Jak uzyskać dostęp do dzienników aktywności w identyfikatorze Entra firmy Microsoft

Dane zebrane w dziennikach firmy Microsoft Entra umożliwiają ocenę wielu aspektów dzierżawy firmy Microsoft Entra. Aby uwzględnić szeroką gamę scenariuszy, identyfikator Entra firmy Microsoft udostępnia kilka opcji uzyskiwania dostępu do danych dziennika aktywności. Jako administrator IT musisz zrozumieć zamierzone przypadki użycia dla tych opcji, aby można było wybrać odpowiednią metodę dostępu dla danego scenariusza.

Dostęp do dzienników aktywności i raportów firmy Microsoft entra można uzyskać przy użyciu następujących metod:

• Przesyłanie strumieniowe dzienników aktywności do centrum zdarzeń w celu integracji z innymi narzędziami
• Uzyskiwanie dostępu do dzienników aktywności za pośrednictwem interfejsu API programu Microsoft Graph
• Integrowanie dzienników aktywności z dziennikami usługi Azure Monitor
• Monitorowanie aktywności w czasie rzeczywistym za pomocą usługi Microsoft Sentinel
• Wyświetlanie dzienników aktywności i raportów w witrynie Azure Portal
• Eksportowanie dzienników aktywności dla magazynu i zapytań

Każda z tych metod zapewnia możliwości, które mogą być zgodne z niektórymi scenariuszami. W tym artykule opisano te scenariusze, w tym zalecenia i szczegółowe informacje o powiązanych raportach, które używają danych w dziennikach aktywności. Zapoznaj się z opcjami w tym artykule, aby dowiedzieć się więcej o tych scenariuszach, aby wybrać właściwą metodę.

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Wymagania wstępne

Wymagane role i licencje mogą się różnić w zależności od raportu. Globalne Administracja istratory mogą uzyskiwać dostęp do wszystkich raportów, ale zalecamy użycie roli z dostępem do najmniejszych uprawnień, aby dopasować je do wskazówek dotyczących zera zaufania.

Dziennik/raport	Role	Licencje
Audit	Czytelnik raportów Czytelnik zabezpieczeń Administrator zabezpieczeń Czytelnik globalny	Wszystkie wersje identyfikatora Entra firmy Microsoft
Logowania	Czytelnik raportów Czytelnik zabezpieczeń Administrator zabezpieczeń Czytelnik globalny	Wszystkie wersje identyfikatora Entra firmy Microsoft
Inicjowanie obsługi	Tak samo jak inspekcja i logowania oraz Operator zabezpieczeń Administrator aplikacji Administracja istrator aplikacji w chmurze Rola niestandardowa z uprawnieniami provisioningLogs	Premium P1 lub P2
Użycie i szczegółowe informacje	Czytelnik zabezpieczeń Czytelnik raportów Administrator zabezpieczeń	Premium P1 lub P2
Ochrona tożsamości*	Administrator zabezpieczeń Operator zabezpieczeń Czytelnik zabezpieczeń Czytelnik globalny	Microsoft Entra ID Free/Aplikacje Microsoft 365 Microsoft Entra ID P1 lub P2

*Poziom dostępu i możliwości usługi Identity Protection różni się w zależności od roli i licencji. Aby uzyskać więcej informacji, zobacz wymagania licencyjne dotyczące usługi Identity Protection.

Dzienniki inspekcji są dostępne dla funkcji, które zostały licencjonowane. Aby uzyskać dostęp do dzienników logowania przy użyciu interfejsu API programu Microsoft Graph, dzierżawa musi mieć skojarzoną licencję Microsoft Entra ID P1 lub P2.

Przesyłanie strumieniowe dzienników do centrum zdarzeń w celu integracji z narzędziami SIEM

Przesyłanie strumieniowe dzienników aktywności do centrum zdarzeń jest wymagane do zintegrowania dzienników aktywności z narzędziami do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), takimi jak Splunk i SumoLogic. Aby można było przesyłać strumieniowo dzienniki do centrum zdarzeń, należy skonfigurować przestrzeń nazw usługi Event Hubs i centrum zdarzeń w ramach subskrypcji platformy Azure.

Zalecane zastosowania

Narzędzia SIEM, które można zintegrować z centrum zdarzeń, mogą zapewnić możliwości analizy i monitorowania. Jeśli już używasz tych narzędzi do pozyskiwania danych z innych źródeł, możesz przesyłać strumieniowo dane tożsamości w celu uzyskania bardziej kompleksowej analizy i monitorowania. Zalecamy przesyłanie strumieniowe dzienników aktywności do centrum zdarzeń dla następujących typów scenariuszy:

• Jeśli potrzebujesz platformy przesyłania strumieniowego danych big data i usługi pozyskiwania zdarzeń, aby odbierać i przetwarzać miliony zdarzeń na sekundę.
• Jeśli chcesz przekształcić i przechowywać dane przy użyciu dostawcy analizy w czasie rzeczywistym lub adapterów przetwarzania wsadowego/magazynu.

Szybkie kroki

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zabezpieczeń.
2. Utwórz przestrzeń nazw usługi Event Hubs i centrum zdarzeń.
3. Przejdź do pozycji Ustawienia diagnostyczne kondycji>monitorowania & tożsamości.>
4. Wybierz dzienniki, które chcesz przesłać strumieniowo, wybierz opcję Stream do centrum zdarzeń i wypełnij pola.
   • Konfigurowanie przestrzeni nazw usługi Event Hubs i centrum zdarzeń
   • Dowiedz się więcej na temat przesyłania strumieniowego dzienników aktywności do centrum zdarzeń

Niezależny dostawca zabezpieczeń powinien przekazać instrukcje dotyczące pozyskiwania danych z usługi Azure Event Hubs do ich narzędzia.

Uzyskiwanie dostępu do dzienników za pomocą interfejsu API programu Microsoft Graph

Interfejs API programu Microsoft Graph udostępnia ujednolicony model programowy, którego można użyć do uzyskiwania dostępu do danych dla dzierżaw firmy Microsoft Entra ID P1 lub P2. Nie wymaga to od administratora ani dewelopera skonfigurowania dodatkowej infrastruktury w celu obsługi skryptu lub aplikacji.

Zalecane zastosowania

Za pomocą Eksploratora programu Microsoft Graph można uruchamiać zapytania, aby ułatwić wykonywanie następujących typów scenariuszy:

• Wyświetl działania dzierżawy, takie jak osoba, która dokonała zmiany w grupie i kiedy.
• Oznacz zdarzenie logowania w usłudze Microsoft Entra jako bezpieczne lub potwierdzone naruszenie zabezpieczeń.
• Pobierz listę logów aplikacji z ostatnich 30 dni.

Szybkie kroki

1. Skonfiguruj wymagania wstępne.
2. Zaloguj się do Eksploratora programu Graph.
3. Ustaw metodę HTTP i wersję interfejsu API.
4. Dodaj zapytanie, a następnie wybierz przycisk Uruchom zapytanie .
   • Zapoznaj się z właściwościami programu Microsoft Graph na potrzeby inspekcji katalogów
   • Ukończ przewodnik Szybki start dotyczący programu MS Graph

Integrowanie dzienników z dziennikami usługi Azure Monitor

Dzięki integracji dzienników usługi Azure Monitor można włączyć zaawansowane wizualizacje, monitorowanie i alerty dotyczące połączonych danych. Usługa Log Analytics udostępnia ulepszone funkcje zapytań i analizy dzienników aktywności firmy Microsoft Entra. Aby zintegrować dzienniki aktywności firmy Microsoft Entra z dziennikami usługi Azure Monitor, potrzebujesz obszaru roboczego usługi Log Analytics. Z tego miejsca możesz uruchamiać zapytania za pośrednictwem usługi Log Analytics.

Zalecane zastosowania

Zintegrowanie dzienników firmy Microsoft Entra z dziennikami usługi Azure Monitor zapewnia scentralizowaną lokalizację do wykonywania zapytań dotyczących dzienników. Zalecamy zintegrowanie dzienników z dziennikami usługi Azure Monitor dla następujących typów scenariuszy:

• Porównaj dzienniki logowania firmy Microsoft Entra z dziennikami opublikowanymi przez inne usługi platformy Azure.
• Korelowanie dzienników logowania z aplikacja systemu Azure szczegółowych informacji.
• Wykonywanie zapytań dotyczących dzienników przy użyciu określonych parametrów wyszukiwania.

Szybkie kroki

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zabezpieczeń.
2. Utwórz obszar roboczy usługi Log Analytics.
3. Przejdź do pozycji Ustawienia diagnostyczne kondycji>monitorowania & tożsamości.>
4. Wybierz dzienniki, które chcesz przesłać strumieniowo, wybierz opcję Wyślij do obszaru roboczego usługi Log Analytics i wypełnij pola.
5. Przejdź do usługi Log Analytics monitorowania &>tożsamości>i rozpocznij wykonywanie zapytań dotyczących danych.
   • Integrowanie dzienników firmy Microsoft Entra z dziennikami usługi Azure Monitor
   • Dowiedz się, jak wykonywać zapytania przy użyciu usługi Log Analytics

Monitorowanie zdarzeń za pomocą usługi Microsoft Sentinel

Wysyłanie dzienników logowania i inspekcji do usługi Microsoft Sentinel zapewnia centrum operacji zabezpieczeń z wykrywaniem zabezpieczeń i wyszukiwaniem zagrożeń w czasie rzeczywistym. Termin wyszukiwanie zagrożeń odnosi się do proaktywnego podejścia w celu poprawy stanu zabezpieczeń środowiska. W przeciwieństwie do ochrony klasycznej wyszukiwanie zagrożeń próbuje aktywnie identyfikować potencjalne zagrożenia, które mogą zaszkodzić systemowi. Dane dziennika aktywności mogą być częścią rozwiązania do wyszukiwania zagrożeń.

Zalecane zastosowania

Zalecamy korzystanie z funkcji wykrywania zabezpieczeń w czasie rzeczywistym usługi Microsoft Sentinel, jeśli Twoja organizacja potrzebuje analizy zabezpieczeń i analizy zagrożeń. Użyj usługi Microsoft Sentinel, jeśli potrzebujesz:

• Zbieranie danych zabezpieczeń w przedsiębiorstwie.
• Wykrywanie zagrożeń za pomocą ogromnej analizy zagrożeń.
• Badanie krytycznych zdarzeń kierowanych przez sztuczną inteligencję.
• Szybkie reagowanie i automatyzowanie ochrony.

Szybkie kroki

1. Dowiedz się więcej o wymaganiach wstępnych, rolach i uprawnieniach.
2. Szacowanie potencjalnych kosztów.
3. Dołącz do usługi Microsoft Sentinel.
4. Zbieranie danych firmy Microsoft Entra.
5. Rozpocznij wyszukiwanie zagrożeń.

Wyświetlanie dzienników za pośrednictwem centrum administracyjnego firmy Microsoft Entra

W przypadku jednorazowych badań z ograniczonym zakresem centrum administracyjne firmy Microsoft Entra jest często najprostszym sposobem znalezienia potrzebnych danych. Interfejs użytkownika dla każdego z tych raportów zawiera opcje filtrowania umożliwiające znalezienie wpisów, które należy rozwiązać w scenariuszu.

Dane przechwycone w dziennikach aktywności firmy Microsoft są używane w wielu raportach i usługach. Możesz przejrzeć dzienniki logowania, inspekcji i aprowizacji dla scenariuszy jednorazowych lub użyć raportów, aby przyjrzeć się wzorom i trendom. Dane z dzienników aktywności ułatwiają wypełnianie raportów usługi Identity Protection, które zapewniają wykrywanie zagrożeń związanych z zabezpieczeniami informacji, których identyfikator Entra firmy Microsoft może wykrywać i zgłaszać. Dzienniki aktywności firmy Microsoft entra wypełniają również raporty użycia i szczegółowych informacji, które zawierają szczegóły użycia aplikacji dzierżawy.

Zalecane zastosowania

Raporty dostępne w witrynie Azure Portal zapewniają szeroką gamę możliwości monitorowania działań i użycia w dzierżawie. Poniższa lista zastosowań i scenariuszy nie jest wyczerpująca, dlatego zapoznaj się z raportami dla Twoich potrzeb.

• Zbadaj aktywność logowania użytkownika lub śledź użycie aplikacji.
• Przejrzyj szczegółowe informacje dotyczące zmian nazw grup, rejestracji urządzeń i resetowania haseł za pomocą dzienników inspekcji.
• Raporty usługi Identity Protection służą do monitorowania zagrożonych użytkowników, ryzykownych tożsamości obciążeń i ryzykownych logowań.
• Aby upewnić się, że użytkownicy mogą uzyskiwać dostęp do aplikacji używanych w dzierżawie, możesz przejrzeć wskaźnik powodzenia logowania w raporcie Aktywności aplikacji Microsoft Entra (wersja zapoznawcza) z sekcji Użycie i szczegółowe informacje.
• Porównaj różne metody uwierzytelniania preferowane przez użytkowników z raportem Metody uwierzytelniania z sekcji Użycie i szczegółowe informacje.

Szybkie kroki

Aby uzyskać dostęp do raportów w centrum administracyjnym firmy Microsoft Entra, wykonaj następujące podstawowe kroki.

Dzienniki aktywności firmy Microsoft Entra

1. Przejdź do obszaru Dzienniki inspekcji kondycji monitorowania&> tożsamości>Dzienniki/logowania Dzienniki/aprowizacji.
2. Dostosuj filtr zgodnie z potrzebami.
   • Dowiedz się, jak filtrować dzienniki aktywności
   • Eksplorowanie kategorii i działań dziennika inspekcji firmy Microsoft Entra
   • Dowiedz się więcej o podstawowych informacjach w dziennikach logowania firmy Microsoft

raporty Ochrona tożsamości Microsoft Entra

1. Przejdź do sekcji Ochrona tożsamości.>
2. Zapoznaj się z dostępnymi raportami.
   • Dowiedz się więcej o usłudze Identity Protection
   • Dowiedz się, jak badać ryzyko

Raporty użycia i szczegółowych informacji

1. Przejdź do strony Identity Monitoring health Usage and insights (Użycie i szczegółowe informacje dotyczące kondycji>monitorowania & tożsamości).>
2. Zapoznaj się z dostępnymi raportami.
   • Dowiedz się więcej o raporcie Użycie i szczegółowe informacje

Eksportowanie dzienników dla magazynu i zapytań

Odpowiednie rozwiązanie dla magazynu długoterminowego zależy od budżetu i tego, co planujesz robić z danymi. Dostępne są trzy opcje:

• Archiwizowanie dzienników w usłudze Azure Storage
• Pobieranie dzienników dla magazynu ręcznego
• Integrowanie dzienników z dziennikami usługi Azure Monitor

Usługa Azure Storage jest właściwym rozwiązaniem, jeśli często nie planujesz wykonywania zapytań dotyczących danych. Aby uzyskać więcej informacji, zobacz Archiwizowanie dzienników katalogów na koncie magazynu.

Jeśli planujesz często wykonywać zapytania dotyczące dzienników w celu uruchamiania raportów lub przeprowadzania analizy przechowywanych dzienników, należy zintegrować dane z dziennikami usługi Azure Monitor.

Jeśli budżet jest napięty i potrzebujesz taniej metody, aby utworzyć długoterminową kopię zapasową dzienników aktywności, możesz ręcznie pobrać dzienniki. Interfejs użytkownika dzienników aktywności w portalu udostępnia opcję pobierania danych w formacie JSON lub CSV. Jednym z kompromisów ręcznego pobierania jest to, że wymaga więcej interakcji ręcznych. Jeśli szukasz bardziej profesjonalnego rozwiązania, użyj usługi Azure Storage lub Usługi Azure Monitor.

Zalecane zastosowania

Zalecamy skonfigurowanie konta magazynu w celu zarchiwizowania dzienników aktywności dla scenariuszy zapewniania ładu i zgodności, w których wymagany jest długoterminowy magazyn.

Jeśli chcesz długoterminowego magazynu i chcesz uruchamiać zapytania względem danych, zapoznaj się z sekcją dotyczącą integrowania dzienników aktywności z dziennikami usługi Azure Monitor.

Zalecamy ręczne pobieranie i przechowywanie dzienników aktywności, jeśli masz ograniczenia budżetowe.

Szybkie kroki

Wykonaj następujące podstawowe kroki, aby zarchiwizować lub pobrać dzienniki aktywności.

Archiwizowanie dzienników aktywności na koncie magazynu

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zabezpieczeń.
2. Create a storage account (Tworzenie konta magazynu).
3. Przejdź do pozycji Ustawienia diagnostyczne kondycji>monitorowania & tożsamości.>
4. Wybierz dzienniki, które chcesz przesłać strumieniowo, wybierz opcję Archiwum na koncie magazynu i wypełnij pola.
   • Przeglądanie zasad przechowywania danych

Ręczne pobieranie dzienników aktywności

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.
2. Przejdź do obszaru Dzienniki inspekcji kondycji>monitorowania & tożsamości>Dzienniki logowania Dzienniki// aprowizacji z menu Monitorowanie.
3. Wybierz Pobierz.
   • Dowiedz się więcej na temat pobierania dzienników.

Następne kroki

• Przesyłanie strumieniowe dzienników do centrum zdarzeń
• Archiwizowanie dzienników na koncie magazynu
• Integrowanie dzienników z dziennikami usługi Azure Monitor