Procedure: Toegang tot activiteitenlogboeken in Azure AD

Met de gegevens in de logboeken van Azure Active Directory (Azure AD) kunt u veel aspecten van uw Azure AD-tenant beoordelen. Voor een breed scala aan scenario's biedt Azure AD u verschillende opties voor toegang tot uw activiteitenlogboekgegevens. Als IT-beheerder moet u de beoogde use cases voor deze opties begrijpen, zodat u de juiste toegangsmethode voor uw scenario kunt selecteren.

In dit artikel wordt beschreven hoe u toegang krijgt tot de Azure AD activiteitenlogboeken en vindt u veelvoorkomende gebruiksvoorbeelden voor het openen van Azure AD logboekgegevens, inclusief aanbevelingen voor de juiste toegangsmethode. In het artikel worden ook gerelateerde rapporten beschreven die gebruikmaken van de gegevens in de activiteitenlogboeken.

Vereisten

Het weergeven van auditlogboeken is beschikbaar voor functies waarvoor u licenties hebt. Als u een licentie voor een specifieke functie hebt, hebt u ook toegang tot de audittrailgegevens hiervan. Voor toegang tot de aanmeldingsactiviteitenlogboeken moet aan uw tenant een Azure AD Premium-licentie zijn gekoppeld.

De volgende rollen bieden leestoegang tot audit- en aanmeldingslogboeken. Gebruik altijd de minst bevoorrechte rol volgens de richtlijnen van Microsoft Zero Trust.

  • Rapportenlezer
  • Beveiligingslezer
  • Beveiligingsbeheer
  • Globale lezer (alleen aanmeldingslogboeken)
  • Hoofdbeheerder

Toegang tot de activiteitenlogboeken in de portal

  1. Navigeer naar de Azure Portal met behulp van een van de vereiste rollen.
  2. Ga naar Azure AD en selecteer Auditlogboeken, Aanmeldingslogboeken of Inrichtingslogboeken.
  3. Pas het filter aan uw behoeften aan.

Logboeken en rapporten die gebruikmaken van activiteitenlogboekgegevens

De gegevens die zijn vastgelegd in de Azure AD activiteitenlogboeken worden gebruikt in veel rapporten en services. U kunt de aanmeldingslogboeken, auditlogboeken en inrichtingslogboeken bekijken voor specifieke scenario's of de rapporten gebruiken om patronen en trends te bekijken. De aanmeldingslogboeken zijn bijvoorbeeld handig bij het onderzoeken van de aanmeldingsactiviteit van een gebruiker of om het gebruik van een toepassing bij te houden. Als u trends wilt zien of wilt zien hoe uw beleid van invloed is op de gegevens, kunt u beginnen met de Azure AD Identity Protection-rapporten of diagnostische instellingen gebruiken om uw gegevens naar Azure Monitor te verzenden voor verdere analyse.

Auditlogboeken

De auditlogboeken leggen een grote verscheidenheid aan gegevens vast. Enkele voorbeelden van de typen activiteiten die in de logboeken zijn vastgelegd, zijn opgenomen in de volgende lijst. Er worden regelmatig nieuwe controlegegevens toegevoegd, dus deze lijst is niet volledig.

  • Activiteit wachtwoord opnieuw instellen en registreren
  • Activiteit voor selfservicegroepen
  • Microsoft 365-groepsnaamwijzigingen
  • Activiteiten en fouten bij het inrichten van accounts
  • Privileged Identity Management activiteit
  • Apparaatregistratie- en nalevingsactiviteit

Rapporten over afwijkende activiteiten

Rapporten over afwijkende activiteiten bieden informatie over beveiligingsgerelateerde risicodetecties die door Azure AD kunnen worden gedetecteerd en gerapporteerd.

De volgende tabel bevat de beveiligingsrapporten over afwijkende activiteiten van Azure AD en bijbehorende typen risicodetectie in Azure Portal. Zie Risicodetecties in Azure Active Directory voor meer informatie.

Rapport over afwijkende activiteiten in Azure AD Type risicodetectie voor identiteitsbeveiliging
Gebruikers van wie de referenties zijn gelekt Gelekte referenties
Onregelmatige aanmeldingsactiviteiten Onmogelijke reis naar ongewone locaties
Aanmeldingen vanaf mogelijk geïnfecteerde apparaten Aanmeldingen vanaf geïnfecteerde apparaten
Aanmeldingen van onbekende bronnen Aanmeldingen vanaf anonieme IP-adressen
Aanmeldingen van IP-adressen met verdachte activiteit Aanmeldingen van IP-adressen met verdachte activiteit
- Aanmeldingen vanaf onbekende locaties

De volgende Azure AD-beveiligingsrapporten over afwijkende activiteiten worden niet opgenomen als risicodetecties in Azure Portal:

  • Aanmeldingen na meerdere mislukte pogingen
  • Aanmeldingen vanuit meerdere locaties

Risicodetectie en Azure AD Identity Protection

U hebt toegang tot rapporten over risicodetecties in Azure AD Identity Protection. Met deze service kunt u gebruikers beveiligen door het bestaande beleid voor gebruikers- en aanmeldingsrisico's te controleren. U kunt de huidige activiteit ook analyseren met de volgende rapporten:

  • Riskante gebruikers
  • Riskante workloadidentiteiten
  • Riskante aanmeldingen
  • Risicodetectie

Zie Wat is Identity Protection? voor meer informatie.

Een eenmalige aanmelding onderzoeken

Het onderzoeken van een eenmalige aanmelding omvat scenario's waarin u het volgende moet doen:

  • Een snelle analyse uitvoeren van één gebruiker binnen een beperkt bereik. Een gebruiker had bijvoorbeeld problemen bij het aanmelden tijdens een periode van een paar uur.

  • Bekijk snel een reeks gerelateerde gebeurtenissen. Bijvoorbeeld het vergelijken van apparaatgegevens uit een reeks aanmeldingen van dezelfde gebruiker.

Aanbeveling

Voor deze eenmalige onderzoeken met een beperkt bereik is de Azure Portal vaak de eenvoudigste manier om de gegevens te vinden die u nodig hebt. De gerelateerde gebruikersinterface biedt filteropties waarmee u de vermeldingen kunt vinden die u nodig hebt om uw scenario op te lossen.

Bekijk de volgende resources:

Toegang vanuit code

Er zijn gevallen waarin u regelmatig toegang moet hebben tot activiteitenlogboeken vanuit een app of een script.

Aanbeveling

De juiste toegangsmethode voor het openen van activiteitenlogboeken vanuit code is afhankelijk van het bereik van uw project. U hebt twee opties om toegang te krijgen tot uw activiteitenlogboeken vanuit de Microsoft Graph API of om uw logboeken naar Azure Event Hubs te verzenden.

De Microsoft Graph API:

  • Biedt een RESTful-manier om aanmeldingsgegevens op te vragen van Azure AD in Azure AD Premium-tenants.
  • Een beheerder of ontwikkelaar hoeft geen extra infrastructuur in te stellen ter ondersteuning van uw script of app.
  • Is niet ontworpen voor het ophalen van grote hoeveelheden activiteitsgegevens. Het ophalen van grote hoeveelheden activiteitsgegevens met behulp van de API leidt tot problemen met paginering en prestaties.

Azure Event Hubs:

  • Is een platform voor het streamen van big data en een service voor gebeurtenisopname.
  • Kan miljoenen gebeurtenissen per seconde ontvangen en verwerken.
  • Transformeert en slaat gegevens op met behulp van een realtime analyseprovider of batch-/opslagadapters.

U kunt gebruikmaken van:

  • De Microsoft-Graph API voor query's met een bereik (een beperkte set gebruikers of tijd).
  • Azure Event Hubs voor het ophalen van grote sets aanmeldingsgegevens.

Detectie van beveiligingsgebeurtenissen en opsporing van bedreigingen in bijna realtime

Als u bedreigingen wilt detecteren en stoppen voordat ze schade kunnen toebrengen aan uw omgeving, hebt u mogelijk een beveiligingsoplossing geïmplementeerd in uw omgeving waarmee activiteitenlogboekgegevens in realtime kunnen worden verwerkt.

De term opsporing van bedreigingen verwijst naar een proactieve benadering om de beveiligingspostuur van uw omgeving te verbeteren. In tegenstelling tot klassieke beveiliging probeert thread-opsporing proactief mogelijke bedreigingen te identificeren die uw systeem kunnen schaden. Uw activiteitenlogboekgegevens kunnen deel uitmaken van uw oplossing voor het opsporen van bedreigingen.

Aanbeveling

Voor realtime beveiligingsdetectie gebruikt u Microsoft Sentinel of Azure Event Hubs.

U kunt gebruikmaken van:

  • Microsoft Sentinel biedt aanmeldings- en auditgegevens aan uw Beveiligingscentrum voor een bijna realtime beveiligingsdetectie. U kunt gegevens streamen naar Azure Sentinel met de ingebouwde Azure AD naar Azure Sentinel-connector. Zie Azure Active Directory-gegevens verbinden met Azure Sentinel voor meer informatie.

  • Azure Event Hubs als uw Beveiligingscentrum een ander hulpprogramma gebruikt. U kunt Azure AD gebeurtenissen streamen met behulp van een Azure Event Hubs. Zie Logboeken streamen naar een Event Hub voor meer informatie.

Uw onafhankelijke beveiligingsleverancier moet u instructies geven over het opnemen van gegevens uit Azure Event Hubs in hun hulpprogramma. U vindt instructies voor een aantal veelgebruikte SIEM-hulpprogramma's in de Azure AD rapportagedocumentatie:

Gegevens exporteren voor langetermijnopslag

Azure AD slaat uw logboekgegevens slechts een beperkte tijd op. Zie Hoe lang slaat Azure AD rapportagegegevens op voor meer informatie.

Als u uw logboekgegevens vanwege nalevings- of beveiligingsredenen voor een langere periode moet opslaan, hebt u een aantal opties.

Aanbeveling

De juiste oplossing voor uw langetermijnopslag is afhankelijk van uw budget en wat u van plan bent te doen met de gegevens.

Als uw budget krap is en u een goedkope methode nodig hebt om een langetermijnback-up van uw activiteitenlogboeken te maken, kunt u een handmatige download uitvoeren. De gebruikersinterface van de activiteitenlogboeken biedt u een optie om de gegevens te downloaden als JSON of CSV. Zie Logboeken downloaden in Azure Active Directory voor meer informatie.

Een nadeel van het handmatig downloaden is dat er veel handmatige interactie nodig is. Als u op zoek bent naar een professionelere oplossing, gebruikt u Azure Storage of Azure Monitor.

Azure Storage is de juiste oplossing voor u als u niet van plan bent om vaak query's uit te voeren op uw gegevens. Zie Directorylogboeken archiveren in een opslagaccount voor meer informatie.

Als u van plan bent om vaak een query uit te voeren op de logboeken om rapporten uit te voeren of analyses uit te voeren op de opgeslagen logboeken, moet u uw gegevens opslaan in Azure Monitor. Azure Monitor biedt ingebouwde rapportage- en waarschuwingsmogelijkheden. Zie Azure Active Directory-logboeken integreren met Azure Monitor-logboeken voor meer informatie. Zodra u de integratie hebt ingesteld, kunt u Azure Monitor gebruiken om query's uit te voeren op uw logboeken. Zie Activiteitenlogboeken analyseren met behulp van Azure Monitor-logboeken voor meer informatie.

Logboekanalyse

Een veelvoorkomende vereiste is het exporteren van activiteitsgegevens om een logboekanalyse uit te voeren.

Aanbeveling

Als u niet van plan bent om een onafhankelijk hulpprogramma voor logboekanalyse te gebruiken, gebruikt u Azure Monitor of Event Hubs. Azure Monitor biedt een zeer eenvoudige manier om logboeken van Azure AD te analyseren, evenals andere Azure-services en onafhankelijke hulpprogramma's. U kunt eenvoudig logboeken exporteren naar Azure Monitor met behulp van de ingebouwde connector. Zie Azure Active Directory-logboeken integreren met Azure Monitor-logboeken voor meer informatie. Zodra u de integratie hebt ingesteld, kunt u Azure Monitor gebruiken om query's uit te voeren op uw logboeken. Zie activiteitenlogboeken van Azure AD analyseren met Azure Monitor-logboeken voor meer informatie.

U kunt uw logboeken ook exporteren naar een onafhankelijk hulpprogramma voor logboekanalyse, zoals Splunk.

Volgende stappen