Quali sono i log delle identità che è possibile trasmettere a un endpoint?
Usando le impostazioni di diagnostica di Microsoft Entra, è possibile instradare i log attività a diversi endpoint per la conservazione a lungo termine e le informazioni dettagliate sui dati. Selezionare i log da instradare e quindi selezionare l'endpoint.
Questo articolo descrive i log che è possibile instradare a un endpoint con le impostazioni di diagnostica di Microsoft Entra.
Requisiti e opzioni di streaming dei log
La configurazione di un endpoint, ad esempio un hub eventi o un account di archiviazione, potrebbe richiedere ruoli e licenze diversi. Per creare o modificare una nuova impostazione di diagnostica, è necessario un utente che sia un Amministrazione istrator di sicurezza per il tenant di Microsoft Entra.
Per decidere quale opzione di routing dei log è più adatta, vedere Come accedere ai log attività. Il processo e i requisiti generali per ogni tipo di endpoint sono trattati negli articoli seguenti:
- Inviare log a un'area di lavoro Log Analytics per l'integrazione con i log di Monitoraggio di Azure
- Archiviare i log un account di archiviazione
- Trasmettere i log a un hub eventi
- Inviare a una soluzione partner
Opzioni del log attività
I log seguenti possono essere indirizzati a un endpoint per l'archiviazione, l'analisi o il monitoraggio.
Log di audit
Il AuditLogs
report acquisisce le modifiche apportate ad applicazioni, gruppi, utenti e licenze nel tenant di Microsoft Entra. Dopo aver indirizzato i log di controllo, è possibile filtrare o analizzare in base a data/ora, al servizio che ha registrato l'evento e a chi ha apportato la modifica. Per altre informazioni, vedere Log di controllo.
Log di accesso
Invia SignInLogs
i log di accesso interattivi, che sono log generati dagli utenti che accedono. I log di accesso vengono generati quando gli utenti forniscono il nome utente e la password in una schermata di accesso di Microsoft Entra o quando superano una richiesta di autenticazione a più fattori. Per altre informazioni, vedere Accessi utente interattivi.
Log di accesso non interattivi
Gli NonInteractiveUserSIgnInLogs
accessi vengono eseguiti per conto di un utente, ad esempio da un'app client. Il dispositivo o il client usa un token o un codice per autenticare o accedere a una risorsa per conto di un utente. Per altre informazioni, vedere Accessi utente non interattivi.
Log di accesso dell'entità servizio
Se è necessario esaminare l'attività di accesso per le app o le entità servizio, potrebbe essere un'opzione ServicePrincipalSignInLogs
valida. In questi scenari, i certificati o i segreti client vengono usati per l'autenticazione. Per altre informazioni, vedere Accessi all'entità servizio.
Log di accesso dell'identità gestita
Forniscono ManagedIdentitySignInLogs
informazioni dettagliate simili ai log di accesso dell'entità servizio, ma per le identità gestite, in cui Azure gestisce i segreti. Per altre informazioni, vedere Accessi all'identità gestita.
Log di provisioning
Se l'organizzazione effettua il provisioning degli utenti tramite un'applicazione non Microsoft, ad esempio Workday o ServiceNow, è possibile esportare i ProvisioningLogs
report. Per altre informazioni, vedere Log di provisioning.
Log di accesso di AD FS
Le attività di accesso per le applicazioni Active Directory Federated Services (AD FS) vengono acquisite in questo report utilizzo e informazioni dettagliate. È possibile esportare il report per monitorare l'attività ADFSSignInLogs
di accesso per le applicazioni AD FS. Per altre informazioni, vedere Log di accesso di AD FS.
Utenti a rischio
I RiskyUsers
log identificano gli utenti a rischio in base all'attività di accesso. Questo report fa parte di Microsoft Entra ID Protection e usa i dati di accesso da Microsoft Entra ID. Per altre informazioni, vedere Che cos'è Microsoft Entra ID Protection?.
Eventi di rischio utente
I UserRiskEvents
log fanno parte di Microsoft Entra ID Protection. Questi log acquisiscono informazioni dettagliate sugli eventi di accesso rischiosi. Per altre informazioni, vedere Come analizzare i rischi.
Log del traffico di accesso alla rete
Sono NetworkAccessTrafficLogs
associati a Accesso a Internet Microsoft Entra e Accesso privato Microsoft Entra. I log sono visibili in Microsoft Entra ID, ma selezionando questa opzione non vengono aggiunti nuovi log all'area di lavoro, a meno che l'organizzazione non usi Accesso a Internet Microsoft Entra e Accesso privato Microsoft Entra per proteggere l'accesso alle risorse aziendali. Per altre informazioni, vedere Che cos'è l'accesso sicuro globale?.
Entità servizio rischiose
I RiskyServicePrincipals
log forniscono informazioni sulle entità servizio rilevate da Microsoft Entra ID Protection come rischiose. Il rischio dell'entità servizio rappresenta la probabilità che un'identità o un account venga compromesso. Questi rischi vengono calcolati in modo asincrono usando dati e modelli dalle origini di intelligence sulle minacce interne ed esterne di Microsoft. Queste fonti possono includere ricercatori della sicurezza, professionisti delle forze dell'ordine e team di sicurezza presso Microsoft. Per altre informazioni, vedere Protezione delle identità del carico di lavoro.
Eventi di rischio dell'entità servizio
Fornisce ServicePrincipalRiskEvents
informazioni dettagliate sugli eventi di accesso rischiosi per le entità servizio. Questi log possono includere eventuali eventi sospetti identificati correlati agli account dell'entità servizio. Per altre informazioni, vedere Protezione delle identità del carico di lavoro.
Log di controllo arricchiti di Microsoft 365
Sono EnrichedOffice365AuditLogs
associati ai log arricchiti che è possibile abilitare per Accesso a Internet Microsoft Entra. Se si seleziona questa opzione, non vengono aggiunti nuovi log all'area di lavoro, a meno che l'organizzazione non usi Microsoft Entra Internet per proteggere l'accesso al traffico di Microsoft 365 ed è stato abilitato i log arricchiti. Per altre informazioni, vedere Come usare i log di Microsoft 365 arricchiti con l'accesso sicuro globale.
Log attività di Microsoft Graph
Fornisce MicrosoftGraphActivityLogs
agli amministratori visibilità completa su tutte le richieste HTTP che accedono alle risorse del tenant tramite l'API Microsoft Graph. È possibile usare questi log per identificare le attività eseguite da un account utente compromesso nel tenant o per analizzare comportamenti problematici o imprevisti per le applicazioni client, ad esempio volumi di chiamate estremi. Instradare questi log alla stessa area di lavoro Log Analytics con SignInLogs
i dettagli di riferimento incrociato delle richieste di token per i log di accesso. Per altre informazioni, vedere Accedere ai log attività di Microsoft Graph (anteprima).
Log di integrità della rete remota
Fornisce RemoteNetworkHealthLogs
informazioni dettagliate sull'integrità della rete remota configurata tramite Accesso sicuro globale. Se si seleziona questa opzione, non vengono aggiunti nuovi log all'area di lavoro, a meno che l'organizzazione non usi Accesso a Internet Microsoft Entra e Accesso privato Microsoft Entra per proteggere l'accesso alle risorse aziendali. Per altre informazioni, vedere Log di integrità della rete remota.
Log di controllo degli attributi di sicurezza personalizzati
Sono CustomSecurityAttributeAuditLogs
configurati nella sezione Attributi di sicurezza personalizzati delle impostazioni di diagnostica. Questi log acquisiscono le modifiche apportate agli attributi di sicurezza personalizzati nel tenant di Microsoft Entra. Per visualizzare questi log nei log di controllo di Microsoft Entra, è necessario il ruolo Lettore log attributi. Per indirizzare questi log a un endpoint, è necessario il ruolo log degli attributi Amministrazione istrator e l'Amministrazione istrator di sicurezza.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per