Журналы действий в Microsoft Entra ID

Данные, собранные в журналах Microsoft Entra, позволяют оценить множество аспектов клиента Microsoft Entra. Чтобы охватывать широкий спектр сценариев, идентификатор Microsoft Entra предоставляет несколько вариантов доступа к данным журнала действий. Как ИТ-администратору вам нужно понимать случаи использования этих вариантов, чтобы выбрать подходящий метод доступа для вашей ситуации.

Вы можете получить доступ к журналам действий и отчетам Microsoft Entra с помощью следующих методов:

• Потоковая передача журналов действий в концентратор событий для интеграции с другими инструментами
• Доступ к журналам действий через API Microsoft Graph
• Интеграция журналов действий с журналами Azure Monitor
• Мониторинг действий в режиме реального времени с помощью Microsoft Sentinel
• Просмотр журналов действий и отчетов в портал Azure
• Экспорт журналов действий для хранилища и запросов

Каждый из этих методов предоставляет возможности, которые могут соответствовать определенным сценариям. В этой статье описываются эти сценарии, включая рекомендации и сведения о связанных отчетах, использующих данные в журналах действий. Ознакомьтесь с параметрами, приведенными в этой статье, чтобы узнать об этих сценариях, чтобы выбрать правильный метод.

Необходимые компоненты

Требуемые роли и лицензии зависят от отчета. Для доступа к данным мониторинга и работоспособности в Microsoft Graph требуются отдельные разрешения. Мы рекомендуем использовать роль с минимальными привилегиями для согласования с руководством по нулю доверия.

Журнал или отчет	Роли	Лицензии
Audit	Читатель отчетов читатель сведений о безопасности; администратор безопасности; Глобальный читатель	Все выпуски идентификатора Microsoft Entra
Вход в систему	Читатель отчетов читатель сведений о безопасности; администратор безопасности; Глобальный читатель	Все выпуски идентификатора Microsoft Entra
Подготовка	Читатель отчетов читатель сведений о безопасности; администратор безопасности; Глобальный читатель Оператор безопасности Администратор приложений Cloud App Администратор istrator	Microsoft Entra ID P1 или P2
Журналы аудита настраиваемых атрибутов безопасности*	Журнал атрибутов Администратор istrator Читатель журналов атрибутов	Все выпуски идентификатора Microsoft Entra
Потребление и аналитические сведения	Читатель отчетов читатель сведений о безопасности; администратор безопасности;	Microsoft Entra ID P1 или P2
Защита идентификации**	администратор безопасности; Оператор безопасности читатель сведений о безопасности; Глобальный читатель	Microsoft Entra ID, уровень «Бесплатный» Приложения Microsoft 365 Microsoft Entra ID P1 или P2
Журналы действий Microsoft Graph	администратор безопасности; Разрешения на доступ к данным в соответствующем назначении журнала	Microsoft Entra ID P1 или P2

*Просмотр настраиваемых атрибутов безопасности в журналах аудита или создание параметров диагностики для настраиваемых атрибутов безопасности требует одной из ролей журнала атрибутов. Вам также нужна соответствующая роль для просмотра стандартных журналов аудита.

**Уровень доступа и возможностей защиты идентификации зависит от роли и лицензии. Дополнительные сведения см. в требованиях к лицензии для защиты идентификации.

Журналы аудита доступны для функций, которые вы лицензировали. Чтобы получить доступ к журналам входа с помощью API Microsoft Graph, клиент должен иметь лицензию Microsoft Entra ID P1 или P2.

Потоковая передача журналов в концентратор событий для интеграции с инструментами SIEM

Потоковая передача журналов действий в концентратор событий требуется для интеграции журналов действий с средствами управления сведениями о безопасности и событиями (SIEM), такими как Splunk и SumoLogic. Прежде чем выполнять потоковую передачу журналов в концентратор событий, необходимо настроить пространство имен Центров событий и концентратор событий в подписке Azure.

Рекомендуемое использование

Средства SIEM, которые можно интегрировать с концентратором событий, могут предоставлять возможности анализа и мониторинга. Если вы уже используете эти средства для приема данных из других источников, вы можете передавать данные удостоверений для более полного анализа и мониторинга. Мы рекомендуем потоковую передачу журналов действий в концентратор событий для следующих типов сценариев:

• Если вам нужна платформа потоковой передачи больших данных и служба приема событий для получения и обработки миллионов событий в секунду.
• Если вы хотите преобразовать и сохранить данные с помощью поставщика аналитики в режиме реального времени или адаптеров пакетной обработки или хранилища.

Краткое руководство

1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator безопасности.
2. Создайте пространство имен Центров событий и концентратор событий.
3. Перейдите к параметрам диагностики мониторинга удостоверений и работоспособности>>.
4. Выберите журналы, которые вы хотите передавать, выберите stream в параметр концентратора событий и заполните поля.
   • Настройка пространства имен Центров событий и концентратора событий
   • Дополнительные сведения о журналах потоковой передачи в концентратор событий

Ваш независимый поставщик системы безопасности должен предоставить вам инструкции по приему данных из Центров событий Azure.

Доступ к журналам с помощью API Microsoft Graph

API Microsoft Graph предоставляет единую модель программирования, которую можно использовать для доступа к данным для клиентов Microsoft Entra ID P1 или P2. Не требуется, чтобы администратор или разработчик настроили дополнительную инфраструктуру для поддержки скрипта или приложения.

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Рекомендуемое использование

С помощью обозревателя Microsoft Graph можно выполнять запросы, которые помогут вам выполнить следующие типы сценариев:

• Просмотр действий клиента, таких как изменение группы и когда.
• Пометить событие входа Microsoft Entra как безопасное или подтвержденное скомпрометированное.
• Получение списка входов приложений за последние 30 дней.

Примечание.

Microsoft Graph позволяет получать доступ к данным из нескольких служб, которые накладывают свои собственные ограничения регулирования. Дополнительные сведения о регулировании журнала действий см. в разделе об ограничениях регулирования для конкретной службы Microsoft Graph.

Краткое руководство

1. Настройте предварительные требования.
2. Войдите в Graph Обозреватель.
3. Задайте метод HTTP и версию API.
4. Добавьте запрос и нажмите кнопку "Выполнить запрос ".
   • Ознакомьтесь со свойствами Microsoft Graph для аудита каталогов
   • Полное руководство по краткому руководству по MS Graph

Интеграция журналов с журналами Azure Monitor

Интеграция журналов Azure Monitor позволяет включить широкие возможности визуализаций, мониторинга и оповещений о подключенных данных. Log Analytics предоставляет расширенные возможности запросов и анализа для журналов действий Microsoft Entra. Чтобы интегрировать журналы действий Microsoft Entra с журналами Azure Monitor, вам потребуется рабочая область Log Analytics. Оттуда можно выполнять запросы с помощью Log Analytics.

Рекомендуемое использование

Интеграция журналов Microsoft Entra с журналами Azure Monitor предоставляет централизованное расположение для запросов журналов. Мы рекомендуем интегрировать журналы с Azure Monitor для следующих типов сценариев:

• Сравнение журналов входа Microsoft Entra с журналами, опубликованными другими службами Azure.
• Сопоставляйте журналы входа с приложение Azure аналитическими сведениями.
• Журналы запросов с помощью определенных параметров поиска.

Краткое руководство

1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator безопасности.
2. Создание рабочей области Log Analytics.
3. Перейдите к параметрам диагностики мониторинга удостоверений и работоспособности>>.
4. Выберите журналы, которые вы хотите передавать, выберите параметр "Отправить в рабочую область Log Analytics" и заполните поля.
5. Перейдите к Службе мониторинга удостоверений и работоспособности>>Log Analytics и начните запрашивать данные.
   • Интеграция журналов Microsoft Entra с журналами Azure Monitor
   • Узнайте, как запрашивать запрос с помощью Log Analytics

Мониторинг событий с помощью Microsoft Sentinel

Отправка журналов входа и аудита в Microsoft Sentinel предоставляет центр управления безопасностью практически в режиме реального времени для обнаружения безопасности и охоты на угрозы. Термин поиск угроз означает профилактический подход к повышению безопасности среды. В отличие от классической защиты, охота на угрозы пытается заранее определить потенциальные угрозы, которые могут повредить вашей системе. Данные журнала действий могут включаться в решение по поиску угроз.

Рекомендуемое использование

Мы рекомендуем использовать возможности обнаружения безопасности в режиме реального времени Microsoft Sentinel, если вашей организации требуется аналитика безопасности и аналитика угроз. Используйте Microsoft Sentinel, если вам нужно:

• Сбор данных безопасности в вашей организации.
• Обнаружение угроз с помощью обширной аналитики угроз.
• Изучите критические инциденты, управляемые ИИ.
• Быстрое реагирование и автоматизация защиты.

Краткое руководство

1. Сведения о предварительных требованиях, ролях и разрешениях.
2. Оцените потенциальные затраты.
3. Подключение к Microsoft Sentinel.
4. Сбор данных Microsoft Entra.
5. Начните охоту на угрозы.

Просмотр журналов через Центр администрирования Microsoft Entra

Для одноуровневых расследований с ограниченным область центр администрирования Microsoft Entra часто является самым простым способом найти необходимые данные. Пользовательский интерфейс для каждого из этих отчетов предоставляет параметры фильтра, позволяющие найти записи, необходимые для решения вашего сценария.

Данные, захваченные в журналах действий Microsoft Entra, используются во многих отчетах и службах. Вы можете просматривать журналы входа, аудита и подготовки для сценариев единого отключения или использовать отчеты для просмотра шаблонов и тенденций. Данные из журналов действий помогают заполнить отчеты по защите идентификации, которые обеспечивают обнаружение рисков, связанных с информационной безопасностью, о том, что идентификатор Microsoft Entra может обнаруживать и сообщать о них. Журналы действий Microsoft Entra также заполняют отчеты об использовании и аналитике, которые предоставляют сведения об использовании для приложений клиента.

Рекомендуемое использование

Отчеты, доступные в портал Azure, предоставляют широкий спектр возможностей для мониторинга действий и использования в клиенте. Следующий список использования и сценариев не является исчерпывающим, поэтому изучите отчеты для ваших потребностей.

• Изучите действия входа пользователя или отслеживайте использование приложения.
• Просмотрите сведения об изменениях имени группы, регистрации устройства и сбросе паролей с помощью журналов аудита.
• Используйте отчеты защиты идентификации для мониторинга пользователей с риском, удостоверений рабочих нагрузок и рискованных входов.
• Вы можете просмотреть частоту успешного входа в отчете об активности приложения Microsoft Entra (предварительная версия) из использования и аналитических сведений, чтобы пользователи могли получить доступ к приложениям, используемым в вашем клиенте.
• Сравните различные методы проверки подлинности, которые пользователи предпочитают, с отчетом о методах проверки подлинности из отчета об использовании и аналитике.

Краткое руководство

Чтобы получить доступ к отчетам в Центре администрирования Microsoft Entra, выполните следующие основные действия.

Журналы действий Microsoft Entra

1. Перейдите к журналам мониторинга удостоверений и аудита работоспособности>>журналов/входа в журналы/ подготовки.
2. Настройте фильтр в соответствии с вашими потребностями.
   • Узнайте, как фильтровать журналы действий
   • Изучение категорий и действий журнала аудита Microsoft Entra
   • Сведения об основных сведениях в журналах входа в Microsoft Entra

Журналы аудита можно получить непосредственно из области Центра администрирования Microsoft Entra, где вы работаете. Например, если вы находитесь в разделе "Группы или лицензии " идентификатора Microsoft Entra ID, вы можете получить доступ к журналам аудита для этих конкретных действий непосредственно из этой области. При доступе к журналам аудита таким образом категории фильтров автоматически задаются. Если вы находитесь в группах, для категории фильтра журнала аудита задано значение GroupManagement.

Отчеты Защита идентификации Microsoft Entra

1. Перейдите к защите> идентификации.
2. Изучите доступные отчеты.
   • Узнайте больше о поставщиках удостоверений.
   • Узнайте, как исследовать риск

Отчеты об использовании и аналитике

1. Перейдите к мониторингу удостоверений и использованию работоспособности>>и аналитическим сведениям.
2. Изучите доступные отчеты.
   • Дополнительные сведения об использовании и аналитических отчетах

Экспорт журналов для хранилища и запросов

Правильное решение для долгосрочного хранения зависит от бюджета и того, что вы планируете делать с данными. У вас есть три варианта:

• Архивирование журналов в служба хранилища Azure
• Скачивание журналов для хранилища вручную
• Интеграция журналов с журналами Azure Monitor

служба хранилища Azure является правильным решением, если вы не планируете часто запрашивать данные. Дополнительные сведения см. в журналах каталогов архива в учетной записи хранения.

Если вы планируете запрашивать журналы часто для выполнения отчетов или выполнения анализа сохраненных журналов, следует интегрировать данные с журналами Azure Monitor.

Если бюджет является жестким, и вам нужен дешевый метод для создания долгосрочной резервной копии журналов действий, вы можете скачать журналы вручную. Пользовательский интерфейс журналов действий на портале предоставляет возможность скачивания данных в формате JSON или CSV. Одним из компромиссов с загрузкой вручную является то, что требуется больше ручного взаимодействия. Если вы ищете более профессиональное решение, используйте служба хранилища Azure или Azure Monitor.

Рекомендуемое использование

Рекомендуется настроить учетную запись хранения для архивации журналов действий для этих сценариев управления и соответствия требованиям, где требуется долгосрочное хранение.

Если вы хотите использовать долгосрочное хранилище и хотите выполнять запросы к данным, ознакомьтесь с разделом об интеграции журналов действий с журналами Azure Monitor.

Мы рекомендуем вручную скачать и сохранить журналы действий, если у вас есть бюджетные ограничения.

Краткое руководство

Чтобы архивировать или скачать журналы действий, выполните следующие основные действия.

Руководство. Архивация журналов Azure Active Directory в учетной записи хранения Azure (предварительная версия)

1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator безопасности.
2. Создание учетной записи хранения.
3. Перейдите к параметрам диагностики мониторинга удостоверений и работоспособности>>.
4. Выберите журналы, которые вы хотите передавать, выберите архив в параметр учетной записи хранения и заполните поля.
   • Проверка политик хранения данных

Скачивание журналов действий вручную

1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.
2. Перейдите к журналам мониторинга удостоверений и>журналам аудита работоспособности>журналов подготовки журналов// подготовки из меню "Мониторинг".
3. Щелкните Скачать.
   • Узнайте больше о том, как скачать журналы.

Следующие шаги

• Потоковая передача журналов в концентратор событий
• Архивирование журналов в учетной записи хранения
• Интеграция журналов с журналами Azure Monitor