Naplók és jelentések archiválása a jogosultságkezelésről az Azure Monitorban

A Microsoft Entra ID legfeljebb 30 napig tárolja a naplózási eseményeket a naplóban. A naplózási adatokat azonban az alapértelmezett megőrzési időszaknál tovább is megőrizheti, a Microsoft Entra ID mennyi ideig tárolja a jelentéskészítési adatokat?, ha azokat egy Azure Storage-fiókhoz vagy az Azure Monitor használatával irányítja. Ezután munkafüzeteket, egyéni lekérdezéseket és jelentéseket használhat ezen adatokon.

A Microsoft Entra ID konfigurálása az Azure Monitor használatára

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Az Azure Monitor-munkafüzetek használata előtt konfigurálnia kell a Microsoft Entra-azonosítót, hogy a naplók másolatát elküldje az Azure Monitornak.

A Microsoft Entra auditnaplóinak archiválásához azure-előfizetésben kell rendelkeznie az Azure Monitorral. Az Azure Monitor használatának előfeltételeiről és becsült költségeiről az Azure Monitor Microsoft Entra tevékenységnaplóiban olvashat bővebben.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként. Győződjön meg arról, hogy rendelkezik hozzáféréssel az Azure Monitor-munkaterületet tartalmazó erőforráscsoporthoz.

2. Tallózással keresse meg az Identitásfigyelés>& Állapotdiagnosztikai>beállításokat.

3. Ellenőrizze, hogy van-e már olyan beállítás, amellyel elküldheti a naplókat a munkaterületre.

4. Ha még nincs beállítás, válassza a Diagnosztikai beállítás hozzáadása lehetőséget. A Microsoft Entra-naplók Azure Monitor-naplókkal való integrálásával küldje el a Microsoft Entra auditnaplót az Azure Monitor-munkaterületre.

   

5. Miután a naplót elküldte az Azure Monitornak, válassza ki a Log Analytics-munkaterületeket, és válassza ki a Microsoft Entra naplózási naplóit tartalmazó munkaterületet.

6. Válassza ki a használatot és a becsült költségeket, majd válassza az Adatmegőrzés lehetőséget. Módosítsa a csúszkát arra a napokra, amíg meg szeretné tartani az adatokat a naplózási követelményeknek megfelelően.

   

7. Később a munkaterületen tárolt dátumtartomány megtekintéséhez használhatja az archivált naplódátumtartomány munkafüzetet:

   1. Tallózással keresse meg az Identitásfigyelés>és állapot>munkafüzeteket.

   2. Bontsa ki a Microsoft Entra hibaelhárítási szakaszát, és válassza az archivált naplódátumtartományt.

Hozzáférési csomag eseményeinek megtekintése

A hozzáférési csomag eseményeinek megtekintéséhez hozzáféréssel kell rendelkeznie a mögöttes Azure Monitor-munkaterülethez (információkért lásd : Naplóadatokhoz és munkaterületekhez való hozzáférés kezelése az Azure Monitorban ) és az alábbi szerepkörök egyikében:

• Globális rendszergazda
• Biztonsági rendszergazda
• Biztonsági olvasó
• Jelentésolvasó
• alkalmazás-rendszergazda

Az események megtekintéséhez kövesse az alábbi eljárást:

1. A Microsoft Entra Felügyeleti központban válassza az Identitás, majd a Munkafüzetek lehetőséget. Ha csak egy előfizetéssel rendelkezik, folytassa a 3. lépéssel.

2. Ha több előfizetéssel rendelkezik, válassza ki a munkaterületet tartalmazó előfizetést.

3. Válassza ki az Access-csomagtevékenység nevű munkafüzetet.

4. Ebben a munkafüzetben válasszon ki egy időtartományt (ha nem biztos benne), és válasszon egy hozzáférési csomag azonosítót az adott időtartományban tevékenységet tartalmazó összes hozzáférési csomag legördülő listájából. Megjelennek a hozzáférési csomaghoz kapcsolódó események, amelyek a kiválasztott időtartományban történtek.

   

   Minden sor tartalmazza az időt, a hozzáférési csomag azonosítóját, a művelet nevét, az objektumazonosítót, az UPN-t és a műveletet kezdő felhasználó megjelenítendő nevét. További részleteket a JSON tartalmaz.

5. Ha szeretné látni, hogy módosultak-e olyan alkalmazások alkalmazásszerepkör-hozzárendelései, amelyek nem a csomaghozzárendelések elérése miatt történtek, például ha egy globális rendszergazda közvetlenül hozzárendel egy felhasználót egy alkalmazásszerepkörhöz, akkor kiválaszthatja az alkalmazásszerepkör-hozzárendelési tevékenység nevű munkafüzetet.

   

Egyéni Azure Monitor-lekérdezések létrehozása a Microsoft Entra Felügyeleti központ használatával

Saját lekérdezéseket hozhat létre a Microsoft Entra naplózási eseményein, beleértve a jogosultságkezelési eseményeket is.

1. A Microsoft Entra Felügyeleti központ Identitás lapján válassza a Bal oldali navigációs menü Figyelés szakaszában található Naplók lehetőséget egy új lekérdezési lap létrehozásához.

2. A munkaterületnek a lekérdezési oldal bal felső sarkában kell megjelennie. Ha több Azure Monitor-munkaterülete van, és a Microsoft Entra naplózási események tárolásához használt munkaterület nem jelenik meg, válassza a Hatókör kiválasztása lehetőséget. Ezután válassza ki a megfelelő előfizetést és munkaterületet.

3. Ezután a lekérdezés szövegterületében törölje a "search *" sztringet, és cserélje le a következő lekérdezésre:

   AuditLogs | where Category == "EntitlementManagement"
   

4. Ezután válassza a Futtatás lehetőséget.

   

A táblázat alapértelmezés szerint az elmúlt órában a jogosultságkezelés naplóeseményeit jeleníti meg. A régebbi események megtekintéséhez módosíthatja az "Időtartomány" beállítást. A beállítás módosítása azonban csak azokat az eseményeket jeleníti meg, amelyek azután történtek, hogy a Microsoft Entra ID-t úgy konfigurálták, hogy eseményeket küldjön az Azure Monitornak.

Ha tudni szeretné az Azure Monitorban tárolt legrégebbi és legújabb naplózási eseményeket, használja a következő lekérdezést:

AuditLogs | where TimeGenerated > ago(3653d) | summarize OldestAuditEvent=min(TimeGenerated), NewestAuditEvent=max(TimeGenerated) by Type

Az Azure Monitorban a naplózási eseményekhez tárolt oszlopokról további információt a Microsoft Entra naplózási sémájának értelmezése az Azure Monitorban című témakörben talál.

Egyéni Azure Monitor-lekérdezések létrehozása az Azure PowerShell használatával

Miután konfigurálta a Microsoft Entra ID-t, hogy naplókat küldjön az Azure Monitornak, a PowerShellen keresztül érheti el a naplókat. Ezután küldjön lekérdezéseket szkriptekből vagy a PowerShell parancssorból anélkül, hogy globális rendszergazdának kellene lennie a bérlőben.

Győződjön meg arról, hogy a felhasználó vagy a szolgáltatásnév a megfelelő szerepkör-hozzárendeléssel rendelkezik

Győződjön meg arról, hogy Ön, a Microsoft Entra-azonosítóval hitelesítést végző felhasználó vagy szolgáltatásnév a Log Analytics-munkaterület megfelelő Azure-szerepkörében van. A szerepkör-beállítások a Log Analytics-olvasó vagy a Log Analytics-közreműködő. Ha már van ilyen szerepköre, ugorjon a Log Analytics-azonosító lekérésére egy Azure-előfizetéssel.

A szerepkör-hozzárendelés beállításához és egy lekérdezés létrehozásához hajtsa végre a következő lépéseket:

1. A Microsoft Entra Felügyeleti központban keresse meg a Log Analytics-munkaterületet.

2. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

3. Ezután válassza a Hozzáadás lehetőséget egy szerepkör-hozzárendelés hozzáadásához.

   

Azure PowerShell-modul telepítése

Miután megkapta a megfelelő szerepkör-hozzárendelést, indítsa el a PowerShellt, és telepítse az Azure PowerShell-modult (ha még nem tette meg), írja be a következőt:

install-module -Name az -allowClobber -Scope CurrentUser

Most már készen áll a Microsoft Entra-azonosító hitelesítésére, és lekérheti a lekérdezett Log Analytics-munkaterület azonosítóját.

Log Analytics-azonosító lekérése egyetlen Azure-előfizetéssel

Ha csak egyetlen Azure-előfizetéssel és egyetlen Log Analytics-munkaterületel rendelkezik, írja be a következőket a Microsoft Entra-azonosító hitelesítéséhez, az előfizetéshez való csatlakozáshoz és a munkaterület lekéréséhez:

Connect-AzAccount
$wks = Get-AzOperationalInsightsWorkspace

Log Analytics-azonosító lekérése több Azure-előfizetéssel

A Get-AzOperationalInsightsWorkspace egyszerre egy előfizetésben működik. Ha tehát több Azure-előfizetéssel rendelkezik, győződjön meg arról, hogy a Log Analytics-munkaterülettel rendelkezőhöz csatlakozik a Microsoft Entra-naplókkal.

Az alábbi parancsmagok megjelenítik az előfizetések listáját, és megkeresik a Log Analytics-munkaterületet tartalmazó előfizetés azonosítóját:

Connect-AzAccount
$subs = Get-AzSubscription
$subs | ft

A PowerShell-munkamenetet újrahitelesítheti és társíthatja az előfizetéshez egy olyan paranccsal, mint a Connect-AzAccount –Subscription $subs[0].id. Ha többet szeretne megtudni arról, hogyan hitelesítheti magát az Azure-ban a PowerShell-lel, beleértve a nem interaktív hitelesítést is, olvassa el a Bejelentkezés az Azure PowerShell-lel című témakört.

Ha az előfizetésben több Log Analytics-munkaterület is található, akkor a Get-AzOperationalInsightsWorkspace parancsmag visszaadja a munkaterületek listáját. Ezután megtalálhatja azt, amelyiken a Microsoft Entra-naplók találhatók. A CustomerId parancsmag által visszaadott mező megegyezik a Log Analytics-munkaterület áttekintésében a Microsoft Entra felügyeleti központban megjelenő "Munkaterület-azonosító" értékével.

$wks = Get-AzOperationalInsightsWorkspace
$wks | ft CustomerId, Name

A lekérdezés elküldése a Log Analytics-munkaterületre

Végül, miután azonosított egy munkaterületet, az Invoke-AzOperationalInsightsQuery használatával kusto-lekérdezést küldhet az adott munkaterületre. Ezek a lekérdezések Kusto lekérdezési nyelven vannak megírva.

Lekérheti például a naplózási eseményrekordok dátumtartományát a Log Analytics-munkaterületről, a PowerShell-parancsmagokkal például a következő lekérdezéseket küldheti el:

$aQuery = "AuditLogs | where TimeGenerated > ago(3653d) | summarize OldestAuditEvent=min(TimeGenerated), NewestAuditEvent=max(TimeGenerated) by Type"
$aResponse = Invoke-AzOperationalInsightsQuery -WorkspaceId $wks[0].CustomerId -Query $aQuery
$aResponse.Results |ft

A jogosultságkezelési eseményeket a következő lekérdezésekkel is lekérheti:

$bQuery = 'AuditLogs | where Category == "EntitlementManagement"'
$bResponse = Invoke-AzOperationalInsightsQuery -WorkspaceId $wks[0].CustomerId -Query $Query
$bResponse.Results |ft 

Lekérdezésszűrők használata

Belefoglalhatja a TimeGenerated mezőt, hogy egy lekérdezés hatóköre egy adott időtartományra terjedjen ki. Ha például le szeretné kérni az elmúlt 90 napban létrehozott vagy frissített jogosultságkezelési hozzáférési csomag-hozzárendelési szabályzatok naplóeseményeit, megadhat egy lekérdezést, amely tartalmazza ezt a mezőt, valamint a kategória és a művelet típusát.

AuditLogs | 
where TimeGenerated > ago(90d) and Category == "EntitlementManagement" and Result == "success" and (AADOperationType == "CreateEntitlementGrantPolicy" or AADOperationType == "UpdateEntitlementGrantPolicy") | 
project ActivityDateTime,OperationName, InitiatedBy, AdditionalDetails, TargetResources

Egyes szolgáltatások, például a jogosultságkezelés naplózási eseményei esetén a módosított erőforrások érintett tulajdonságaira is kiterjesztheti és szűrheti azokat. Megtekintheti például azokat a hozzáférési csomag-hozzárendelési szabályzatok naplózási naplórekordjait, amelyek nem igényelnek jóváhagyást a felhasználók számára a hozzárendelés hozzáadásához.

AuditLogs | 
where TimeGenerated > ago(90d) and Category == "EntitlementManagement" and Result == "success" and (AADOperationType == "CreateEntitlementGrantPolicy" or AADOperationType == "UpdateEntitlementGrantPolicy") | 
mv-expand TargetResources | 
where TargetResources.type == "AccessPackageAssignmentPolicy" | 
project ActivityDateTime,OperationName,InitiatedBy,PolicyId=TargetResources.id,PolicyDisplayName=TargetResources.displayName,MP1=TargetResources.modifiedProperties | 
mv-expand MP1 | 
where (MP1.displayName == "IsApprovalRequiredForAdd" and MP1.newValue == "\"False\"") |
order by ActivityDateTime desc 

Következő lépések

• Interaktív jelentések létrehozása Azure Monitor-munkafüzetekkel
• Egyéni riasztások létrehozása Microsoft Entra ID-kezelés