Tevékenységnaplók elérése a Microsoft Entra ID-ban
A Microsoft Entra-naplókban gyűjtött adatok lehetővé teszik a Microsoft Entra-bérlő számos aspektusának felmérését. A forgatókönyvek széles körének lefedése érdekében a Microsoft Entra ID számos lehetőséget kínál a tevékenységnapló adatainak elérésére. Rendszergazdaként ismernie kell a beállításokhoz használni kívánt használati eseteket, hogy kiválaszthatja a forgatókönyvéhez megfelelő hozzáférési módszert.
A Microsoft Entra tevékenységnaplóihoz és jelentéseihez az alábbi módszerekkel férhet hozzá:
- Tevékenységnaplók streamelése eseményközpontba más eszközökkel való integrációhoz
- Tevékenységnaplók elérése a Microsoft Graph API-n keresztül
- Tevékenységnaplók integrálása az Azure Monitor-naplókkal
- Tevékenységek valós idejű monitorozása a Microsoft Sentinel használatával
- Tevékenységnaplók és jelentések megtekintése az Azure Portalon
- Tevékenységnaplók exportálása tároláshoz és lekérdezésekhez
Ezek a módszerek olyan képességeket biztosítanak, amelyek bizonyos forgatókönyvekhez igazodhatnak. Ez a cikk ezeket a forgatókönyveket ismerteti, beleértve a tevékenységnaplókban szereplő adatokat használó kapcsolódó jelentésekre vonatkozó javaslatokat és részleteket. A cikkben szereplő lehetőségeket áttekintve megismerheti ezeket a forgatókönyveket, így kiválaszthatja a megfelelő módszert.
Előfeltételek
A szükséges szerepkörök és licencek a jelentéstől függően változnak. A Monitorozási és állapotadatokhoz való hozzáféréshez külön engedélyekre van szükség a Microsoft Graphban. Azt javasoljuk, hogy a Teljes felügyelet útmutatásnak megfelelően használjon minimális jogosultsági hozzáféréssel rendelkező szerepkört.
Napló/ jelentés | Szerepkörök | Licencek |
---|---|---|
Audit | Jelentésolvasó Biztonsági olvasó Biztonsági rendszergazda Globális olvasó |
A Microsoft Entra ID összes kiadása |
Bejelentkezések | Jelentésolvasó Biztonsági olvasó Biztonsági rendszergazda Globális olvasó |
A Microsoft Entra ID összes kiadása |
A szolgáltatás biztosítása | Jelentésolvasó Biztonsági olvasó Biztonsági rendszergazda Globális olvasó Biztonsági operátor Alkalmazás-rendszergazda Cloud App Rendszergazda istrator |
Microsoft Entra ID P1 vagy P2 |
Egyéni biztonsági attribútum naplózási naplói* | Attribútumnapló Rendszergazda istrator Attribútumnapló-olvasó |
A Microsoft Entra ID összes kiadása |
Használat és elemzések | Jelentésolvasó Biztonsági olvasó Biztonsági rendszergazda |
Microsoft Entra ID P1 vagy P2 |
Identity Protection** | Biztonsági rendszergazda Biztonsági operátor Biztonsági olvasó Globális olvasó |
Microsoft Entra ID Ingyenes Microsoft 365-alkalmazások Microsoft Entra ID P1 vagy P2 |
Microsoft Graph-tevékenységnaplók | Biztonsági rendszergazda Engedélyek az adatok elérésére a megfelelő napló célhelyen |
Microsoft Entra ID P1 vagy P2 |
*Az egyéni biztonsági attribútumok naplózási naplókban való megtekintéséhez vagy az egyéni biztonsági attribútumok diagnosztikai beállításainak létrehozásához az attribútumnapló egyik szerepköre szükséges. A standard naplózási naplók megtekintéséhez a megfelelő szerepkörre is szüksége van.
**Az Identity Protection hozzáférési szintje és képességei a szerepkörtől és a licenctől függően változnak. További információkért tekintse meg az Identity Protection licenckövetelményét.
A naplók a licencelt funkciókhoz érhetők el. A bejelentkezési naplók Microsoft Graph API-val való eléréséhez a bérlőnek rendelkeznie kell egy P1 vagy P2 azonosítójú Microsoft Entra-licenccel.
Naplók streamelése eseményközpontba a SIEM-eszközökkel való integrációhoz
A tevékenységnaplók eseményközpontba való streameléséhez a tevékenységnaplók biztonsági információval és eseménykezeléssel (SIEM) való integrálásához szükséges, például a Splunk és a SumoLogic. Mielőtt naplókat streamelhet egy eseményközpontba, be kell állítania egy Event Hubs-névteret és egy eseményközpontot az Azure-előfizetésében.
Ajánlott felhasználások
Az eseményközponttal integrálható SIEM-eszközök elemzési és monitorozási képességeket biztosítanak. Ha már használja ezeket az eszközöket más forrásokból származó adatok betöltésére, az identitásadatokat átfogóbb elemzés és monitorozás céljából streamelheti. Javasoljuk, hogy a tevékenységnaplókat egy eseményközpontba streamelje az alábbi forgatókönyvek esetében:
- Ha nagy adatstreamelési platformra és eseménybetöltési szolgáltatásra van szüksége másodpercenként több millió esemény fogadásához és feldolgozásához.
- Ha valós idejű elemzési szolgáltató vagy kötegelési/tárolási adapterek használatával szeretné átalakítani és tárolni az adatokat.
Gyors lépések
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági Rendszergazda istratorként.
- Hozzon létre egy Event Hubs-névteret és eseményközpontot.
- Tallózással keresse meg az Identitásfigyelés>& Állapotdiagnosztikai>beállításokat.
- Válassza ki a streamelni kívánt naplókat, válassza ki a Stream eseményközpontba lehetőséget, és töltse ki a mezőket.
A független biztonsági szállítónak útmutatást kell adnia az Azure Event Hubsból az eszközbe való adatbetöltéshez.
Naplók elérése a Microsoft Graph API-val
A Microsoft Graph API egységes programozhatósági modellt biztosít, amellyel hozzáférhet a P1 vagy P2-bérlői Microsoft Entra-azonosítójú adatokhoz. Nincs szükség rendszergazdára vagy fejlesztőre, hogy további infrastruktúrát állítson be a szkript vagy az alkalmazás támogatásához.
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Ajánlott felhasználások
A Microsoft Graph Explorerrel lekérdezéseket futtathat, amelyek segítenek a következő típusú forgatókönyvekben:
- Megtekintheti a bérlői tevékenységeket, például azt, hogy ki módosított egy csoportot, és mikor.
- Jelöljön meg egy Microsoft Entra-bejelentkezési eseményt biztonságosként vagy igazoltan sérültként.
- Kérje le az alkalmazás-bejelentkezések listáját az elmúlt 30 napban.
Feljegyzés
A Microsoft Graph segítségével több olyan szolgáltatás adataihoz is hozzáférhet, amelyek saját szabályozási korlátokat szabnak meg. A tevékenységnaplók szabályozásával kapcsolatos további információkért tekintse meg a Microsoft Graph szolgáltatásspecifikus szabályozási korlátait.
Gyors lépések
- Konfigurálja az előfeltételeket.
- Jelentkezzen be a Graph Explorerbe.
- Állítsa be a HTTP-metódust és az API-verziót.
- Adjon hozzá egy lekérdezést, majd válassza a Lekérdezés futtatása gombot.
Naplók integrálása az Azure Monitor-naplókkal
Az Azure Monitor-naplók integrációjával számos vizualizációt, monitorozást és riasztást engedélyezhet a csatlakoztatott adatokon. A Log Analytics továbbfejlesztett lekérdezési és elemzési képességeket biztosít a Microsoft Entra tevékenységnaplóihoz. A Microsoft Entra-tevékenységnaplók Azure Monitor-naplókkal való integrálásához Log Analytics-munkaterületre van szükség. Innen lekérdezéseket futtathat a Log Analyticsen keresztül.
Ajánlott felhasználások
A Microsoft Entra-naplók Azure Monitor-naplókkal való integrálása központosított helyet biztosít a naplók lekérdezéséhez. Javasoljuk, hogy a naplókat integrálja az Azure Monitorral a következő típusú forgatókönyvekhez:
- Hasonlítsa össze a Microsoft Entra bejelentkezési naplóit más Azure-szolgáltatások által közzétett naplókkal.
- A bejelentkezési naplók korrelálása Azure-alkalmazás megállapításokkal.
- Adott keresési paramétereket használó naplók lekérdezése.
Gyors lépések
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági Rendszergazda istratorként.
- Hozzon létre egy Log Analytics-munkaterületet.
- Tallózással keresse meg az Identitásfigyelés>& Állapotdiagnosztikai>beállításokat.
- Válassza ki a streamelni kívánt naplókat, válassza a Küldés a Log Analytics-munkaterületre lehetőséget, és fejezze be a mezőket.
- Keresse meg az Identity>Monitoring & Health>Log Analytics webhelyet, és kezdje el az adatok lekérdezését.
Események monitorozása a Microsoft Sentinelrel
A bejelentkezési és naplózási naplók Microsoft Sentinelbe való küldése közel valós idejű biztonsági észlelést és fenyegetéskeresést biztosít a biztonsági üzemeltetési központ számára. A veszélyforrás-keresés kifejezés proaktív megközelítésre utal a környezet biztonsági helyzetének javítása érdekében. A klasszikus védelem helyett a fenyegetésvadászat proaktív módon próbálja azonosítani a rendszerét esetlegesen veszélyeztető potenciális fenyegetéseket. A tevékenységnapló adatai a fenyegetéskeresési megoldás részét képezhetik.
Ajánlott felhasználások
Javasoljuk, hogy használja a Microsoft Sentinel valós idejű biztonsági észlelési képességeit, ha a szervezetnek biztonsági elemzésre és fenyegetésfelderítésre van szüksége. A Következő esetekben használja a Microsoft Sentinelt:
- Biztonsági adatok gyűjtése a vállalaton belül.
- Fenyegetések észlelése hatalmas fenyegetésfelderítéssel.
- Vizsgálja meg az AI által irányított kritikus incidenseket.
- Gyorsan válaszoljon, és automatizálja a védelmet.
Gyors lépések
- Ismerje meg az előfeltételeket, szerepköröket és engedélyeket.
- A lehetséges költségek becslése.
- Bevezetés a Microsoft Sentinelbe.
- Microsoft Entra-adatok gyűjtése.
- Kezdjen el fenyegetéseket keresni.
Naplók megtekintése a Microsoft Entra Felügyeleti központban
A korlátozott hatókörű egyszeri vizsgálatok esetében gyakran a Microsoft Entra felügyeleti központ a legegyszerűbb módja a szükséges adatok megkeresésének. Az egyes jelentések felhasználói felülete szűrőbeállításokat biztosít, amelyekkel megtalálhatja a forgatókönyv megoldásához szükséges bejegyzéseket.
A Microsoft Entra tevékenységnaplóiban rögzített adatokat számos jelentésben és szolgáltatásban használják. Áttekintheti a bejelentkezési, naplózási és kiépítési naplókat egyszeri forgatókönyvek esetén, vagy jelentéseket használhat a minták és trendek megtekintéséhez. A tevékenységnaplókból származó adatok segítenek feltölteni az Identity Protection-jelentéseket, amelyek olyan információbiztonsági kockázatészleléseket biztosítanak, amelyeket a Microsoft Entra ID képes észlelni és jelenteni. A Microsoft Entra tevékenységnaplói a Használati és elemzési jelentéseket is feltöltik, amelyek a bérlő alkalmazásainak használati adatait adják meg.
Ajánlott felhasználások
Az Azure Portalon elérhető jelentések számos lehetőséget kínálnak a bérlő tevékenységeinek és használatának monitorozására. A felhasználások és forgatókönyvek alábbi listája nem teljes, ezért tekintse át az igényeinek megfelelő jelentéseket.
- A felhasználó bejelentkezési tevékenységének kutatása vagy egy alkalmazás használatának nyomon követése.
- Tekintse át a csoportnév-módosításokkal, az eszközregisztrációval és a jelszó-visszaállítással kapcsolatos részleteket az auditnaplókkal.
- Használja az Identity Protection-jelentéseket a veszélyeztetett felhasználók, a kockázatos számítási feladatok identitásainak és a kockázatos bejelentkezések figyeléséhez.
- A Microsoft Entra alkalmazástevékenység (előzetes verzió) jelentésében áttekintheti a bejelentkezési siker arányát a Usage és az elemzések alapján, hogy a felhasználók hozzáférhessenek a bérlőben használt alkalmazásokhoz.
- Hasonlítsa össze a felhasználók által előnyben részesített különböző hitelesítési módszereket a Használat és elemzések hitelesítési módszerek jelentésével.
Gyors lépések
A microsoft entrai felügyeleti központban az alábbi alapvető lépések végrehajtásával érheti el a jelentéseket.
Microsoft Entra-tevékenységnaplók
- Keresse meg az Identitásfigyelés>és állapotnaplók>/bejelentkezési naplóinak/kiépítési naplóit.
- Állítsa be a szűrőt az igényeinek megfelelően.
Az auditnaplók közvetlenül a Microsoft Entra felügyeleti központ azon területéről érhetők el, ahol dolgozik. Ha például a Microsoft Entra ID Csoportok vagy licencek szakaszában tartózkodik, az adott tevékenységek naplózási naplóit közvetlenül erről a területről érheti el. Ha így éri el az auditnaplókat, a szűrőkategóriák automatikusan be lesznek állítva. Ha csoportokban van, a naplószűrő kategóriája GroupManagement értékre van állítva.
Microsoft Entra ID-védelem jelentések
- Keresse meg a Protection>Identity Protectiont.
- Tekintse át az elérhető jelentéseket.
Használati és elemzési jelentések
- Keresse meg az Identitásmonitorozás>> állapothasználatot>és elemzéseket.
- Tekintse át az elérhető jelentéseket.
Naplók exportálása tároláshoz és lekérdezésekhez
A hosszú távú tároláshoz megfelelő megoldás a költségvetéstől és az adatokkal való használattól függ. Három lehetősége van:
- Naplók archiválása az Azure Storage-ba
- Naplók letöltése manuális tároláshoz
- Naplók integrálása az Azure Monitor-naplókkal
Az Azure Storage a megfelelő megoldás, ha nem tervezi gyakran lekérdezni az adatokat. További információ: Címtárnaplók archiválása tárfiókba.
Ha gyakran tervezi lekérdezni a naplókat jelentések futtatásához vagy a tárolt naplók elemzéséhez, integrálnia kell az adatokat az Azure Monitor-naplókkal.
Ha szűk a költségvetése, és olcsó módszerre van szüksége a tevékenységnaplók hosszú távú biztonsági mentéséhez, manuálisan letöltheti a naplókat. A portál tevékenységnaplóinak felhasználói felülete lehetővé teszi az adatok JSON-ként vagy CSV-ként való letöltését. A manuális letöltés egyik hátránya, hogy több manuális interakciót igényel. Ha professzionálisabb megoldást keres, használja az Azure Storage-t vagy az Azure Monitort.
Ajánlott felhasználások
Javasoljuk, hogy állítson be egy tárfiókot, amely archiválja a tevékenységnaplókat azokhoz az irányítási és megfelelőségi forgatókönyvekhez, ahol hosszú távú tárolásra van szükség.
Ha hosszú távú tárolást szeretne, és lekérdezéseket szeretne futtatni az adatokon, tekintse át a tevékenységnaplók Azure Monitor-naplókkal való integrálásáról szóló szakaszt.
Javasoljuk, hogy költségvetési korlátozások esetén manuálisan töltse le és tárolja a tevékenységnaplókat.
Gyors lépések
A tevékenységnaplók archiválásához vagy letöltéséhez kövesse az alábbi alapvető lépéseket.
Tevékenységnaplók archiválása egy Storage-fiókba
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági Rendszergazda istratorként.
- Hozzon létre egy tárfiókot.
- Tallózással keresse meg az Identitásfigyelés>& Állapotdiagnosztikai>beállításokat.
- Válassza ki a streamelni kívánt naplókat, válassza az Archiválás tárfiókba lehetőséget, és töltse ki a mezőket.
Tevékenységnaplók manuális letöltése
- Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább jelentésolvasóként.
- Keresse meg az Identitásfigyelés>> állapotnaplókat>/a Bejelentkezési naplók/kiépítési naplói között a Figyelés menüből.
- Válassza a Letöltés lehetőséget.