tárolása és a Microsoft Entra bejelentkezési naplóinak tárolása 30 napnál hosszabb ideig
  • Elemzés – A naplók elemzési eszközökkel kereshetők
  • Működési és biztonsági elemzések – Hozzáférést biztosít az alkalmazáshasználathoz, a bejelentkezési hibákhoz, az önkiszolgáló használathoz, a trendekhez stb.
  • SIEM-integráció – A Microsoft Entra bejelentkezési naplóinak és naplóinak integrálása és streamelése SIEM-rendszerekbe

A Microsoft Entra monitorozásával átirányíthatja a Microsoft Entra tevékenységnaplóit, és megőrizheti őket a hosszú távú jelentéskészítéshez és elemzéshez, hogy környezeti elemzéseket nyerjen, és integrálhassa őket a SIEM-eszközökkel. Az architektúra kiválasztásához használja az alábbi döntési folyamatdiagramot.

Az üzleti igényű architektúra döntési mátrixának ábrája.

A tevékenységnaplók elérésének, tárolásának és elemzésének áttekintését a Tevékenységnaplók elérése című témakörben tekintheti meg.