Microsoft Entra tevékenységnaplók sémája

Ez a cikk a Microsoft Entra tevékenységnaplóiban található információkat és a séma más szolgáltatások általi használatát ismerteti. Ez a cikk a Microsoft Entra felügyeleti központ és a Microsoft Graph sémáit ismerteti. Néhány kulcsmező leírása meg van adva.

Előfeltételek

• A licenc- és szerepkörkövetelményekről a Microsoft Entra monitorozási és állapotlicencelési témakörében olvashat.
• A naplók letöltésének lehetősége a Microsoft Entra ID minden kiadásában elérhető.
• A naplók programozott módon való letöltéséhez a Microsoft Graphhoz prémium szintű licenc szükséges.
• A Jelentések olvasója a Microsoft Entra tevékenységnaplóinak megtekintéséhez szükséges legkevésbé kiemelt szerepkör.
• A naplók a licencelt funkciókhoz érhetők el.
• Ha nem rendelkezik a szükséges licenccel, előfordulhat, hogy a letöltött napló eredményei megjelennek hidden bizonyos tulajdonságok esetében.

Mi az a naplóséma?

A Microsoft Entra monitorozási és állapotajánlati naplói, jelentései és monitorozási eszközei integrálhatók az Azure Monitorral, a Microsoft Sentinellel és más szolgáltatásokkal. Ezeknek a szolgáltatásoknak le kell képezniük a naplók tulajdonságait a szolgáltatás konfigurációihoz. A séma a tulajdonságok, a lehetséges értékek és a szolgáltatás általi használatuk módját ábrázolja. A naplóséma megértése hasznos a hatékony hibaelhárításhoz és az adatok értelmezéséhez.

A Microsoft Entra-naplók programozott elérésének elsődleges módja a Microsoft Graph. A Microsoft Graph-hívások válasza JSON formátumban történik, és tartalmazza a napló tulajdonságait és értékeit. A naplók sémáját a Microsoft Graph dokumentációja határozza meg.

A Microsoft Graph API két végpontot biztosít. A V1.0 végpont a legstabilabb, és gyakran használják éles környezetekben. A bétaverzió gyakran több tulajdonságot tartalmaz, de ezek változhatnak. Ezért nem javasoljuk a séma bétaverziójának használatát éles környezetben.

A Microsoft Entra-ügyfél konfigurálhatja a tevékenységnapló-adatfolyamokat az Azure Monitor-tárfiókokba való küldéshez. Ez az integráció lehetővé teszi a Biztonsági információk és események kezelése (SIEM) kapcsolatát, a hosszú távú tárolást és a jobb lekérdezési képességeket a Log Analytics használatával. Az Azure Monitor naplós sémái eltérhetnek a Microsoft Graph-sémáktól.

A sémákkal kapcsolatos részletes információkért tekintse meg a következő cikkeket:

• Azure Monitor-naplózási naplók
• Azure Monitor bejelentkezési naplók
• Azure Monitor kiépítési naplók
• Microsoft Graph-naplók
• Microsoft Graph bejelentkezési naplók
• Microsoft Graph kiépítési naplók

A séma értelmezése

Egy érték definícióinak keresésekor figyeljen a használt verzióra. A séma V1.0-s és bétaverziói között eltérések lehetnek.

Az összes naplós sémában található értékek

Egyes értékek az összes naplós sémában gyakoriak.

• correlationId: Ez az egyedi azonosító segít korrelálni a különböző szolgáltatásokra kiterjedő és hibaelhárításhoz használt tevékenységeket. Ez az érték több naplóban való jelenléte nem jelzi a naplók szolgáltatások közötti összekapcsolásának lehetőségét.
• status vagy result: Ez a fontos érték a tevékenység eredményét jelzi. A lehetséges értékek a következők: success, failure, timeout. unknownFutureValue
• Dátum és idő: A tevékenység bekövetkezésének dátuma és időpontja az egyezményes világidő (UTC) szerint történik.
• Egyes jelentéskészítési funkciókhoz Microsoft Entra ID P2-licenc szükséges. Ha nem rendelkezik a megfelelő licencekkel, a függvény visszaadja az értéket hidden .

Naplók naplózása

• activityDisplayName: A tevékenység nevét vagy a művelet nevét jelzi (például: "Felhasználó létrehozása" és "Tag hozzáadása a csoporthoz"). További információ: Naplótevékenységek naplózása.
• category: A tevékenység által megcélzott erőforráskategória. Például: UserManagement, GroupManagement, ApplicationManagement, RoleManagement. További információ: Naplótevékenységek naplózása.
• initiatedBy: A tevékenységet kezdeményező felhasználóval vagy alkalmazással kapcsolatos információkat jelzi.
• targetResources: Információt nyújt arról, hogy melyik erőforrást módosították. Lehetséges értékek: User, Device, Directory, App, RoleGroup, Policy vagy Other.

Bejelentkezési naplók

• Azonosító értékek: A felhasználók, bérlők, alkalmazások és erőforrások egyedi azonosítókat tartalmaznak. Ilyenek például a következők:
  • resourceId: Az az erőforrás , amelybe a felhasználó bejelentkezett.
  • resourceTenantId: Az a bérlő, amely a hozzáférés alatt álló erőforrás tulajdonosa. Lehet, hogy ugyanaz, mint a homeTenantId.
  • homeTenantId: A bejelentkezett felhasználói fiók tulajdonosa.
• Kockázat részletei: Megadja a kockázatos felhasználó adott állapotának okát, a bejelentkezést vagy a kockázatészlelést.
  • riskState: A kockázatos felhasználó, a bejelentkezés vagy egy kockázati esemény állapotát jelenti.
  • riskDetail: Megadja a kockázatos felhasználó adott állapotának okát, a bejelentkezést vagy a kockázatészlelést. Az érték none azt jelenti, hogy eddig nem hajtottak végre műveletet a felhasználón vagy a bejelentkezésen.
  • riskEventTypes_v2: A bejelentkezéshez társított kockázatészlelési típusok.
  • riskLevelAggregated: Összesített kockázati szint. Az érték hidden azt jelenti, hogy a felhasználó vagy a bejelentkezés nem volt engedélyezve Microsoft Entra ID-védelem.
• crossTenantAccessType: Az erőforrás eléréséhez használt bérlőközi hozzáférés típusát ismerteti. Itt rögzítjük például a B2B, a Microsoft ügyfélszolgálata és az átmenő bejelentkezéseket.
• status: A bejelentkezési állapot, amely tartalmazza a hibakódot és a hiba leírását (ha bejelentkezési hiba történik).

Alkalmazott feltételes hozzáférési szabályzatok

Az appliedConditionalAccessPolicies alszakasz felsorolja az adott bejelentkezési eseményhez kapcsolódó feltételes hozzáférési szabályzatokat. A szakaszt feltételes hozzáférési szabályzatoknak nevezzük, de a nem alkalmazott szabályzatok is megjelennek ebben a szakaszban. Minden szabályzathoz külön bejegyzés jön létre. További információ: conditionalAccessPolicy erőforrástípus.