Wat is Microsoft Entra-bewaking en -status?
De functies van Microsoft Entra-bewaking en -status bieden een uitgebreid overzicht van identiteitsgerelateerde activiteiten in uw omgeving. Met deze gegevens kunt u het volgende doen:
- Bepaal hoe uw gebruikers uw apps en services gebruiken.
- Potentiƫle risico's detecteren die van invloed zijn op de status van uw omgeving.
- Los problemen op waardoor uw gebruikers hun werk niet kunnen doen.
- Krijg inzicht door controlegebeurtenissen van wijzigingen in uw Microsoft Entra-directory te bekijken.
Aanmeldings- en auditlogboeken omvatten de activiteitenlogboeken achter veel Microsoft Entra-rapporten, die kunnen worden gebruikt voor het analyseren, bewaken en oplossen van problemen met activiteiten in uw tenant. Het routeren van uw activiteitenlogboeken naar een analyse- en bewakingsoplossing biedt meer inzicht in de status en beveiliging van uw tenant.
In dit artikel worden de typen activiteitenlogboeken beschreven die beschikbaar zijn in Microsoft Entra ID, de rapporten die gebruikmaken van de logboeken en de bewakingsservices die beschikbaar zijn om u te helpen bij het analyseren van de gegevens.
Activiteitenlogboeken voor identiteiten
Activiteitenlogboeken helpen u inzicht te hebben in het gedrag van gebruikers in uw organisatie. Er zijn drie soorten activiteitenlogboeken in Microsoft Entra-id:
Auditlogboeken bevatten de geschiedenis van elke taak die in uw tenant wordt uitgevoerd.
Aanmeldingslogboeken leggen de aanmeldingspogingen van uw gebruikers en clienttoepassingen vast.
Inrichtingslogboeken bieden informatie over gebruikers die in uw tenant zijn ingericht via een service van derden.
De activiteitenlogboeken kunnen worden weergegeven in Azure Portal of met behulp van de Microsoft Graph API. Activiteitenlogboeken kunnen ook worden gerouteerd naar verschillende eindpunten voor opslag of analyse. Zie Activiteitenlogboeken openen voor meer informatie over alle opties voor het weergeven van de activiteitenlogboeken.
Auditlogboeken
Auditlogboeken bieden u records van systeemactiviteiten voor naleving. Met deze gegevens kunt u veelvoorkomende scenario's aanpakken, zoals:
- Iemand in mijn tenant heeft toegang gekregen tot een beheergroep. Wie gaf ze toegang?
- Ik wil weten welke lijst gebruikers zich aanmelden bij een specifieke app, omdat ik onlangs de app heb toegevoegd en wil weten of de app goed gaat.
- Ik wil weten hoeveel wachtwoorden opnieuw worden ingesteld in mijn tenant.
Aanmeldingslogboeken
Met de aanmeldingslogboeken kunt u antwoorden vinden op vragen zoals:
- Wat is het aanmeldingspatroon van een gebruiker?
- Hoeveel gebruikers hebben gebruikers zich meer dan een week aangemeld?
- Wat is de status van deze aanmeldingen?
Inrichtingslogboeken
U kunt de inrichtingslogboeken gebruiken om antwoorden te vinden op vragen zoals:
- Welke groepen zijn gemaakt in ServiceNow?
- Welke gebruikers zijn verwijderd uit Adobe?
- Welke gebruikers van Workday zijn gemaakt in Active Directory?
Identiteitsrapporten
Het controleren van de gegevens in de activiteitenlogboeken van Microsoft Entra kan nuttige informatie bieden voor IT-beheerders. Om het proces van het controleren van gegevens over belangrijke scenario's te stroomlijnen, hebben we verschillende rapporten gemaakt over veelvoorkomende scenario's die gebruikmaken van de activiteitenlogboeken.
- Identity Protection maakt gebruik van aanmeldingsgegevens om rapporten te maken over riskante gebruikers en aanmeldingsactiviteiten.
- Activiteiten met betrekking tot uw toepassingen, zoals service-principal en app-referentieactiviteit, worden gebruikt om rapporten te maken in Gebruik en inzichten.
- Microsoft Entra-werkmappen bieden een aanpasbare manier om de activiteitenlogboeken weer te geven en te analyseren.
- Gebruik Microsoft Entra-aanbevelingen om de beveiliging van uw tenant te bewaken en te verbeteren.
- Microsoft Entra Health legt globale service level agreement af voor verschillende belangrijke scenario's en gezondheidssignalen.
Identiteitsbewaking en tenantstatus
Het controleren van Microsoft Entra-activiteitenlogboeken is de eerste stap bij het onderhouden en verbeteren van de status en beveiliging van uw tenant. U moet de gegevens analyseren, controleren op riskante scenario's en bepalen waar u verbeteringen kunt aanbrengen. Microsoft Entra-bewaking biedt de benodigde hulpprogramma's om u te helpen weloverwogen beslissingen te nemen.
Voor het bewaken van Microsoft Entra-activiteitenlogboeken moet u de logboekgegevens routeren naar een bewakings- en analyseoplossing. Eindpunten zijn onder andere Azure Monitor-logboeken, Microsoft Sentinel of een siem-hulpprogramma (Security Information and Event Management) van derden.
- Stream logboeken naar een Event Hub om te integreren met SIEM-hulpprogramma's van derden.
- Integreer logboeken met Azure Monitor-logboeken.
- Analyseer logboeken met Azure Monitor-logboeken en Log Analytics.
Use cases
Hoe u de beschikbare logboeken, rapporten en bewakingsservices gebruikt, is afhankelijk van de behoeften van uw organisatie. Om de use cases en oplossingen beter te prioriteren, kan het helpen om te zien hoe deze oplossingen met elkaar zijn verbonden, hoe ze verschillen en hoe ze samen kunnen worden gebruikt.
Overwegingen
- Retentie - Logboekretentie : auditlogboeken opslaan en aanmeldingslogboeken van Microsoft Entra langer dan 30 dagen opslaan
- Analyse : logboeken kunnen worden doorzocht met analysehulpprogramma's
- Operationele en beveiligingsinzichten : toegang bieden tot toepassingsgebruik, aanmeldingsfouten, selfservicegebruik, trends, enzovoort.
- SIEM-integratie - Aanmeldingslogboeken en auditlogboeken van Microsoft Entra integreren en streamen naar SIEM-systemen
Met Microsoft Entra-bewaking kunt u activiteitenlogboeken van Microsoft Entra routeren en bewaren voor langetermijnrapportage en -analyse om omgevingsinzichten te verkrijgen en te integreren met SIEM-hulpprogramma's. Gebruik het volgende beslissingsstroomdiagram om een architectuur te selecteren.
Zie Activiteitenlogboeken openen, opslaan en analyseren voor een overzicht van het openen, opslaan en analyseren van activiteitenlogboeken.