Megosztás a következőn keresztül:

Tevékenységnaplók elérése a Microsoft Entra ID-ban

  • Cikk

A Microsoft Entra-naplókban gyűjtött adatok lehetővé teszik a Microsoft Entra-bérlő számos aspektusának felmérését. A forgatókönyvek széles körének lefedése érdekében a Microsoft Entra ID számos lehetőséget kínál a tevékenységnapló adatainak elérésére. Rendszergazdaként ismernie kell a beállításokhoz használni kívánt használati eseteket, hogy kiválaszthatja a forgatókönyvéhez megfelelő hozzáférési módszert.

A Microsoft Entra tevékenységnaplóihoz és jelentéseihez az alábbi módszerekkel férhet hozzá:

Ezek a módszerek olyan képességeket biztosítanak, amelyek bizonyos forgatókönyvekhez igazodhatnak. Ez a cikk ezeket a forgatókönyveket ismerteti, beleértve a tevékenységnaplókban szereplő adatokat használó kapcsolódó jelentésekre vonatkozó javaslatokat és részleteket. A cikkben szereplő lehetőségeket áttekintve megismerheti ezeket a forgatókönyveket, így kiválaszthatja a megfelelő módszert.

Előfeltételek

A szükséges szerepkörök és licencek a jelentéstől függően változnak. A Monitorozási és állapotadatokhoz való hozzáféréshez külön engedélyekre van szükség a Microsoft Graphban. Azt javasoljuk, hogy a Teljes felügyelet útmutatásnak megfelelően használjon minimális jogosultsági hozzáféréssel rendelkező szerepkört.

Napló/ jelentés Szerepkörök Licencek
Audit Jelentésolvasó
Biztonsági olvasó
Biztonsági rendszergazda
Globális olvasó
 A Microsoft Entra ID összes kiadása
Bejelentkezések Jelentésolvasó
Biztonsági olvasó
Biztonsági rendszergazda
Globális olvasó
 A Microsoft Entra ID összes kiadása
A szolgáltatás biztosítása Jelentésolvasó
Biztonsági olvasó
Biztonsági rendszergazda
Globális olvasó
Biztonsági operátor
Alkalmazás-rendszergazda
Cloud App Rendszergazda istrator
 Microsoft Entra ID P1 vagy P2
Egyéni biztonsági attribútum naplózási naplói* Attribútumnapló Rendszergazda istrator
Attribútumnapló-olvasó		 A Microsoft Entra ID összes kiadása
Használat és elemzések Jelentésolvasó
Biztonsági olvasó
Biztonsági rendszergazda		 Microsoft Entra ID P1 vagy P2
Identity Protection** Biztonsági rendszergazda
Biztonsági operátor
Biztonsági olvasó
Globális olvasó
 Microsoft Entra ID Ingyenes
Microsoft 365-alkalmazások
Microsoft Entra ID P1 vagy P2
Microsoft Graph-tevékenységnaplók Biztonsági rendszergazda
Engedélyek az adatok elérésére a megfelelő napló célhelyen		 Microsoft Entra ID P1 vagy P2

*Az egyéni biztonsági attribútumok naplózási naplókban való megtekintéséhez vagy az egyéni biztonsági attribútumok diagnosztikai beállításainak létrehozásához az attribútumnapló egyik szerepköre szükséges. A standard naplózási naplók megtekintéséhez a megfelelő szerepkörre is szüksége van.

**Az Identity Protection hozzáférési szintje és képességei a szerepkörtől és a licenctől függően változnak. További információkért tekintse meg az Identity Protection licenckövetelményét.

A naplók a licencelt funkciókhoz érhetők el. A bejelentkezési naplók Microsoft Graph API-val való eléréséhez a bérlőnek rendelkeznie kell egy P1 vagy P2 azonosítójú Microsoft Entra-licenccel.

Naplók streamelése eseményközpontba a SIEM-eszközökkel való integrációhoz

A tevékenységnaplók eseményközpontba való streameléséhez a tevékenységnaplók biztonsági információval és eseménykezeléssel (SIEM) való integrálásához szükséges, például a Splunk és a SumoLogic. Mielőtt naplókat streamelhet egy eseményközpontba, be kell állítania egy Event Hubs-névteret és egy eseményközpontot az Azure-előfizetésében.

Az eseményközponttal integrálható SIEM-eszközök elemzési és monitorozási képességeket biztosítanak. Ha már használja ezeket az eszközöket más forrásokból származó adatok betöltésére, az identitásadatokat átfogóbb elemzés és monitorozás céljából streamelheti. Javasoljuk, hogy a tevékenységnaplókat egy eseményközpontba streamelje az alábbi forgatókönyvek esetében:

  • Ha nagy adatstreamelési platformra és eseménybetöltési szolgáltatásra van szüksége másodpercenként több millió esemény fogadásához és feldolgozásához.
  • Ha valós idejű elemzési szolgáltató vagy kötegelési/tárolási adapterek használatával szeretné átalakítani és tárolni az adatokat.

Gyors lépések

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági Rendszergazda istratorként.
  2. Hozzon létre egy Event Hubs-névteret és eseményközpontot.
  3. Tallózással keresse meg az Identitásfigyelés>& Állapotdiagnosztikai>beállításokat.
  4. Válassza ki a streamelni kívánt naplókat, válassza ki a Stream eseményközpontba lehetőséget, és töltse ki a mezőket.

A független biztonsági szállítónak útmutatást kell adnia az Azure Event Hubsból az eszközbe való adatbetöltéshez.

Naplók elérése a Microsoft Graph API-val

A Microsoft Graph API egységes programozhatósági modellt biztosít, amellyel hozzáférhet a P1 vagy P2-bérlői Microsoft Entra-azonosítójú adatokhoz. Nincs szükség rendszergazdára vagy fejlesztőre, hogy további infrastruktúrát állítson be a szkript vagy az alkalmazás támogatásához.

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

A Microsoft Graph Explorerrel lekérdezéseket futtathat, amelyek segítenek a következő típusú forgatókönyvekben:

  • Megtekintheti a bérlői tevékenységeket, például azt, hogy ki módosított egy csoportot, és mikor.
  • Jelöljön meg egy Microsoft Entra-bejelentkezési eseményt biztonságosként vagy igazoltan sérültként.
  • Kérje le az alkalmazás-bejelentkezések listáját az elmúlt 30 napban.

Feljegyzés

A Microsoft Graph segítségével több olyan szolgáltatás adataihoz is hozzáférhet, amelyek saját szabályozási korlátokat szabnak meg. A tevékenységnaplók szabályozásával kapcsolatos további információkért tekintse meg a Microsoft Graph szolgáltatásspecifikus szabályozási korlátait.

Gyors lépések

  1. Konfigurálja az előfeltételeket.
  2. Jelentkezzen be a Graph Explorerbe.
  3. Állítsa be a HTTP-metódust és az API-verziót.
  4. Adjon hozzá egy lekérdezést, majd válassza a Lekérdezés futtatása gombot.

Naplók integrálása az Azure Monitor-naplókkal

Az Azure Monitor-naplók integrációjával számos vizualizációt, monitorozást és riasztást engedélyezhet a csatlakoztatott adatokon. A Log Analytics továbbfejlesztett lekérdezési és elemzési képességeket biztosít a Microsoft Entra tevékenységnaplóihoz. A Microsoft Entra-tevékenységnaplók Azure Monitor-naplókkal való integrálásához Log Analytics-munkaterületre van szükség. Innen lekérdezéseket futtathat a Log Analyticsen keresztül.

A Microsoft Entra-naplók Azure Monitor-naplókkal való integrálása központosított helyet biztosít a naplók lekérdezéséhez. Javasoljuk, hogy a naplókat integrálja az Azure Monitorral a következő típusú forgatókönyvekhez:

  • Hasonlítsa össze a Microsoft Entra bejelentkezési naplóit más Azure-szolgáltatások által közzétett naplókkal.
  • A bejelentkezési naplók korrelálása Azure-alkalmazás megállapításokkal.
  • Adott keresési paramétereket használó naplók lekérdezése.

Gyors lépések

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági Rendszergazda istratorként.
  2. Hozzon létre egy Log Analytics-munkaterületet.
  3. Tallózással keresse meg az Identitásfigyelés>& Állapotdiagnosztikai>beállításokat.
  4. Válassza ki a streamelni kívánt naplókat, válassza a Küldés a Log Analytics-munkaterületre lehetőséget, és fejezze be a mezőket.
  5. Keresse meg az Identity>Monitoring & Health>Log Analytics webhelyet, és kezdje el az adatok lekérdezését.

Események monitorozása a Microsoft Sentinelrel

A bejelentkezési és naplózási naplók Microsoft Sentinelbe való küldése közel valós idejű biztonsági észlelést és fenyegetéskeresést biztosít a biztonsági üzemeltetési központ számára. A veszélyforrás-keresés kifejezés proaktív megközelítésre utal a környezet biztonsági helyzetének javítása érdekében. A klasszikus védelem helyett a fenyegetésvadászat proaktív módon próbálja azonosítani a rendszerét esetlegesen veszélyeztető potenciális fenyegetéseket. A tevékenységnapló adatai a fenyegetéskeresési megoldás részét képezhetik.

Javasoljuk, hogy használja a Microsoft Sentinel valós idejű biztonsági észlelési képességeit, ha a szervezetnek biztonsági elemzésre és fenyegetésfelderítésre van szüksége. A Következő esetekben használja a Microsoft Sentinelt:

  • Biztonsági adatok gyűjtése a vállalaton belül.
  • Fenyegetések észlelése hatalmas fenyegetésfelderítéssel.
  • Vizsgálja meg az AI által irányított kritikus incidenseket.
  • Gyorsan válaszoljon, és automatizálja a védelmet.

Gyors lépések

  1. Ismerje meg az előfeltételeket, szerepköröket és engedélyeket.
  2. A lehetséges költségek becslése.
  3. Bevezetés a Microsoft Sentinelbe.
  4. Microsoft Entra-adatok gyűjtése.
  5. Kezdjen el fenyegetéseket keresni.

Naplók megtekintése a Microsoft Entra Felügyeleti központban

A korlátozott hatókörű egyszeri vizsgálatok esetében gyakran a Microsoft Entra felügyeleti központ a legegyszerűbb módja a szükséges adatok megkeresésének. Az egyes jelentések felhasználói felülete szűrőbeállításokat biztosít, amelyekkel megtalálhatja a forgatókönyv megoldásához szükséges bejegyzéseket.

A Microsoft Entra tevékenységnaplóiban rögzített adatokat számos jelentésben és szolgáltatásban használják. Áttekintheti a bejelentkezési, naplózási és kiépítési naplókat egyszeri forgatókönyvek esetén, vagy jelentéseket használhat a minták és trendek megtekintéséhez. A tevékenységnaplókból származó adatok segítenek feltölteni az Identity Protection-jelentéseket, amelyek olyan információbiztonsági kockázatészleléseket biztosítanak, amelyeket a Microsoft Entra ID képes észlelni és jelenteni. A Microsoft Entra tevékenységnaplói a Használati és elemzési jelentéseket is feltöltik, amelyek a bérlő alkalmazásainak használati adatait adják meg.

Az Azure Portalon elérhető jelentések számos lehetőséget kínálnak a bérlő tevékenységeinek és használatának monitorozására. A felhasználások és forgatókönyvek alábbi listája nem teljes, ezért tekintse át az igényeinek megfelelő jelentéseket.

  • A felhasználó bejelentkezési tevékenységének kutatása vagy egy alkalmazás használatának nyomon követése.
  • Tekintse át a csoportnév-módosításokkal, az eszközregisztrációval és a jelszó-visszaállítással kapcsolatos részleteket az auditnaplókkal.
  • Használja az Identity Protection-jelentéseket a veszélyeztetett felhasználók, a kockázatos számítási feladatok identitásainak és a kockázatos bejelentkezések figyeléséhez.
  • A Microsoft Entra alkalmazástevékenység (előzetes verzió) jelentésében áttekintheti a bejelentkezési siker arányát a Usage és az elemzések alapján, hogy a felhasználók hozzáférhessenek a bérlőben használt alkalmazásokhoz.
  • Hasonlítsa össze a felhasználók által előnyben részesített különböző hitelesítési módszereket a Használat és elemzések hitelesítési módszerek jelentésével.

Gyors lépések

A microsoft entrai felügyeleti központban az alábbi alapvető lépések végrehajtásával érheti el a jelentéseket.

Microsoft Entra-tevékenységnaplók

  1. Keresse meg az Identitásfigyelés>és állapotnaplók>/bejelentkezési naplóinak/kiépítési naplóit.
  2. Állítsa be a szűrőt az igényeinek megfelelően.

Az auditnaplók közvetlenül a Microsoft Entra felügyeleti központ azon területéről érhetők el, ahol dolgozik. Ha például a Microsoft Entra ID Csoportok vagy licencek szakaszában tartózkodik, az adott tevékenységek naplózási naplóit közvetlenül erről a területről érheti el. Ha így éri el az auditnaplókat, a szűrőkategóriák automatikusan be lesznek állítva. Ha csoportokban van, a naplószűrő kategóriája GroupManagement értékre van állítva.

Microsoft Entra ID-védelem jelentések

  1. Keresse meg a Protection>Identity Protectiont.
  2. Tekintse át az elérhető jelentéseket.

Használati és elemzési jelentések

  1. Keresse meg az Identitásmonitorozás>> állapothasználatot>és elemzéseket.
  2. Tekintse át az elérhető jelentéseket.

Naplók exportálása tároláshoz és lekérdezésekhez

A hosszú távú tároláshoz megfelelő megoldás a költségvetéstől és az adatokkal való használattól függ. Három lehetősége van:

  • Naplók archiválása az Azure Storage-ba
  • Naplók letöltése manuális tároláshoz
  • Naplók integrálása az Azure Monitor-naplókkal

Az Azure Storage a megfelelő megoldás, ha nem tervezi gyakran lekérdezni az adatokat. További információ: Címtárnaplók archiválása tárfiókba.

Ha gyakran tervezi lekérdezni a naplókat jelentések futtatásához vagy a tárolt naplók elemzéséhez, integrálnia kell az adatokat az Azure Monitor-naplókkal.

Ha szűk a költségvetése, és olcsó módszerre van szüksége a tevékenységnaplók hosszú távú biztonsági mentéséhez, manuálisan letöltheti a naplókat. A portál tevékenységnaplóinak felhasználói felülete lehetővé teszi az adatok JSON-ként vagy CSV-ként való letöltését. A manuális letöltés egyik hátránya, hogy több manuális interakciót igényel. Ha professzionálisabb megoldást keres, használja az Azure Storage-t vagy az Azure Monitort.

Javasoljuk, hogy állítson be egy tárfiókot, amely archiválja a tevékenységnaplókat azokhoz az irányítási és megfelelőségi forgatókönyvekhez, ahol hosszú távú tárolásra van szükség.

Ha hosszú távú tárolást szeretne, és lekérdezéseket szeretne futtatni az adatokon, tekintse át a tevékenységnaplók Azure Monitor-naplókkal való integrálásáról szóló szakaszt.

Javasoljuk, hogy költségvetési korlátozások esetén manuálisan töltse le és tárolja a tevékenységnaplókat.

Gyors lépések

A tevékenységnaplók archiválásához vagy letöltéséhez kövesse az alábbi alapvető lépéseket.

Tevékenységnaplók archiválása egy Storage-fiókba

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági Rendszergazda istratorként.
  2. Hozzon létre egy tárfiókot.
  3. Tallózással keresse meg az Identitásfigyelés>& Állapotdiagnosztikai>beállításokat.
  4. Válassza ki a streamelni kívánt naplókat, válassza az Archiválás tárfiókba lehetőséget, és töltse ki a mezőket.

Tevékenységnaplók manuális letöltése

  1. Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább jelentésolvasóként.
  2. Keresse meg az Identitásfigyelés>> állapotnaplókat>/a Bejelentkezési naplók/kiépítési naplói között a Figyelés menüből.
  3. Válassza a Letöltés lehetőséget.

Következő lépések