Bagikan melalui


Cara mengakses log aktivitas di ID Microsoft Entra

Data yang dikumpulkan dalam log Microsoft Entra memungkinkan Anda menilai banyak aspek penyewa Microsoft Entra Anda. Untuk mencakup berbagai skenario, MICROSOFT Entra ID memberi Anda beberapa opsi untuk mengakses data log aktivitas Anda. Sebagai administrator TI, Anda perlu memahami kasus penggunaan yang dimaksudkan untuk opsi ini, sehingga Anda dapat memilih metode akses yang tepat untuk skenario Anda.

Anda dapat mengakses log dan laporan aktivitas Microsoft Entra menggunakan metode berikut:

Masing-masing metode ini memberi Anda kemampuan yang mungkin selaras dengan skenario tertentu. Artikel ini menjelaskan skenario tersebut, termasuk rekomendasi dan detail tentang laporan terkait yang menggunakan data dalam log aktivitas. Jelajahi opsi dalam artikel ini untuk mempelajari skenario tersebut sehingga Anda dapat memilih metode yang tepat.

Prasyarat

Peran dan lisensi yang diperlukan bervariasi berdasarkan laporan. Izin terpisah diperlukan untuk mengakses data pemantauan dan kesehatan di Microsoft Graph. Sebaiknya gunakan peran dengan akses hak istimewa paling sedikit untuk menyelaraskan dengan panduan Zero Trust. Untuk daftar lengkap peran, lihat Peran dengan hak istimewa terkecil menurut tugas.

Log / Laporan Peran Lisensi
Log audit Pembaca Laporan
Pembaca Keamanan
Administrator Keamanan
Semua edisi ID Microsoft Entra
Log masuk Pembaca Laporan
Pembaca Keamanan
Administrator Keamanan
Semua edisi ID Microsoft Entra
Log provisi Pembaca Laporan
Pembaca Keamanan
Administrator Aplikasi
Administrator Aplikasi Cloud
Microsoft Entra ID P1 atau P2
Log audit atribut keamanan kustom* Administrator Log Atribut
Pembaca Log Atribut
Semua edisi ID Microsoft Entra
Kesehatan Pembaca Laporan
Pembaca Keamanan
Helpdesk Administrator
Microsoft Entra ID P1 atau P2
Perlindungan ID Microsoft Entra** Administrator Keamanan
Operator Keamanan
Pembaca Keamanan
Pembaca Global
Microsoft Entra ID Gratis
Aplikasi Microsoft 365
Microsoft Entra ID P1 atau P2
Log aktivitas Microsoft Graph Administrator Keamanan
Izin untuk mengakses data di tujuan log terkait
Microsoft Entra ID P1 atau P2
Penggunaan dan wawasan Pembaca Laporan
Pembaca Keamanan
Administrator Keamanan
Microsoft Entra ID P1 atau P2

*Melihat atribut keamanan kustom di log audit atau membuat pengaturan diagnostik untuk atribut keamanan kustom memerlukan salah satu peran Log Atribut. Anda juga memerlukan peran yang sesuai untuk melihat log audit standar.

**Tingkat akses dan kemampuan untuk Microsoft Entra ID Protection bervariasi menurut peran dan lisensi. Untuk informasi selengkapnya, lihat persyaratan lisensi untuk Perlindungan ID.

Log audit tersedia untuk fitur yang telah Anda lisensikan. Untuk mengakses log masuk menggunakan Microsoft Graph API, penyewa Anda harus memiliki lisensi Microsoft Entra ID P1 atau P2 yang terkait dengannya.

Melihat log melalui pusat admin Microsoft Entra

Untuk penyelidikan satu kali dengan cakupan terbatas, pusat admin Microsoft Entra sering kali merupakan cara term mudah untuk menemukan data yang Anda butuhkan. Antarmuka pengguna untuk setiap laporan ini memberi Anda opsi filter yang memungkinkan Anda menemukan entri yang Anda butuhkan untuk menyelesaikan skenario Anda.

Data yang diambil dalam log aktivitas Microsoft Entra digunakan dalam banyak laporan dan layanan. Anda dapat meninjau log masuk, audit, dan provisi untuk skenario satu kali atau menggunakan laporan untuk melihat pola dan tren. Data dari log aktivitas membantu mengisi laporan Perlindungan Identitas, yang menyediakan deteksi risiko terkait keamanan informasi yang dapat dideteksi dan dilaporkan oleh ID Microsoft Entra. Log aktivitas Microsoft Entra juga mengisi laporan Penggunaan dan wawasan, yang memberikan detail penggunaan untuk aplikasi penyewa Anda.

Laporan yang tersedia di portal Azure menyediakan berbagai kemampuan untuk memantau aktivitas dan penggunaan di penyewa Anda. Daftar penggunaan dan skenario berikut tidak lengkap, jadi jelajahi laporan untuk kebutuhan Anda.

  • Teliti aktivitas masuk pengguna atau lacak penggunaan aplikasi.
  • Tinjau detail sekeliling perubahan nama grup, pendaftaran perangkat, dan pengaturan ulang kata sandi dengan log audit.
  • Gunakan laporan Perlindungan Identitas untuk memantau pengguna berisiko, identitas beban kerja berisiko, dan proses masuk berisiko.
  • Tinjau tingkat keberhasilan masuk dalam laporan aktivitas aplikasi Microsoft Entra (pratinjau) dari Penggunaan dan wawasan untuk memastikan bahwa pengguna Anda dapat mengakses aplikasi yang digunakan di penyewa Anda.
  • Bandingkan berbagai metode autentikasi yang disukai pengguna Anda dengan laporan Metode autentikasi dari Penggunaan dan wawasan.

Langkah cepat

Gunakan langkah-langkah dasar berikut untuk mengakses laporan di pusat admin Microsoft Entra.

  1. Telusuri ke Log Masuk Pemantauan Identitas>& Log audit/kesehatan>Log provisi./
  2. Sesuaikan filter sesuai dengan kebutuhan Anda.

Log audit dapat diakses langsung dari area pusat admin Microsoft Entra tempat Anda bekerja. Misalnya, jika Anda berada di bagian Grup atau Lisensi dari ID Microsoft Entra, Anda dapat mengakses log audit untuk aktivitas tertentu tersebut langsung dari area tersebut. Saat Anda mengakses log audit dengan cara ini, kategori filter diatur secara otomatis. Jika Anda berada di Grup, kategori filter log audit diatur ke GroupManagement.

Mengalirkan log ke pusat aktivitas untuk diintegrasikan dengan alat SIEM

Streaming log aktivitas Anda ke pusat aktivitas diperlukan untuk mengintegrasikan log aktivitas Anda dengan alat Security Information and Event Management (SIEM), seperti Splunk dan SumoLogic. Sebelum dapat melakukan streaming log ke pusat aktivitas, Anda perlu menyiapkan namespace Layanan Pusat Aktivitas dan pusat aktivitas di langganan Azure Anda.

Alat SIEM yang dapat Anda integrasikan dengan pusat aktivitas Anda dapat memberikan kemampuan analisis dan pemantauan. Jika Anda sudah menggunakan alat ini untuk menyerap data dari sumber lain, Anda dapat mengalirkan data identitas untuk analisis dan pemantauan yang lebih komprehensif. Sebaiknya streaming log aktivitas Anda ke pusat aktivitas untuk jenis skenario berikut:

  • Anda memerlukan platform streaming big data dan layanan penyerapan peristiwa untuk menerima dan memproses jutaan peristiwa per detik.
  • Anda ingin mengubah dan menyimpan data dengan menggunakan penyedia analitik real time atau adaptor batching/penyimpanan.

Langkah cepat

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Keamanan.
  2. Membuat namespace layanan Azure Event Hubs dan pusat aktivitas.
  3. Telusuri pengaturan Pemantauan Identitas>& Diagnostik kesehatan.>
  4. Pilih log yang ingin Anda streaming, pilih opsi Streaming ke hub peristiwa, dan selesaikan bidang.

Vendor keamanan independen Anda harus memberi Anda instruksi tentang cara menyerap data dari Azure Event Hubs ke dalam alat mereka.

Mengakses log dengan Microsoft Graph API

Microsoft Graph API menyediakan model keterprograman terpadu yang dapat Anda gunakan untuk mengakses data untuk penyewa Microsoft Entra ID P1 atau P2 Anda. Ini tidak mengharuskan administrator atau pengembang untuk menyiapkan infrastruktur tambahan untuk mendukung skrip atau aplikasi Anda.

Ujung

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Dengan menggunakan penjelajah Microsoft Graph, Anda dapat menjalankan kueri untuk membantu Anda dengan jenis skenario berikut:

  • Menampilkan aktivitas penyewa seperti siapa yang membuat perubahan pada grup dan kapan.
  • Tandai peristiwa masuk Microsoft Entra sebagai aman atau dikonfirmasi disusupi.
  • Ambil daftar rincian masuk aplikasi selama 30 hari terakhir.

Nota

Microsoft Graph memungkinkan Anda mengakses data dari beberapa layanan yang memberlakukan batas pembatasan mereka sendiri. Untuk informasi selengkapnya tentang pembatasan log aktivitas, lihat Batas pembatasan khusus layanan Microsoft Graph.

Langkah cepat

  1. Konfigurasikan prasyarat.
  2. Masuk ke Graph Explorer.
  3. Atur metode HTTP dan versi API.
  4. Tambahkan kueri lalu pilih tombol Jalankan kueri .

Mengintegrasikan log dengan log Azure Monitor

Dengan integrasi log Azure Monitor, Anda dapat mengaktifkan visualisasi, pemantauan, dan pemberitahuan yang kaya pada data yang terhubung. Analitik Log menyediakan kemampuan kueri dan analisis yang ditingkatkan untuk log aktivitas Microsoft Entra. Untuk mengintegrasikan log aktivitas Microsoft Entra dengan log Azure Monitor, Anda memerlukan ruang kerja Analitik Log. Dari sana, Anda dapat menjalankan kueri melalui Analitik Log.

Mengintegrasikan log Microsoft Entra dengan log Azure Monitor menyediakan lokasi terpusat untuk mengkueri log. Sebaiknya integrasikan log dengan Azure Monitor untuk jenis skenario berikut:

  • Bandingkan log masuk Microsoft Entra dengan log yang diterbitkan oleh layanan Azure lainnya.
  • Menghubungkan log masuk dengan Wawasan Aplikasi Azure.
  • Log kueri menggunakan parameter pencarian tertentu.

Langkah cepat

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Keamanan.
  2. Membuat ruang kerja Analitik Log.
  3. Telusuri pengaturan Pemantauan Identitas>& Diagnostik kesehatan.>
  4. Pilih log yang ingin Anda streaming, pilih opsi Kirim ke ruang kerja Analitik Log, dan selesaikan bidang.
  5. Telusuri Pemantauan Identitas>& Analitik Log kesehatan>dan mulai mengkueri data.

Memantau peristiwa dengan Microsoft Azure Sentinel

Mengirim log masuk dan audit ke Microsoft Azure Sentinel menyediakan pusat operasi keamanan Anda dengan deteksi keamanan hampir real-time dan perburuan ancaman. Istilah perburuan ancaman mengacu pada pendekatan proaktif untuk meningkatkan postur keamanan lingkungan Anda. Dibandingkan dengan perlindungan klasik, perburuan ancaman mencoba secara proaktif mengidentifikasi potensi ancaman yang mungkin membahayakan sistem Anda. Data log aktivitas Anda mungkin menjadi bagian dari solusi perburuan ancaman Anda.

Sebaiknya gunakan kemampuan deteksi keamanan real time Microsoft Azure Sentinel jika organisasi Anda memerlukan analitik keamanan dan inteligensi ancaman. Gunakan Microsoft Azure Sentinel jika Anda perlu:

  • Kumpulkan data keamanan di seluruh perusahaan Anda.
  • Mendeteksi ancaman dengan inteligensi ancaman yang luas.
  • Selidiki insiden penting yang dipandu oleh AI.
  • Merespons dengan cepat dan mengotomatiskan perlindungan.

Langkah cepat

  1. Pelajari tentang prasyarat, peran, dan izin.
  2. Memperkirakan potensi biaya.
  3. Onboard ke Microsoft Azure Sentinel.
  4. Mengumpulkan data Microsoft Entra.
  5. Mulai berburu ancaman.

Mengekspor log untuk penyimpanan dan kueri

Solusi yang tepat untuk penyimpanan jangka panjang Anda tergantung pada anggaran Anda dan apa yang Anda rencanakan untuk dilakukan dengan data. Anda memiliki tiga opsi:

  • Mengarsipkan log ke Azure Storage
  • Mengunduh log untuk penyimpanan manual
  • Mengintegrasikan log dengan log Azure Monitor

Azure Storage adalah solusi yang tepat jika Anda tidak sering berencana mengkueri data Anda. Untuk informasi selengkapnya, lihat Mengarsipkan log direktori ke akun penyimpanan.

Jika Anda berencana untuk mengkueri log sering kali untuk menjalankan laporan atau melakukan analisis pada log yang disimpan, Anda harus mengintegrasikan data Anda dengan log Azure Monitor.

Jika anggaran Anda ketat, dan Anda memerlukan metode murah untuk membuat cadangan jangka panjang log aktivitas Anda, Anda dapat mengunduh log Anda secara manual. Antarmuka pengguna log aktivitas di portal memberi Anda opsi untuk mengunduh data sebagai JSON atau CSV. Salah satu trade off dari unduhan manual adalah bahwa ia membutuhkan lebih banyak interaksi manual. Jika Anda mencari solusi yang lebih profesional, gunakan Azure Storage atau Azure Monitor.

Sebaiknya siapkan akun penyimpanan untuk mengarsipkan log aktivitas Anda untuk skenario tata kelola dan kepatuhan di mana penyimpanan jangka panjang diperlukan.

Jika Anda ingin penyimpanan jangka panjang dan ingin menjalankan kueri terhadap data, tinjau bagian tentang mengintegrasikan log aktivitas Anda dengan Log Azure Monitor.

Sebaiknya unduh dan simpan log aktivitas Anda secara manual jika Anda memiliki batasan anggaran.

Langkah cepat

Gunakan langkah-langkah dasar berikut untuk mengarsipkan atau mengunduh log aktivitas Anda.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Keamanan.
  2. Buat akun penyimpanan.
  3. Telusuri pengaturan Pemantauan Identitas>& Diagnostik kesehatan.>
  4. Pilih log yang ingin Anda streaming, pilih opsi Arsipkan ke akun penyimpanan, dan selesaikan bidang.

Langkah berikutnya