Co to jest monitorowanie i kondycja firmy Microsoft Entra?
Funkcje monitorowania i kondycji firmy Microsoft Entra zapewniają kompleksowy wgląd w działania związane z tożsamościami w twoim środowisku. Te dane umożliwiają:
- Określ, jak użytkownicy korzystają z aplikacji i usług.
- Wykrywanie potencjalnych zagrożeń wpływających na kondycję środowiska.
- Rozwiązywanie problemów uniemożliwiających użytkownikom wykonywanie pracy.
- Uzyskaj szczegółowe informacje, sprawdzając zdarzenia inspekcji zmian w katalogu firmy Microsoft Entra.
Dzienniki logowania i inspekcji składają się z dzienników aktywności wielu raportów firmy Microsoft Entra, które mogą służyć do analizowania, monitorowania i rozwiązywania problemów z aktywnością w dzierżawie. Kierowanie dzienników aktywności do rozwiązania do analizy i monitorowania zapewnia lepszy wgląd w kondycję i zabezpieczenia dzierżawy.
W tym artykule opisano typy dzienników aktywności dostępnych w usłudze Microsoft Entra ID, raporty korzystające z dzienników oraz dostępne usługi monitorowania, które ułatwiają analizowanie danych.
Dzienniki aktywności tożsamości
Dzienniki aktywności pomagają zrozumieć zachowanie użytkowników w organizacji. Istnieją trzy typy dzienników aktywności w identyfikatorze Entra firmy Microsoft:
Dzienniki inspekcji obejmują historię każdego zadania wykonywanego w dzierżawie.
Dzienniki logowania przechwytują próby logowania użytkowników i aplikacji klienckich.
Dzienniki aprowizacji zawierają informacje dotyczące użytkowników aprowizowania w dzierżawie za pośrednictwem usługi innej firmy.
Dzienniki aktywności można wyświetlić w witrynie Azure Portal lub przy użyciu interfejsu API programu Microsoft Graph. Dzienniki aktywności można również kierować do różnych punktów końcowych na potrzeby magazynu lub analizy. Aby dowiedzieć się więcej o wszystkich opcjach wyświetlania dzienników aktywności, zobacz Jak uzyskać dostęp do dzienników aktywności.
Dzienniki inspekcji
Dzienniki inspekcji zawierają rekordy działań systemowych pod kątem zgodności. Te dane umożliwiają rozwiązywanie typowych scenariuszy, takich jak:
- Ktoś w mojej dzierżawie uzyskał dostęp do grupy administracyjnej. Kto dał im dostęp?
- Chcę znać listę użytkowników logowanych do określonej aplikacji, ponieważ niedawno dołączono aplikację i chcę wiedzieć, czy działa dobrze.
- Chcę wiedzieć, ile resetowania haseł dzieje się w mojej dzierżawie.
Dzienniki logowania
Dzienniki logowania umożliwiają znajdowanie odpowiedzi na pytania, takie jak:
- Jaki jest wzorzec logowania użytkownika?
- Ilu użytkowników zalogowało się w ciągu tygodnia?
- Jaki jest stan tych logów?
Dzienniki aprowizacji
Możesz użyć dzienników aprowizacji, aby znaleźć odpowiedzi na pytania, takie jak:
- Jakie grupy zostały pomyślnie utworzone w usłudze ServiceNow?
- Którzy użytkownicy zostali pomyślnie usunięci z firmy Adobe?
- Którzy użytkownicy z produktu Workday zostali pomyślnie utworzeni w usłudze Active Directory?
Raporty dotyczące tożsamości
Przeglądanie danych w dziennikach aktywności firmy Microsoft Entra może dostarczyć przydatnych informacji dla administratorów IT. Aby usprawnić proces przeglądania danych w kluczowych scenariuszach, utworzyliśmy kilka raportów dotyczących typowych scenariuszy korzystających z dzienników aktywności.
- Usługa Identity Protection używa danych logowania do tworzenia raportów dotyczących ryzykownych użytkowników i działań związanych z logowaniem.
- Działanie związane z aplikacjami, takie jak jednostka usługi i działanie poświadczeń aplikacji, są używane do tworzenia raportów w obszarze Użycie i szczegółowe informacje.
- Skoroszyty firmy Microsoft Entra umożliwiają dostosowywanie sposobu wyświetlania i analizowania dzienników aktywności.
- Rekomendacje firmy Microsoft Entra umożliwiają monitorowanie i ulepszanie zabezpieczeń dzierżawy.
- Firma Microsoft Entra Health przechwytuje globalne sygnały dotyczące poziomu usług i poziomu usług dla kilku kluczowych scenariuszy.
Monitorowanie tożsamości i kondycja dzierżawy
Przeglądanie dzienników aktywności firmy Microsoft Entra jest pierwszym krokiem w utrzymaniu i poprawie kondycji i bezpieczeństwa dzierżawy. Musisz przeanalizować dane, monitorować ryzykowne scenariusze i określić, gdzie można wprowadzić ulepszenia. Monitorowanie firmy Microsoft Entra udostępnia niezbędne narzędzia ułatwiające podejmowanie świadomych decyzji.
Monitorowanie dzienników aktywności firmy Microsoft Entra wymaga rozsyłania danych dziennika do rozwiązania do monitorowania i analizy. Punkty końcowe obejmują dzienniki usługi Azure Monitor, usługę Microsoft Sentinel lub narzędzie do zarządzania informacjami i zdarzeniami (SIEM) innej firmy.
- Przesyłanie strumieniowe dzienników do centrum zdarzeń w celu integracji z narzędziami SIEM innych firm.
- Integrowanie dzienników z dziennikami usługi Azure Monitor.
- Analizowanie dzienników przy użyciu dzienników usługi Azure Monitor i usługi Log Analytics.
Przypadki użycia
Sposób korzystania z dostępnych dzienników, raportów i usług monitorowania zależy od potrzeb organizacji. Aby lepiej określić priorytety przypadków użycia i rozwiązań, może to pomóc zobaczyć, jak te rozwiązania są ze sobą powiązane, jak się różnią i jak można ich używać razem.
Zagadnienia dotyczące
- Przechowywanie — przechowywanie dzienników: przechowywanie dzienników inspekcji i dzienniki logowania w usłudze Microsoft Entra dłużej niż 30 dni
- Analiza — dzienniki można przeszukiwać za pomocą narzędzi analitycznych
- Szczegółowe informacje dotyczące operacji i zabezpieczeń — zapewniają dostęp do użycia aplikacji, błędów logowania, samoobsługowego użycia, trendów itd.
- Integracja rozwiązania SIEM — integrowanie i przesyłanie strumieniowe dzienników logowania i dzienników inspekcji firmy Microsoft do systemów SIEM
Dzięki monitorowaniu firmy Microsoft Entra można kierować dzienniki aktywności firmy Microsoft i przechowywać je na potrzeby długoterminowego raportowania i analizy w celu uzyskania szczegółowych informacji o środowisku oraz zintegrować je z narzędziami SIEM. Użyj poniższego wykresu blokowego podejmowania decyzji, aby pomóc wybrać architekturę.
Aby zapoznać się z omówieniem sposobu uzyskiwania dostępu do dzienników aktywności, ich przechowywania i analizowania, zobacz Jak uzyskać dostęp do dzienników aktywności.