Доступ к журналам действий в идентификаторе Microsoft Entra

Данные, собранные в журналах Microsoft Entra, позволяют оценить множество аспектов клиента Microsoft Entra. Чтобы охватывать широкий спектр сценариев, идентификатор Microsoft Entra предоставляет несколько вариантов доступа к данным журнала действий. Как ИТ-администратору вам нужно понимать случаи использования этих вариантов, чтобы выбрать подходящий метод доступа для вашей ситуации.

Вы можете получить доступ к журналам действий и отчетам Microsoft Entra с помощью следующих методов:

• Потоковая передача журналов действий в концентратор событий для интеграции с другими инструментами
• Доступ к журналам действий через API Microsoft Graph
• Интеграция журналов действий с журналами Azure Monitor
• Мониторинг действий в режиме реального времени с помощью Microsoft Sentinel
• Просмотр журналов действий и отчетов в портал Azure
• Экспорт журналов действий для хранилища и запросов

Каждый из этих методов предоставляет возможности, которые могут соответствовать определенным сценариям. В этой статье описываются эти сценарии, включая рекомендации и сведения о связанных отчетах, использующих данные в журналах действий. Ознакомьтесь с параметрами, приведенными в этой статье, чтобы узнать об этих сценариях, чтобы выбрать правильный метод.

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Необходимые компоненты

Требуемые роли и лицензии могут отличаться в зависимости от отчета. Глобальные Администратор istrator могут получить доступ ко всем отчетам, но мы рекомендуем использовать роль с минимальными привилегиями для согласования с руководством по нулю доверия.

Журнал или отчет	Роли	Лицензии
Аудит	Читатель отчетов Читатель сведений о безопасности Администратор безопасности Глобальный читатель	Все выпуски идентификатора Microsoft Entra
Вход в систему	Читатель отчетов Читатель сведений о безопасности Администратор безопасности Глобальный читатель	Все выпуски идентификатора Microsoft Entra
Подготовка	Аналогично аудиту и входу, а также Оператор безопасности Администратор приложений Cloud App Администратор istrator Настраиваемая роль с разрешением provisioningLogs	Премиум P1 или P2
Потребление и аналитические сведения	Читатель сведений о безопасности Читатель отчетов Администратор безопасности	Премиум P1 или P2
Защита идентификации*	Администратор безопасности Оператор безопасности Читатель сведений о безопасности Глобальный читатель	Бесплатный и Приложения Microsoft 365 идентификатора Microsoft Entra Microsoft Entra ID P1 или P2

*Уровень доступа и возможностей защиты идентификации зависит от роли и лицензии. Дополнительные сведения см. в требованиях к лицензии для защиты идентификации.

Журналы аудита доступны для функций, которые вы лицензировали. Чтобы получить доступ к журналам входа с помощью API Microsoft Graph, клиент должен иметь лицензию Microsoft Entra ID P1 или P2.

Потоковая передача журналов в концентратор событий для интеграции с инструментами SIEM

Потоковая передача журналов действий в концентратор событий требуется для интеграции журналов действий с средствами управления сведениями о безопасности и событиями (SIEM), такими как Splunk и SumoLogic. Прежде чем выполнять потоковую передачу журналов в концентратор событий, необходимо настроить пространство имен Центров событий и концентратор событий в подписке Azure.

Рекомендуемое использование

Средства SIEM, которые можно интегрировать с концентратором событий, могут предоставлять возможности анализа и мониторинга. Если вы уже используете эти средства для приема данных из других источников, вы можете передавать данные удостоверений для более полного анализа и мониторинга. Мы рекомендуем потоковую передачу журналов действий в концентратор событий для следующих типов сценариев:

• Если вам нужна платформа потоковой передачи больших данных и служба приема событий для получения и обработки миллионов событий в секунду.
• Если вы хотите преобразовать и сохранить данные с помощью поставщика аналитики в режиме реального времени или адаптеров пакетной обработки или хранилища.

Краткое руководство

1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator безопасности.
2. Создайте пространство имен Центров событий и концентратор событий.
3. Перейдите к параметрам диагностики работоспособности>мониторинга & удостоверений>.
4. Выберите журналы, которые вы хотите передавать, выберите stream в параметр концентратора событий и заполните поля.
   • Настройка пространства имен Центров событий и концентратора событий
   • Дополнительные сведения о журналах потоковой передачи в концентратор событий

Ваш независимый поставщик системы безопасности должен предоставить вам инструкции по приему данных из Центров событий Azure.

Доступ к журналам с помощью API Microsoft Graph

API Microsoft Graph предоставляет единую модель программирования, которую можно использовать для доступа к данным для клиентов Microsoft Entra ID P1 или P2. Не требуется, чтобы администратор или разработчик настроили дополнительную инфраструктуру для поддержки скрипта или приложения.

Рекомендуемое использование

С помощью обозревателя Microsoft Graph можно выполнять запросы, которые помогут вам выполнить следующие типы сценариев:

• Просмотр действий клиента, таких как изменение группы и когда.
• Пометить событие входа Microsoft Entra как безопасное или подтвержденное скомпрометированное.
• Получение списка входов приложений за последние 30 дней.

Краткое руководство

1. Настройте предварительные требования.
2. Войдите в Graph Обозреватель.
3. Задайте метод HTTP и версию API.
4. Добавьте запрос и нажмите кнопку "Выполнить запрос ".
   • Ознакомьтесь со свойствами Microsoft Graph для аудита каталогов
   • Полное руководство по краткому руководству по MS Graph

Интеграция журналов с журналами Azure Monitor

Интеграция журналов Azure Monitor позволяет включить широкие возможности визуализаций, мониторинга и оповещений о подключенных данных. Log Analytics предоставляет расширенные возможности запросов и анализа для журналов действий Microsoft Entra. Чтобы интегрировать журналы действий Microsoft Entra с журналами Azure Monitor, вам потребуется рабочая область Log Analytics. Оттуда можно выполнять запросы с помощью Log Analytics.

Рекомендуемое использование

Интеграция журналов Microsoft Entra с журналами Azure Monitor предоставляет централизованное расположение для запросов журналов. Мы рекомендуем интегрировать журналы с журналами Azure Monitor для следующих типов сценариев:

• Сравнение журналов входа Microsoft Entra с журналами, опубликованными другими службами Azure.
• Сопоставляйте журналы входа с приложение Azure аналитическими сведениями.
• Журналы запросов с помощью определенных параметров поиска.

Краткое руководство

1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator безопасности.
2. Создание рабочей области Log Analytics.
3. Перейдите к параметрам диагностики работоспособности>мониторинга & удостоверений>.
4. Выберите журналы, которые вы хотите передавать, выберите параметр "Отправить в рабочую область Log Analytics" и заполните поля.
5. Перейдите к Log Analytics для мониторинга>& удостоверений>и начните запрашивать данные.
   • Интеграция журналов Microsoft Entra с журналами Azure Monitor
   • Узнайте, как запрашивать запрос с помощью Log Analytics

Мониторинг событий с помощью Microsoft Sentinel

Отправка журналов входа и аудита в Microsoft Sentinel предоставляет центр управления безопасностью практически в режиме реального времени для обнаружения безопасности и охоты на угрозы. Термин поиск угроз означает профилактический подход к повышению безопасности среды. В отличие от классической защиты, охота на угрозы пытается заранее определить потенциальные угрозы, которые могут повредить вашей системе. Данные журнала действий могут включаться в решение по поиску угроз.

Рекомендуемое использование

Мы рекомендуем использовать возможности обнаружения безопасности в режиме реального времени Microsoft Sentinel, если вашей организации требуется аналитика безопасности и аналитика угроз. Используйте Microsoft Sentinel, если вам нужно:

• Сбор данных безопасности в вашей организации.
• Обнаружение угроз с помощью обширной аналитики угроз.
• Изучите критические инциденты, управляемые ИИ.
• Быстрое реагирование и автоматизация защиты.

Краткое руководство

1. Сведения о предварительных требованиях, ролях и разрешениях.
2. Оцените потенциальные затраты.
3. Подключение к Microsoft Sentinel.
4. Сбор данных Microsoft Entra.
5. Начните охоту на угрозы.

Просмотр журналов через Центр администрирования Microsoft Entra

Для одноуровневых расследований с ограниченным область центр администрирования Microsoft Entra часто является самым простым способом найти необходимые данные. Пользовательский интерфейс для каждого из этих отчетов предоставляет параметры фильтра, позволяющие найти записи, необходимые для решения вашего сценария.

Данные, захваченные в журналах действий Microsoft Entra, используются во многих отчетах и службах. Вы можете просматривать журналы входа, аудита и подготовки для сценариев единого отключения или использовать отчеты для просмотра шаблонов и тенденций. Данные из журналов действий помогают заполнить отчеты по защите идентификации, которые обеспечивают обнаружение рисков, связанных с информационной безопасностью, о том, что идентификатор Microsoft Entra может обнаруживать и сообщать о них. Журналы действий Microsoft Entra также заполняют отчеты об использовании и аналитике, которые предоставляют сведения об использовании для приложений клиента.

Рекомендуемое использование

Отчеты, доступные в портал Azure, предоставляют широкий спектр возможностей для мониторинга действий и использования в клиенте. Следующий список использования и сценариев не является исчерпывающим, поэтому изучите отчеты для ваших потребностей.

• Изучите действия входа пользователя или отслеживайте использование приложения.
• Просмотрите сведения об изменениях имени группы, регистрации устройства и сбросе паролей с помощью журналов аудита.
• Используйте отчеты защиты идентификации для мониторинга пользователей с риском, удостоверений рабочих нагрузок и рискованных входов.
• Чтобы пользователи могли получить доступ к приложениям, используемым в клиенте, можно просмотреть частоту успешного входа в отчете об активности приложения Microsoft Entra (предварительная версия) из отчета об использовании и аналитике.
• Сравните различные методы проверки подлинности, которые пользователи предпочитают, с отчетом о методах проверки подлинности из отчета об использовании и аналитике.

Краткое руководство

Чтобы получить доступ к отчетам в Центре администрирования Microsoft Entra, выполните следующие основные действия.

Журналы действий Microsoft Entra

1. Перейдите к журналам аудита работоспособности>мониторинга & удостоверений>в журналах входа в журналы/ подготовки./
2. Настройте фильтр в соответствии с вашими потребностями.
   • Узнайте, как фильтровать журналы действий
   • Изучение категорий и действий журнала аудита Microsoft Entra
   • Сведения об основных сведениях в журналах входа в Microsoft Entra

Отчеты Защита идентификации Microsoft Entra

1. Перейдите к защите> идентификации.
2. Изучите доступные отчеты.
   • Узнайте больше о поставщиках удостоверений.
   • Узнайте, как исследовать риск

Отчеты об использовании и аналитике

1. Перейдите к просмотру "Мониторинг работоспособности>удостоверений>" и "Аналитика".&
2. Изучите доступные отчеты.
   • Дополнительные сведения об использовании и аналитических отчетах

Экспорт журналов для хранилища и запросов

Правильное решение для долгосрочного хранения зависит от бюджета и того, что вы планируете делать с данными. У вас есть три варианта:

• Архивирование журналов в служба хранилища Azure
• Скачивание журналов для хранилища вручную
• Интеграция журналов с журналами Azure Monitor

служба хранилища Azure является правильным решением, если вы не планируете часто запрашивать данные. Дополнительные сведения см. в журналах каталогов архива в учетной записи хранения.

Если вы планируете запрашивать журналы часто для выполнения отчетов или выполнения анализа сохраненных журналов, следует интегрировать данные с журналами Azure Monitor.

Если бюджет является жестким, и вам нужен дешевый метод для создания долгосрочной резервной копии журналов действий, вы можете скачать журналы вручную. Пользовательский интерфейс журналов действий на портале предоставляет возможность скачивания данных в формате JSON или CSV. Одним из компромиссов с загрузкой вручную является то, что требуется больше ручного взаимодействия. Если вы ищете более профессиональное решение, используйте служба хранилища Azure или Azure Monitor.

Рекомендуемое использование

Рекомендуется настроить учетную запись хранения для архивации журналов действий для этих сценариев управления и соответствия требованиям, где требуется долгосрочное хранение.

Если вы хотите использовать долгосрочное хранилище и хотите выполнять запросы к данным, ознакомьтесь с разделом об интеграции журналов действий с журналами Azure Monitor.

Мы рекомендуем вручную скачать и сохранить журналы действий, если у вас есть бюджетные ограничения.

Краткое руководство

Чтобы архивировать или скачать журналы действий, выполните следующие основные действия.

Руководство. Архивация журналов Azure Active Directory в учетной записи хранения Azure (предварительная версия)

1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator безопасности.
2. Создание учетной записи хранения.
3. Перейдите к параметрам диагностики работоспособности>мониторинга & удостоверений>.
4. Выберите журналы, которые вы хотите передавать, выберите архив в параметр учетной записи хранения и заполните поля.
   • Проверка политик хранения данных

Скачивание журналов действий вручную

1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.
2. Перейдите к журналам аудита работоспособности>мониторинга & удостоверений>в журналах входа в журналы подготовки журналов// подготовки из меню "Мониторинг".
3. Щелкните Скачать.
   • Узнайте больше о том, как скачать журналы.

Следующие шаги

• Потоковая передача журналов в концентратор событий
• Архивирование журналов в учетную запись хранения
• Интеграция журналов с журналами Azure Monitor