Какие журналы удостоверений можно передавать в конечную точку?
С помощью параметров диагностики Microsoft Entra можно направлять журналы действий в несколько конечных точек для долгосрочного хранения и аналитики данных. Вы выбираете журналы, которые вы хотите маршрутизировать, а затем выберите конечную точку.
В этой статье описываются журналы, которые можно направлять в конечную точку с параметрами диагностики Microsoft Entra.
Требования и параметры потоковой передачи журналов
Настройка конечной точки, например концентратора событий или учетной записи хранения, может потребовать различных ролей и лицензий. Чтобы создать или изменить новый параметр диагностики, вам потребуется пользователь, который является Администратор istrator для клиента Microsoft Entra.
Чтобы решить, какой вариант маршрутизации журналов лучше всего подходит для вас, см. статью "Как получить доступ к журналам действий". Общие процессы и требования для каждого типа конечной точки рассматриваются в следующих статьях:
- Отправка журналов в рабочую область Log Analytics для интеграции с журналами Azure Monitor
- Архивирование журналов в учетной записи хранения
- Потоковая передача журналов в концентратор событий
- Отправка в партнерское решение
Параметры журнала действий
Следующие журналы можно направлять в конечную точку для хранения, анализа или мониторинга.
Журналы аудита
Отчет AuditLogs фиксирует изменения в приложениях, группах, пользователях и лицензиях в клиенте Microsoft Entra. После маршрутизации журналов аудита можно отфильтровать или проанализировать по дате и времени, службе, которая зарегистрировала событие и кто внес изменения. Дополнительные сведения см. в журналах аудита.
Журналы входа
Отправка SignInLogs журналов интерактивного входа, которые являются журналами, созданными пользователями. Журналы входа создаются при предоставлении пользователем имени пользователя и пароля на экране входа в Microsoft Entra или при передаче задачи MFA. Дополнительные сведения см. в разделе "Интерактивные входы пользователей".
Журналы неинтерактивного входа
Вход NonInteractiveUserSIgnInLogs выполняется от имени пользователя, например клиентского приложения. Устройство или клиент использует маркер или код для проверки подлинности или доступа к ресурсу от имени пользователя. Дополнительные сведения см. в разделе "Неинтерактивные входы пользователей".
Журналы входа субъекта-службы
Если вам нужно проверить действия входа для приложений или субъектов-служб, ServicePrincipalSignInLogs это может быть хорошим вариантом. В этих сценариях сертификаты или секреты клиента используются для проверки подлинности. Дополнительные сведения см. в разделе "Вход субъекта-службы".
Журналы входа с управляемыми удостоверениями
В ManagedIdentitySignInLogs этой службе содержатся аналогичные аналитические сведения, как журналы входа субъекта-службы, но для управляемых удостоверений, где Azure управляет секретами. Дополнительные сведения см. в разделе "Управляемые удостоверения" для входа.
Журналы подготовки
Если организация подготавливает пользователей через приложение, отличное от Майкрософт, например Workday или ServiceNow, вы можете экспортировать ProvisioningLogs отчеты. Дополнительные сведения см. в журналах подготовки.
Журналы входа AD FS
Действия входа для приложений Федеративных служб Active Directory (AD FS) записываются в этих отчетах об использовании и аналитических сведениях. Отчет можно экспортировать ADFSSignInLogs для мониторинга действий входа для приложений AD FS. Дополнительные сведения см . в журналах входа AD FS.
Пользователи, выполняющие рискованные действия
Журналы RiskyUsers определяют пользователей, которые подвергаются риску на основе их действий входа. Этот отчет является частью Защита идентификации Microsoft Entra и использует данные входа из идентификатора Microsoft Entra. Дополнительные сведения см. в разделе "Что такое Защита идентификации Microsoft Entra?".
События риска пользователей
Журналы UserRiskEvents являются частью Защита идентификации Microsoft Entra. В этих журналах содержатся сведения о рискованных событиях входа. Дополнительные сведения см. в разделе "Как исследовать риск".
Журналы трафика сетевого доступа
Они NetworkAccessTrafficLogs связаны с Интернет-доступ Microsoft Entra и Частный доступ Microsoft Entra. Журналы отображаются в идентификаторе Microsoft Entra, но при выборе этого параметра в рабочую область не добавляются новые журналы, если ваша организация не использует Интернет-доступ Microsoft Entra и Частный доступ Microsoft Entra для защиты доступа к корпоративным ресурсам. Дополнительные сведения см. в разделе "Что такое глобальный безопасный доступ?".
Рискованные субъекты-службы
Журналы RiskyServicePrincipals предоставляют сведения о субъектах-службах, Защита идентификации Microsoft Entra обнаруженных как рискованные. Риск субъекта-службы представляет вероятность компрометации удостоверения или учетной записи. Эти риски вычисляются асинхронно с помощью данных и шаблонов из внутренних и внешних источников аналитики угроз Майкрософт. Эти источники могут включать исследователей безопасности, сотрудников правоохранительных органов и групп безопасности корпорации Майкрософт. Дополнительные сведения см. в разделе "Защита удостоверений рабочей нагрузки".
События риска субъекта-службы
Сведения ServicePrincipalRiskEvents о событиях рискованного входа для субъектов-служб. Эти журналы могут включать любые обнаруженные подозрительные события, связанные с учетными записями субъекта-службы. Дополнительные сведения см. в разделе "Защита удостоверений рабочей нагрузки".
Обогащенные журналы аудита Microsoft 365
Они EnrichedOffice365AuditLogs связаны с обогащенными журналами, которые можно включить для Интернет-доступ Microsoft Entra. При выборе этого параметра в рабочую область не добавляются новые журналы, если ваша организация не использует Microsoft Entra Internet для защиты доступа к трафику Microsoft 365 и включена обогащенная журналы. Дополнительные сведения см. в статье о том, как использовать журналы Microsoft 365, обогащенные глобальным безопасным доступом.
Журналы действий Microsoft Graph
Администраторы MicrosoftGraphActivityLogs полностью просматривают все HTTP-запросы, обращающиеся к ресурсам клиента через API Microsoft Graph. Эти журналы можно использовать для выявления действий, которые скомпрометированная учетная запись пользователя, проведенная в клиенте, или для исследования проблемных или непредвиденных действий для клиентских приложений, таких как экстремальные тома вызовов. Перенаправите эти журналы в ту же рабочую область Log Analytics с SignInLogs перекрестной ссылкой на запросы маркеров для журналов входа. Дополнительные сведения см. в разделе "Доступ к журналам действий Microsoft Graph" (предварительная версия).
Журналы работоспособности удаленной сети
Сведения RemoteNetworkHealthLogs о работоспособности удаленной сети, настроенной через глобальный безопасный доступ. Выбор этого параметра не добавляет новые журналы в рабочую область, если ваша организация не использует Интернет-доступ Microsoft Entra и Частный доступ Microsoft Entra для защиты доступа к корпоративным ресурсам. Дополнительные сведения см . в журналах работоспособности удаленной сети.
Журналы аудита настраиваемых атрибутов безопасности
Они CustomSecurityAttributeAuditLogs настроены в разделе настраиваемых атрибутов безопасности параметров диагностики. Эти журналы фиксируют изменения настраиваемых атрибутов безопасности в клиенте Microsoft Entra. Чтобы просмотреть эти журналы в журналах аудита Microsoft Entra, потребуется роль читателя журналов атрибутов. Для маршрутизации этих журналов в конечную точку требуется роль журнала атрибутов Администратор istrator и Администратор istrator безопасности.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по