Аудит активности пользователя
После настройки доступа пользователей к портал Azure на сетевых датчиках OT и локальных консоль управления вы сможете отслеживать и проверять действия пользователей во всех службах Microsoft Defender для Интернета вещей.
Аудит действий пользователей Azure
Используйте ресурсы аудита пользователей Microsoft Entra для аудита активности пользователей Azure в Defender для Интернета вещей. Дополнительные сведения см. в разделе:
Аудит активности пользователя на сетевом датчике OT
Аудит и отслеживание действий пользователей на временная шкала события датчика. В временная шкала события отображаются события, произошедшие на датчике, затронутые устройства для каждого события, а также время и дата события.
Примечание.
Эта процедура поддерживается для пользователей с Администратор ролью, а также дляподдержки, кибербезопасности и cyberx_host пользователей.
Чтобы использовать временную шкалу событий датчика, выполните следующие действия.
Войдите в консоль датчика в качестве одного из следующих пользователей:
- Любой пользователь Администратор
- Пользователь службы поддержки, киберс или cyberx_host
На датчике выберите временную шкалу событий в меню слева. Убедитесь, что фильтр установлен для отображения пользовательских операций.
Например:
Используйте дополнительные фильтры или поиск с помощью КЛАВИШ CTRL+F , чтобы найти интересующую вас информацию.
Дополнительные сведения о событии временная шкала см. в разделе "Отслеживание активности сети и датчика" с помощью временная шкала
Аудит действий пользователей в локальной консоль управления
Для аудита и отслеживания действий пользователей в локальной консоль управления используйте локальные журналы аудита консоль управления, которые записывают данные о ключевых действиях во время возникновения. Используйте локальные журналы аудита консоль управления для понимания изменений, внесенных в локальные консоль управления, когда и кем.
Для доступа к локальным журналам аудита консоль управления:
Войдите в локальную консоль управления и выберите системный журнал аудита статистики>системы Параметры > системы.
В диалоговом окне отображаются данные из текущего активного журнала аудита. Например:
Например:
При каждом достижении объема в 10 МБ создаются новые журналы аудита. В дополнение к текущему активному файлу журнала сохраняется один предыдущий журнал.
Журналы аудита включают следующие данные:
Действие | Записанные сведения |
---|---|
Обучение и исправление оповещений | Идентификатор оповещения |
изменения паролей | Пользователь, идентификатор пользователя |
Имя входа | User |
Создание пользователя | Пользователь, роль пользователя |
Сброс пароля | User name |
Создание правил исключения | Сводка по правилу |
Редактирование правил исключения | Идентификатор правила, сводка по правилу |
Удаление правил исключения | Идентификатор правила |
Обновление консоли управления | Используемый файл обновления |
Повторная попытка обновления датчика | Идентификатор датчика |
Переданный пакет TI | Дополнительные сведения отсутствуют. |
Совет
Кроме того, вы можете экспортировать журналы аудита, чтобы отправить их в группу поддержки для дополнительного устранения неполадок. Дополнительные сведения см. в статье "Экспорт журналов" из локальной консоль управления для устранения неполадок.
Дальнейшие действия
Дополнительные сведения см. в разделе:
- Управление пользователями Microsoft Defender для Интернета вещей
- Роли пользователей Azure и разрешения для Defender для Интернета вещей
- Локальные пользователи и роли для мониторинга OT с помощью Defender для Интернета вещей
- Создание пользователей и управление ими на сетевом датчике OT
- Создание пользователей в локальной консоль управления и управление ими