Jak uzyskać dostęp do dzienników aktywności w Microsoft Entra ID

Dane zebrane w dziennikach Microsoft Entra umożliwiają ocenę wielu aspektów Twojej dzierżawy Microsoft Entra. Aby uwzględnić szeroką gamę scenariuszy, identyfikator Entra firmy Microsoft udostępnia kilka opcji uzyskiwania dostępu do danych dziennika aktywności. Jako administrator IT musisz zrozumieć zamierzone przypadki użycia dla tych opcji, aby można było wybrać odpowiednią metodę dostępu dla danego scenariusza.

Dostęp do dzienników aktywności i raportów firmy Microsoft entra można uzyskać przy użyciu następujących metod:

• Strumieniuj dzienniki aktywności do centrum zdarzeń w celu integracji z innymi narzędziami
• Uzyskiwanie dostępu do dzienników aktywności za pośrednictwem interfejsu API programu Microsoft Graph
• Integrowanie dzienników aktywności z dziennikami usługi Azure Monitor
• Monitorowanie aktywności w czasie rzeczywistym za pomocą usługi Microsoft Sentinel
• Wyświetlanie dzienników aktywności i raportów w centrum administracyjnym Microsoft Entra
• Eksportowanie logów aktywności do przechowywania i przeszukiwania

Każda z tych metod zapewnia możliwości, które mogą być zgodne z niektórymi scenariuszami. W tym artykule opisano te scenariusze, w tym zalecenia i szczegółowe informacje o powiązanych raportach, które używają danych w dziennikach aktywności. Zapoznaj się z opcjami w tym artykule, aby dowiedzieć się więcej o tych scenariuszach, aby wybrać właściwą metodę.

Wymagania wstępne

• Działająca dzierżawa Microsoft Entra z odpowiednią licencją Microsoft Entra z nią skojarzoną. Aby uzyskać pełną listę wymagań dotyczących licencji, zobacz Licencjonowanie monitorowania i kondycji Microsoft Entra.
• Czytelnik raportów jest najmniej uprzywilejowaną rolą wymaganą do uzyskania dostępu do dzienników aktywności.
• Administrator zabezpieczeń jest najmniej uprzywilejowaną rolą wymaganą do skonfigurowania ustawień diagnostycznych.
• Dzienniki inspekcji są dostępne dla funkcji, które zostały licencjonowane.
• Aby wyrazić zgodę na wymagane uprawnienia do wyświetlania dzienników za pomocą programu Microsoft Graph, potrzebny jest administrator ról uprzywilejowanych.
• Aby uzyskać pełną listę ról, zobacz Najmniej uprzywilejowana rola według zadania.

Wymagane licencje różnią się w zależności od zdolności monitorowania i stanu systemu.

Zdolność	Microsoft Entra ID Bezpłatny	Microsoft Entra ID P1 lub P2 / Microsoft Entra Suite
Dzienniki inspekcji	Tak	Tak
Dzienniki logowania	Tak	Tak
Dzienniki konfigurowania	Nie.	Tak
Niestandardowe atrybuty zabezpieczeń	Tak	Tak
Służba zdrowia	Nie.	Tak
Dzienniki aktywności programu Microsoft Graph	Nie.	Tak
Użycie i szczegółowe informacje	Nie.	Tak

Wyświetlanie dzienników za pośrednictwem centrum administracyjnego firmy Microsoft Entra

W przypadku jednorazowych badań z ograniczonym zakresem centrum administracyjne firmy Microsoft Entra jest często najprostszym sposobem znalezienia potrzebnych danych. Interfejs użytkownika dla każdego z tych raportów zawiera opcje filtrowania umożliwiające znalezienie wpisów, które należy rozwiązać w scenariuszu.

Dane przechwycone w dziennikach aktywności firmy Microsoft są używane w wielu raportach i usługach. Możesz przejrzeć dzienniki logowania, inspekcji i aprowizacji dla scenariuszy jednorazowych lub użyć raportów, aby przyjrzeć się wzorom i trendom. Dane z dzienników aktywności ułatwiają wypełnianie raportów usługi Identity Protection, które zapewniają wykrywanie zagrożeń związanych z zabezpieczeniami informacji, których identyfikator Entra firmy Microsoft może wykrywać i zgłaszać. Dzienniki aktywności Microsoft Entra także wypełniają raporty dotyczące użytkowania i statystyk, które dostarczają szczegółowych informacji o użyciu aplikacji dzierżawcy.

Zalecane zastosowania

Raporty dostępne w portalu Azure zapewniają szerokie możliwości monitorowania działań i użycia w dzierżawie. Poniższa lista zastosowań i scenariuszy nie jest wyczerpująca, dlatego zapoznaj się z raportami dla Twoich potrzeb.

• Zbadaj aktywność logowania użytkownika lub śledź użycie aplikacji.
• Przejrzyj szczegółowe informacje dotyczące zmian nazw grup, rejestracji urządzeń i resetowania haseł za pomocą dzienników inspekcji.
• Raporty usługi Identity Protection służą do monitorowania zagrożonych użytkowników, ryzykownych tożsamości związanych z obciążeniami oraz ryzykownych logowań.
• Przejrzyj wskaźnik powodzenia logowania w raporcie Aktywność aplikacji Microsoft Entra (wersja zapoznawcza) z sekcji Użytkowanie i wgląd, aby upewnić się, że użytkownicy mogą uzyskiwać dostęp do aplikacji używanych w twojej dzierżawie.
• Porównaj różne metody uwierzytelniania preferowane przez użytkowników z raportem Metody uwierzytelniania z sekcji Użycie i szczegółowe informacje.

Szybkie kroki

Aby uzyskać dostęp do raportów w centrum administracyjnym firmy Microsoft Entra, wykonaj następujące podstawowe kroki.

Dzienniki aktywności firmy Microsoft Entra

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.
2. Przejdź do Entra ID>Monitorowanie i stan zdrowia>Dzienniki inspekcji/Dzienniki logowania/Dzienniki aprowizacji.
3. Dostosuj filtr zgodnie z potrzebami.
   • Dowiedz się, jak filtrować dzienniki aktywności
   • Eksplorowanie kategorii i działań dziennika inspekcji firmy Microsoft Entra
   • Dowiedz się więcej o podstawowych informacjach w dziennikach logowania firmy Microsoft

Dostęp do dzienników inspekcji można uzyskać bezpośrednio z poziomu centrum administracyjnego firmy Microsoft Entra, w którym pracujesz. Jeśli na przykład jesteś w sekcji Grupy lub licencje identyfikatora Entra firmy Microsoft, możesz uzyskać dostęp do dzienników inspekcji dla tych konkretnych działań bezpośrednio z tego obszaru. Gdy uzyskujesz dostęp do dzienników inspekcji w ten sposób, kategorie filtrów są ustawiane automatycznie. Na przykład, jeśli jesteś w Grupach , kategoria filtru dziennika inspekcji jest ustawiona na ZarządzanieGrupami .

raporty Ochrona tożsamości Microsoft Entra

1. Przejdź do ochrony identyfikatorów>pulpitu nawigacyjnego.
2. Zapoznaj się z dostępnymi raportami.
   • Dowiedz się więcej o usłudze Identity Protection
   • Dowiedz się, jak badać ryzyko

Raporty użycia i analizy

1. Przejdź do strony Entra ID>Monitorowanie i kondycja>Użycie i wnioski.
2. Zapoznaj się z dostępnymi raportami.
   • Dowiedz się więcej o raporcie dotyczącym użycia i analiz

Przesyłanie dzienników do Event Hub, aby zintegrować z narzędziami SIEM

Przesyłanie strumieniowe dzienników aktywności do centrum zdarzeń jest wymagane do zintegrowania dzienników aktywności z narzędziami do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), takimi jak Splunk i SumoLogic. Aby można było przesyłać strumieniowo dzienniki do centrum zdarzeń, należy skonfigurować przestrzeń nazw usługi Event Hubs i centrum zdarzeń w ramach subskrypcji platformy Azure.

Zalecane zastosowania

Narzędzia SIEM, które można zintegrować z centrum zdarzeń, mogą zapewnić możliwości analizy i monitorowania. Jeśli już używasz tych narzędzi do pozyskiwania danych z innych źródeł, możesz przesyłać strumieniowo dane tożsamości w celu uzyskania bardziej kompleksowej analizy i monitorowania. Sugerujemy transmisję strumieniową dzienników aktywności do centrum zdarzeń dla następujących typów scenariuszy:

• Potrzebujesz platformy big data do przesyłania strumieniowego oraz usługi pozyskiwania zdarzeń, aby odbierać i przetwarzać miliony zdarzeń na sekundę.
• Zamierzasz przekształcić i przechowywać dane przy użyciu dostawcy analityki czasu rzeczywistego lub adapterów wsadowych/magazynowych.

Szybkie kroki

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
2. Utwórz przestrzeń nazw usługi Event Hubs i centrum zdarzeń.
3. Przejdź do Entra ID>monitorowania i kondycji>ustawień diagnostycznych.
4. Wybierz dzienniki, które chcesz przesyłać strumieniowo, wybierz opcję Przesyłaj strumieniowo do centrum zdarzeń i wypełnij pola.
   • Skonfiguruj przestrzeń nazw usługi Event Hubs i centrum zdarzeń
   • Dowiedz się więcej na temat przekazywania dzienników aktywności do centrum zdarzeń

Niezależny dostawca zabezpieczeń powinien przekazać instrukcje dotyczące pozyskiwania danych z usługi Azure Event Hubs do ich narzędzia.

Uzyskiwanie dostępu do dzienników za pomocą interfejsu API programu Microsoft Graph

Interfejs API programu Microsoft Graph udostępnia ujednolicony model programowy, którego można użyć do uzyskiwania dostępu do danych dla dzierżaw firmy Microsoft Entra ID P1 lub P2. Nie wymaga to od administratora ani dewelopera skonfigurowania dodatkowej infrastruktury w celu obsługi skryptu lub aplikacji.

Zalecane zastosowania

Za pomocą Eksploratora programu Microsoft Graph można uruchamiać zapytania, aby ułatwić wykonywanie następujących typów scenariuszy:

• Wyświetl działania najemcy, takie jak kto dokonał zmiany w grupie i kiedy.
• Oznacz zdarzenie logowania w usłudze Microsoft Entra jako bezpieczne lub potwierdzone jako naruszone.
• Pobierz listę logowań aplikacji z ostatnich 30 dni.

Uwaga

Program Microsoft Graph umożliwia dostęp do danych z wielu usług, które nakładają własne limity ograniczania przepustowości. Aby uzyskać więcej informacji na temat ograniczania przepustowości dziennika aktywności, zobacz ograniczenia przepustowości specyficzne dla usługi Microsoft Graph.

Szybkie kroki

1. Skonfiguruj wymagania wstępne.
2. Zaloguj się do Eksploratora programu Graph.
3. Ustaw metodę HTTP i wersję interfejsu API.
4. Dodaj zapytanie, a następnie wybierz przycisk Uruchom zapytanie .
   • Zapoznaj się z właściwościami programu Microsoft Graph na potrzeby inspekcji katalogów
   • Ukończ przewodnik Szybki start dotyczący programu MS Graph

Integrowanie dzienników z dziennikami usługi Azure Monitor

Dzięki integracji dzienników usługi Azure Monitor można włączyć zaawansowane wizualizacje, monitorowanie i alerty dotyczące połączonych danych. Usługa Log Analytics udostępnia ulepszone funkcje zapytań i analizy dzienników aktywności firmy Microsoft Entra. Aby zintegrować dzienniki aktywności firmy Microsoft Entra z dziennikami usługi Azure Monitor, potrzebujesz obszaru roboczego usługi Log Analytics. Z tego miejsca możesz uruchamiać zapytania za pośrednictwem usługi Log Analytics.

Zalecane zastosowania

Zintegrowanie dzienników firmy Microsoft Entra z dziennikami usługi Azure Monitor zapewnia scentralizowaną lokalizację do wykonywania zapytań dotyczących dzienników. Zalecamy zintegrowanie dzienników z usługą Azure Monitor dla następujących typów scenariuszy:

• Porównaj dzienniki logowania firmy Microsoft Entra z dziennikami opublikowanymi przez inne usługi platformy Azure.
• Porównaj dzienniki logowania z Azure Application Insights.
• Przeszukiwanie dzienników przy użyciu określonych parametrów.

Szybkie kroki

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
2. Utwórz obszar roboczy usługi Log Analytics.
3. Przejdź do Entra ID>monitorowania i kondycji>ustawień diagnostycznych.
4. Wybierz dzienniki, które chcesz przesłać strumieniowo, wybierz opcję Wyślij do obszaru roboczego usługi Log Analytics i wypełnij pola.
5. Przejdź do witryny Entra ID>Monitoring & health>Log Analytics i rozpocznij wykonywanie zapytań dotyczących danych.
   • Integrowanie dzienników firmy Microsoft Entra z dziennikami usługi Azure Monitor
   • Dowiedz się, jak wykonywać zapytania przy użyciu usługi Log Analytics

Monitorowanie zdarzeń za pomocą usługi Microsoft Sentinel

Wysyłanie dzienników logowania i inspekcji do usługi Microsoft Sentinel zapewnia centrum operacyjnemu zabezpieczeń niemal rzeczywiste wykrywanie zagrożeń i poszukiwanie ich. Termin wyszukiwanie zagrożeń odnosi się do proaktywnego podejścia w celu poprawy stanu zabezpieczeń środowiska. W przeciwieństwie do ochrony klasycznej wyszukiwanie zagrożeń próbuje aktywnie identyfikować potencjalne zagrożenia, które mogą zaszkodzić systemowi. Dane dziennika aktywności mogą być częścią rozwiązania do wyszukiwania zagrożeń.

Zalecane zastosowania

Zalecamy korzystanie z funkcji wykrywania zabezpieczeń w czasie rzeczywistym usługi Microsoft Sentinel, jeśli Twoja organizacja potrzebuje analizy zabezpieczeń i analizy zagrożeń. Użyj usługi Microsoft Sentinel, jeśli potrzebujesz:

• Zbieraj dane zabezpieczeń w całym przedsiębiorstwie.
• Wykrywanie zagrożeń za pomocą ogromnej analizy zagrożeń.
• Zbadaj krytyczne incydenty z wykorzystaniem sztucznej inteligencji.
• Szybkie reagowanie i automatyzowanie ochrony.

Szybkie kroki

1. Dowiedz się więcej o wymaganiach wstępnych, rolach i uprawnieniach.
2. Szacowanie potencjalnych kosztów.
3. Dołącz do usługi Microsoft Sentinel.
4. Zbieranie danych Microsoft Entra.
5. Rozpocznij wyszukiwanie zagrożeń.

Eksportowanie dzienników do przechowywania i zapytań

Odpowiednie rozwiązanie dla magazynu długoterminowego zależy od budżetu i tego, co planujesz robić z danymi. Dostępne są trzy opcje:

• Archiwizowanie dzienników w usłudze Azure Storage
• Pobieranie dzienników do przechowywania ręcznego
• Integrowanie dzienników z dziennikami usługi Azure Monitor

Usługa Azure Storage jest właściwym rozwiązaniem, jeśli często nie planujesz wykonywania zapytań dotyczących danych. Aby uzyskać więcej informacji, zobacz Archiwizowanie dzienników katalogów do konta magazynu.

Jeśli planujesz często wykonywać zapytania dotyczące dzienników w celu uruchamiania raportów lub przeprowadzania analizy przechowywanych dzienników, należy zintegrować dane z dziennikami usługi Azure Monitor.

Jeśli budżet jest napięty i potrzebujesz taniej metody, aby utworzyć długoterminową kopię zapasową dzienników aktywności, możesz ręcznie pobrać dzienniki. Interfejs użytkownika dzienników aktywności w portalu udostępnia opcję pobierania danych w formacie JSON lub CSV. Jednym z kompromisów ręcznego pobierania jest to, że wymaga więcej interakcji ręcznych. Jeśli szukasz bardziej profesjonalnego rozwiązania, użyj usługi Azure Storage lub Usługi Azure Monitor.

Zalecane zastosowania

Rekomendujemy założenie konta przechowywania w celu zarchiwizowania dzienników aktywności dla scenariuszy zarządzania i zgodności, w których wymagane jest długoterminowe przechowywanie.

Jeśli chcesz długoterminowego przechowywania i chcesz uruchamiać zapytania względem danych, zapoznaj się z sekcją dotyczącą integrowania dzienników aktywności z dziennikami usługi Azure Monitor.

Zalecamy ręczne pobieranie i przechowywanie dzienników aktywności, jeśli masz ograniczenia budżetowe.

Szybkie kroki

Wykonaj następujące podstawowe kroki, aby zarchiwizować lub pobrać dzienniki aktywności.

Archiwizowanie dzienników aktywności na koncie magazynowym

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
2. Create a storage account (Tworzenie konta magazynu).
3. Przejdź do Entra ID>monitorowania i kondycji>ustawień diagnostycznych.
4. Wybierz dzienniki, które chcesz przesyłać strumieniowo, zaznacz opcję Archiwizowania na konto magazynu i wypełnij pola.
   • Przeglądanie zasad przechowywania danych

Ręczne pobieranie dzienników aktywności

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.
2. Przejdź do Entra ID>Monitorowanie i zdrowie>Dzienniki inspekcji/Dzienniki logowania/Dzienniki aprowizacji z menu Monitorowanie.
3. Wybierz Pobierz.
   • Dowiedz się więcej na temat pobierania dzienników.

Następne kroki

• Przesyłanie strumieniowe dzienników do centrum zdarzeń
• Archiwizacja dzienników na koncie magazynowym
• Integrowanie dzienników z dziennikami usługi Azure Monitor