Quali sono i log delle identità che è possibile trasmettere a un endpoint?

Usando le impostazioni di diagnostica di Microsoft Entra, è possibile indirizzare i log attività a diversi endpoint per la conservazione a lungo termine e le informazioni dettagliate sui dati. Selezionare i log da indirizzare e quindi selezionare l'endpoint.

Questo articolo descrive i log che è possibile indirizzare a un endpoint con le impostazioni di diagnostica di Microsoft Entra.

Requisiti e opzioni di streaming di log

La configurazione di un endpoint, ad esempio un hub eventi o un account di archiviazione, potrebbe richiedere ruoli e licenze diversi. Per creare o modificare una nuova impostazione di diagnostica, è necessario un utente che sia un amministratore della sicurezza per il tenant di Microsoft Entra.

Per decidere quale sia l'opzione di routing dei log più adatta, consultare Come accedere ai log attività. Il processo e i requisiti generali per ogni tipo di endpoint sono trattati negli articoli seguenti:

• Inviare i log a un'area di lavoro Log Analytics per integrarli con i log di Monitoraggio di Azure
• Archivia i log a un account di archiviazione
• Trasmettere i log a un hub degli eventi
• Inviare a una soluzione partner

Opzioni del registro delle attività

I log seguenti possono essere indirizzati a un endpoint per l'archiviazione, l'analisi o il monitoraggio.

Log di controllo

Il report AuditLogs acquisisce le modifiche alle applicazioni, ai gruppi, agli utenti e alle licenze nel tenant di Microsoft Entra. Una volta indirizzati i log di controllo, è possibile filtrarli o analizzarli in base alla data/ora, al servizio che ha registrato l'evento e a chi ha apportato la modifica. Per ulteriori informazioni, consultare Log di controllo.

Log di accesso

SignInLogs inviano i log di accesso interattivi, ovvero i log generati dagli utenti che effettuano l'accesso. I log di accesso vengono generati quando gli utenti forniscono il nome utente e la password in una schermata di accesso di Microsoft Entra o quando completano l'MFA. Per ulteriori informazioni, consultare Accessi utente interattivi.

Registri di accesso non interattivi

NonInteractiveUserSIgnInLogs sono accessi effettuati per conto di un utente, ad esempio da un'app client. Il dispositivo o il client usa un token o un codice per eseguire l'autenticazione o l'accesso a una risorsa per conto di un utente. Per ulteriori informazioni, consultare Accessi utente non interattivi.

Log di accesso principale del servizio

Se hai bisogno di esaminare l'attività di accesso per le app o le entità di servizio, l'opzione ServicePrincipalSignInLogs potrebbe risultare valida. In questi scenari, i certificati o i segreti client vengono usati per l'autenticazione. Per ulteriori informazioni, consultare Accessi tramite principal del servizio.

Log di accesso delle identità gestite

ManagedIdentitySignInLogs forniscono informazioni simili ai log di accesso dell'entità servizio, ma per le identità gestite, di cui Azure gestisce i segreti. Per ulteriori informazioni, consultare Accessi dell'identità gestita.

Log di provisioning

Se l'organizzazione effettua il provisioning degli utenti tramite un'applicazione non Microsoft, come Workday o ServiceNow, è possibile esportare i report ProvisioningLogs. Per ulteriori informazioni, vedere Registri di provisioning.

Log di accesso di AD FS

L'attività di accesso alle applicazioni AD FS (Active Directory Federated Services) viene acquisita in questo report sull'utilizzo e sui dati analitici. È possibile esportare il report ADFSSignInLogs per monitorare l'attività di accesso alle applicazioni AD FS. Per ulteriori informazioni, consultare Log di accesso di AD FS.

Utenti a rischio

I log RiskyUsers identificano gli utenti a rischio in base all'attività di accesso. Questo report fa parte di Microsoft Entra ID Protection e sfrutta i dati di accesso di Microsoft Entra ID. Per ulteriori informazioni, consultare Cos'è Microsoft Entra ID Protection?

Eventi di rischio dell'utente

I log UserRiskEvents fanno parte di Microsoft Entra ID Protection. Questi log acquisiscono informazioni sugli eventi di accesso a rischio. Per altre informazioni, vedere Come analizzare i rischi.

Log del traffico di accesso alla rete

Gli oggetti NetworkAccessTrafficLogs sono associati ad Accesso a Internet Microsoft Entra e Accesso Privato Microsoft Entra. I log sono visibili in Microsoft Entra ID, ma selezionando questa opzione non vengono aggiunti nuovi log all'area di lavoro, a meno che l'organizzazione non usi Accesso a Internet Microsoft Entra e Accesso privato Microsoft Entra per proteggere l'accesso alle risorse aziendali. Per altre informazioni, vedere Che cos'è l'Accesso globale sicuro?.

Entità servizio rischiose

I log RiskyServicePrincipals forniscono informazioni sulle entità servizio rilevate come rischiose da Microsoft Entra ID Protection. Il rischio principale del servizio rappresenta la probabilità che un'identità o un account siano compromessi. Questi rischi vengono calcolati in modo asincrono usando dati e criteri delle fonti di intelligence sulle minacce interne ed esterne di Microsoft. Queste fonti possono includere ricercatori della sicurezza, professionisti delle forze dell'ordine e team di sicurezza di Microsoft. Per altre informazioni, vedere Protezione delle identità dei carichi di lavoro.

Eventi di rischio del service principal

Gli oggetti ServicePrincipalRiskEvents forniscono dettagli sugli eventi di accesso rischiosi per i principali di servizio. Questi log possono includere eventi identificati come sospetti relativi agli account principali del servizio. Per altre informazioni, vedere Protezione delle identità dei carichi di lavoro.

Log di controllo arricchiti di Microsoft 365

Gli oggetti EnrichedOffice365AuditLogs sono associati ai registri arricchiti che è possibile abilitare per Microsoft Entra Internet Access. Se si seleziona questa opzione, non vengono aggiunti nuovi log all'area di lavoro, a meno che l'organizzazione non usi Microsoft Entra Internet per proteggere l'accesso al traffico di Microsoft 365 e i log arricchiti non siano abilitati. Per ulteriori informazioni, vedere Come utilizzare i log di Microsoft 365 arricchiti da Accesso Sicuro Globale.

Log attività di Microsoft Graph

Gli oggetti MicrosoftGraphActivityLogs forniscono agli amministratori visibilità completa su tutte le richieste HTTP che accedono alle risorse del tenant tramite l'API di Microsoft Graph. È possibile usare questi log per identificare le attività eseguite da un account utente compromesso nel tenant o per analizzare comportamenti problematici o imprevisti per le applicazioni client, ad esempio volumi di chiamate eccessivi. Instrada questi log alla stessa area di lavoro Log Analytics con SignInLogs per incrociare i dettagli delle richieste di token nei log di accesso. Per altre informazioni, vedere Accedere ai log attività di Microsoft Graph.

Log di integrità della rete remota

Gli oggetti RemoteNetworkHealthLogs forniscono informazioni dettagliate sull'integrità della rete remota configurata tramite Accesso globale sicuro. Se si seleziona questa opzione, non vengono aggiunti nuovi log all'area di lavoro, a meno che l'organizzazione non usi Accesso a Internet Microsoft Entra e Accesso privato Microsoft Entra per proteggere l'accesso alle risorse aziendali. Per altre informazioni, vedere Log di integrità della rete remota.

Log di controllo degli attributi di sicurezza personalizzati

Gli oggetti CustomSecurityAttributeAuditLogs sono configurati nella sezione Attributi di sicurezza personalizzati delle impostazioni di diagnostica. Questi log acquisiscono le modifiche apportate agli attributi di sicurezza personalizzati nel tenant di Microsoft Entra. Per visualizzare questi registri nei log di controllo di Microsoft Entra, è necessario il ruolo Lettore dei Log degli Attributi. Per indirizzare questi log a un endpoint, è necessario il Ruolo con autorizzazioni di lettura per i log degli attributi e Amministratore della sicurezza.