Che cos'è il monitoraggio e l'integrità di Microsoft Entra?
Le funzionalità di monitoraggio e integrità di Microsoft Entra offrono una panoramica completa delle attività correlate all'identità nell'ambiente in uso. Questi dati consentono di:
- Determinare le modalità di utilizzo di app e servizi da parte degli utenti.
- Rilevare rischi potenziali che pregiudicano l'integrità dell'ambiente.
- Risolvere problemi che influiscono negativamente sulla produttività degli utenti.
- Per ottenere informazioni dettagliate, vedere gli eventi di controllo delle modifiche apportate alla directory Microsoft Entra.
I log di accesso e di controllo includono i log attività dietro molti report di Microsoft Entra, che possono essere usati per analizzare, monitorare e risolvere i problemi dell'attività nel tenant. Il routing dei log attività a una soluzione di analisi e monitoraggio offre maggiori informazioni dettagliate sull'integrità e la sicurezza del tenant.
Questo articolo descrive i tipi di log attività disponibili in Microsoft Entra ID, i report che usano i log e i servizi di monitoraggio disponibili per analizzare i dati.
Log attività di identità
I log di attività consentono di comprendere il comportamento degli utenti nell'organizzazione. Esistono tre tipi di log attività in Microsoft Entra ID:
I log di controllo includono la cronologia di ogni attività eseguita nel tenant.
I log di accesso acquisiscono i tentativi di accesso degli utenti e delle applicazioni client.
I log di provisioning forniscono informazioni sugli utenti di cui è stato effettuato il provisioning nel tenant tramite un servizio di terze parti.
I log attività possono essere visualizzati nella portale di Azure o usando l'API Microsoft Graph. I log attività possono anche essere indirizzati a vari endpoint per l'archiviazione o l'analisi. Per informazioni su tutte le opzioni per la visualizzazione dei log attività, vedere Come accedere ai log attività.
Log di controllo
I log di controllo forniscono i record delle attività di sistema per la conformità. Questi dati consentono di risolvere scenari comuni, ad esempio:
- Un utente del tenant ha avuto accesso a un gruppo amministrativo. Si vuole sapere chi ha concesso tale accesso.
- Si vuole ottenere un elenco degli utenti che accedono a un'app specifica caricata di recente, per sapere se funziona bene.
- Si vuole conoscere il numero di reimpostazioni della password eseguite nel tenant.
Log di accesso
Il log di accesso permette di rispondere a domande come:
- Qual è il modello di accesso di un utente?
- Quanti utenti hanno effettuato l'accesso nell'arco di una settimana?
- Qual è lo stato di questi accessi?
Log di provisioning
È possibile usare i log di provisioning per trovare risposte a domande quali:
- Quali gruppi sono stati correttamente creati in ServiceNow?
- Quali utenti sono stati rimossi correttamente da Adobe?
- Quali utenti di Workday sono stati creati correttamente in Active Directory?
Report di identità
La revisione dei dati nei log attività di Microsoft Entra può fornire informazioni utili per gli amministratori IT. Per semplificare il processo di revisione dei dati negli scenari chiave, sono stati creati diversi report su scenari comuni che usano i log attività.
- Identity Protection usa i dati di accesso per creare report sugli utenti a rischio e sulle attività di accesso.
- Le attività correlate alle applicazioni, ad esempio l'entità servizio e l'attività delle credenziali dell'app, vengono usate per creare report in Utilizzo e informazioni dettagliate.
- Le cartelle di lavoro di Microsoft Entra offrono un modo personalizzabile per visualizzare e analizzare i log attività.
- Usare i consigli di Microsoft Entra per monitorare e migliorare la sicurezza del tenant.
- Microsoft Entra Health acquisisce il contratto di servizio globale per il raggiungimento e i segnali di integrità per diversi scenari chiave.
Monitoraggio delle identità e integrità del tenant
La revisione dei log attività di Microsoft Entra è il primo passaggio per gestire e migliorare l'integrità e la sicurezza del tenant. È necessario analizzare i dati, monitorare gli scenari rischiosi e determinare dove è possibile apportare miglioramenti. Il monitoraggio di Microsoft Entra fornisce gli strumenti necessari per prendere decisioni informate.
Il monitoraggio dei log attività di Microsoft Entra richiede il routing dei dati di log a una soluzione di monitoraggio e analisi. Gli endpoint includono log di Monitoraggio di Azure, Microsoft Sentinel o uno strumento SIEM (Security Information and Event Management) di terze parti della soluzione di terze parti.
- Trasmettere i log a un hub eventi per l'integrazione con gli strumenti SIEM di terze parti.
- Integrazione con i log di Monitoraggio di Azure.
- Analizzare i log con i log di monitoraggio di Azure e Log Analytics.
Casi d'uso
Il modo in cui si usano i log, i report e i servizi di monitoraggio disponibili dipende dalle esigenze dell'organizzazione. Per classificare in ordine di priorità i casi d'uso e le soluzioni, può essere utile vedere in che modo queste soluzioni sono correlate tra loro, in che modo differiscono e come possono essere usate insieme.
Considerazioni
- Conservazione - Conservazione dei log: archiviare i log di controllo e accedere ai log di Microsoft Entra ID per più di 30 giorni
- Analisi - I log sono disponibili per la ricerca con strumenti analitici
- Informazioni operative e sulla sicurezza - Consente di accedere all'utilizzo delle applicazioni, agli errori di accesso, all'utilizzo self-service, alle tendenze e così via.
- Integrazione SIEM - Integrare e trasmettere i log di accesso e i log di controllo di Microsoft Entra ai sistemi SIEM
Con il monitoraggio di Microsoft Entra, è possibile instradare i log attività di Microsoft Entra e conservarli per la creazione di report e l'analisi a lungo termine per ottenere informazioni dettagliate sull'ambiente e integrarlo con gli strumenti SIEM. Usare il grafico di flusso decisionale seguente per selezionare un'architettura.
Per una panoramica su come accedere, archiviare e analizzare i log attività, vedere Come accedere ai log attività.