Wat zijn de identiteitslogboeken die u naar een eindpunt kunt streamen?

Met diagnostische instellingen van Microsoft Entra kunt u activiteitenlogboeken routeren naar verschillende eindpunten voor langetermijnretentie en gegevensinzichten. U selecteert de logboeken die u wilt routeren en selecteer vervolgens het eindpunt.

In dit artikel worden de logboeken beschreven die u naar een eindpunt kunt routeren met diagnostische instellingen van Microsoft Entra.

Vereisten en opties voor logboekstreaming

Het instellen van een eindpunt, zoals een Event Hub of opslagaccount, kan verschillende rollen en licenties vereisen. Als u een nieuwe diagnostische instelling wilt maken of bewerken, hebt u een gebruiker nodig die een beveiligingsbeheerder is voor de Microsoft Entra-tenant.

Zie Activiteitenlogboeken openen om te bepalen welke optie voor logboekroutering het meest geschikt is voor u. De algemene proces- en vereisten voor elk eindpunttype worden behandeld in de volgende artikelen:

• Logboeken verzenden naar een Log Analytics-werkruimte om te integreren met Azure Monitor-logboeken
• Logboeken archiveren naar een opslagaccount
• Logboeken streamen naar een Event Hub
• Verzenden naar een partneroplossing

Opties voor activiteitenlogboek

De volgende logboeken kunnen worden doorgestuurd naar een eindpunt voor opslag, analyse of bewaking.

Auditlogboeken

In het AuditLogs rapport worden wijzigingen vastgelegd in toepassingen, groepen, gebruikers en licenties in uw Microsoft Entra-tenant. Zodra u uw auditlogboeken hebt gerouteerd, kunt u filteren of analyseren op datum/tijd, de service die de gebeurtenis heeft geregistreerd en wie de wijziging heeft aangebracht. Zie Auditlogboeken voor meer informatie.

Aanmeldingslogboeken

De SignInLogs interactieve aanmeldingslogboeken worden verzonden. Dit zijn logboeken die worden gegenereerd door uw gebruikers die zich aanmelden. Aanmeldingslogboeken worden gegenereerd wanneer gebruikers hun gebruikersnaam en wachtwoord opgeven op een Microsoft Entra-aanmeldingsscherm of wanneer ze een MFA-uitdaging doorgeven. Zie Interactieve gebruikersaanmelding voor meer informatie.

Niet-interactieve aanmeldingslogboeken

De NonInteractiveUserSIgnInLogs aanmeldingen worden uitgevoerd namens een gebruiker, zoals door een client-app. Het apparaat of de client gebruikt een token of code om een resource namens een gebruiker te verifiëren of te openen. Zie Aanmeldingen van niet-interactieve gebruikers voor meer informatie.

Aanmeldingslogboeken van de service-principal

Als u de aanmeldingsactiviteit voor apps of service-principals wilt bekijken, is dit ServicePrincipalSignInLogs mogelijk een goede optie. In deze scenario's worden certificaten of clientgeheimen gebruikt voor verificatie. Zie Aanmeldingen voor service-principals voor meer informatie.

Aanmeldingslogboeken voor beheerde identiteit

Het ManagedIdentitySignInLogs biedt vergelijkbare inzichten als de aanmeldingslogboeken van de service-principal, maar voor beheerde identiteiten, waarbij Azure de geheimen beheert. Zie Aanmeldingen voor beheerde identiteiten voor meer informatie.

Inrichtingslogboeken

Als uw organisatie gebruikers indeelt via een niet-Microsoft-toepassing zoals Workday of ServiceNow, kunt u de ProvisioningLogs rapporten exporteren. Zie Inrichtingslogboeken voor meer informatie.

Aanmeldingslogboeken van AD FS

Aanmeldingsactiviteit voor AD FS-toepassingen (Active Directory Federated Services) worden vastgelegd in deze rapporten over gebruik en inzicht. U kunt het ADFSSignInLogs rapport exporteren om aanmeldingsactiviteiten voor AD FS-toepassingen te bewaken. Zie de aanmeldingslogboeken van AD FS voor meer informatie.

Riskante gebruikers

De RiskyUsers logboeken identificeren gebruikers die risico lopen op basis van hun aanmeldingsactiviteit. Dit rapport maakt deel uit van Microsoft Entra ID Protection en maakt gebruik van aanmeldingsgegevens van Microsoft Entra ID. Zie Wat is Microsoft Entra ID Protection? voor meer informatie.

Gebeurtenissen voor gebruikersrisico's

De UserRiskEvents logboeken maken deel uit van Microsoft Entra ID Protection. In deze logboeken worden details vastgelegd over riskante aanmeldingsgebeurtenissen. Zie Risico's onderzoeken voor meer informatie.

Netwerktoegangsverkeerslogboeken

De NetworkAccessTrafficLogs zijn gekoppeld aan Microsoft Entra-internettoegang en Microsoft Entra-privétoegang. De logboeken zijn zichtbaar in Microsoft Entra-id, maar als u deze optie selecteert, worden er geen nieuwe logboeken toegevoegd aan uw werkruimte, tenzij uw organisatie Microsoft Entra-internettoegang en Microsoft Entra-privétoegang gebruikt om de toegang tot uw bedrijfsbronnen te beveiligen. Zie Wat is globale beveiligde toegang? voor meer informatie.

Riskante service-principals

De RiskyServicePrincipals logboeken bevatten informatie over service-principals die door Microsoft Entra ID Protection als riskant zijn gedetecteerd. Het risico van de service-principal geeft de kans aan dat een identiteit of account is aangetast. Deze risico's worden asynchroon berekend met behulp van gegevens en patronen uit interne en externe bedreigingsinformatiebronnen van Microsoft. Deze bronnen kunnen onder andere beveiligingsonderzoekers, rechtshandhavingsprofessionals en beveiligingsteams bij Microsoft zijn. Zie Workloadidentiteiten beveiligen voor meer informatie.

Risico-gebeurtenissen voor service-principal

Hier ServicePrincipalRiskEvents vindt u informatie over de riskante aanmeldingsgebeurtenissen voor service-principals. Deze logboeken kunnen verdachte gebeurtenissen bevatten die betrekking hebben op de service-principal-accounts. Zie Workloadidentiteiten beveiligen voor meer informatie.

Verrijkte Microsoft 365-auditlogboeken

Deze EnrichedOffice365AuditLogs zijn gekoppeld aan de verrijkte logboeken die u kunt inschakelen voor Microsoft Entra-internettoegang. Als u deze optie selecteert, worden er geen nieuwe logboeken toegevoegd aan uw werkruimte, tenzij uw organisatie Microsoft Entra Internet gebruikt om de toegang tot uw Microsoft 365-verkeer te beveiligen en u de verrijkte logboeken hebt ingeschakeld. Zie De uitgebreide Microsoft 365-logboeken van Global Secure Access gebruiken voor meer informatie.

Activiteitenlogboeken van Microsoft Graph

De MicrosoftGraphActivityLogs biedt beheerders volledige zichtbaarheid in alle HTTP-aanvragen die toegang hebben tot de resources van uw tenant via de Microsoft Graph API. U kunt deze logboeken gebruiken om activiteiten te identificeren die door een gecompromitteerd gebruikersaccount in uw tenant worden uitgevoerd of om problematisch of onverwacht gedrag voor clienttoepassingen te onderzoeken, zoals extreme oproepvolumes. Routeer deze logboeken naar dezelfde Log Analytics-werkruimte met SignInLogs kruisverwijzingsgegevens van tokenaanvragen voor aanmeldingslogboeken. Zie Activiteitenlogboeken van Access Microsoft Graph voor meer informatie.

Statuslogboeken voor externe netwerken

Het RemoteNetworkHealthLogs biedt inzicht in de status van uw externe netwerk dat is geconfigureerd via Global Secure Access. Als u deze optie selecteert, worden er geen nieuwe logboeken toegevoegd aan uw werkruimte, tenzij uw organisatie Microsoft Entra-internettoegang en Microsoft Entra-privétoegang gebruikt om de toegang tot uw bedrijfsbronnen te beveiligen. Zie statuslogboeken voor externe netwerken voor meer informatie.

Auditlogboeken voor aangepaste beveiligingskenmerken

De CustomSecurityAttributeAuditLogs instellingen worden geconfigureerd in de sectie Aangepaste beveiligingskenmerken van diagnostische instellingen. In deze logboeken worden wijzigingen vastgelegd in aangepaste beveiligingskenmerken in uw Microsoft Entra-tenant. Als u deze logboeken in de Microsoft Entra-auditlogboeken wilt weergeven, hebt u de rol Kenmerklogboeklezer nodig. Als u deze logboeken naar een eindpunt wilt routeren, hebt u de rol Kenmerklogboekbeheerder en de beveiligingsbeheerder nodig.