Få åtkomst till aktivitetsloggar i Microsoft Entra ID

Med de data som samlas in i dina Microsoft Entra-loggar kan du utvärdera många aspekter av din Microsoft Entra-klientorganisation. För att täcka ett brett spektrum av scenarier ger Microsoft Entra ID flera alternativ för att komma åt dina aktivitetsloggdata. Som IT-administratör måste du förstå de avsedda användningsfallen för dessa alternativ, så att du kan välja rätt åtkomstmetod för ditt scenario.

Du kan komma åt Microsoft Entra-aktivitetsloggar och -rapporter med hjälp av följande metoder:

• Strömma aktivitetsloggar till en händelsehubb för integrering med andra verktyg
• Komma åt aktivitetsloggar via Microsoft Graph API
• Integrera aktivitetsloggar med Azure Monitor-loggar
• Övervaka aktivitet i realtid med Microsoft Sentinel
• Visa aktivitetsloggar och rapporter i Azure-portalen
• Exportera aktivitetsloggar för lagring och frågor

Var och en av dessa metoder ger dig funktioner som kan anpassas till vissa scenarier. Den här artikeln beskriver dessa scenarier, inklusive rekommendationer och information om relaterade rapporter som använder data i aktivitetsloggarna. Utforska alternativen i den här artikeln för att lära dig mer om dessa scenarier så att du kan välja rätt metod.

Förutsättningar

De roller och licenser som krävs varierar beroende på rapporten. Separata behörigheter krävs för åtkomst till övervaknings- och hälsodata i Microsoft Graph. Vi rekommenderar att du använder en roll med minst behörighet för att anpassa till Nolltillit vägledning.

Logg/rapport	Roller	Licenser
Audit	Rapportläsare Säkerhetsläsare Säkerhetsadministratör Global läsare	Alla utgåvor av Microsoft Entra ID
Inloggningar	Rapportläsare Säkerhetsläsare Säkerhetsadministratör Global läsare	Alla utgåvor av Microsoft Entra ID
Etablerar	Rapportläsare Säkerhetsläsare Säkerhetsadministratör Global läsare Säkerhetsoperator Programadministratör Molnappadministratör	Microsoft Entra ID P1 eller P2
Granskningsloggar för anpassade säkerhetsattribut*	Administratör för attributlogg Attributloggläsare	Alla utgåvor av Microsoft Entra ID
Användning och insikter	Rapportläsare Säkerhetsläsare Säkerhetsadministratör	Microsoft Entra ID P1 eller P2
Identitetsskydd**	Säkerhetsadministratör Säkerhetsoperator Säkerhetsläsare Global läsare	Microsoft Entra ID Free Microsoft 365-appar Microsoft Entra ID P1 eller P2
Microsoft Graph-aktivitetsloggar	Säkerhetsadministratör Behörigheter för åtkomst till data i motsvarande loggmål	Microsoft Entra ID P1 eller P2

*Om du vill visa anpassade säkerhetsattribut i granskningsloggarna eller skapa diagnostikinställningar för anpassade säkerhetsattribut krävs en av rollerna i attributloggen. Du behöver också rätt roll för att visa standardgranskningsloggarna.

**Åtkomstnivån och funktionerna för Identity Protection varierar med rollen och licensen. Mer information finns i licenskraven för Identity Protection.

Granskningsloggar är tillgängliga för funktioner som du har licensierat. För att få åtkomst till inloggningsloggarna med hjälp av Microsoft Graph API måste din klientorganisation ha en Microsoft Entra ID P1- eller P2-licens associerad med den.

Strömma loggar till en händelsehubb för att integrera med SIEM-verktyg

Du måste strömma dina aktivitetsloggar till en händelsehubb för att integrera dina aktivitetsloggar med SIEM-verktyg (Security Information and Event Management), till exempel Splunk och SumoLogic. Innan du kan strömma loggar till en händelsehubb måste du konfigurera ett Event Hubs-namnområde och en händelsehubb i din Azure-prenumeration.

Rekommenderade användningsområden

De SIEM-verktyg som du kan integrera med din händelsehubb kan tillhandahålla analys- och övervakningsfunktioner. Om du redan använder dessa verktyg för att mata in data från andra källor kan du strömma dina identitetsdata för mer omfattande analys och övervakning. Vi rekommenderar att du strömmar dina aktivitetsloggar till en händelsehubb för följande typer av scenarier:

• Om du behöver en stordataströmningsplattform och händelseinmatningstjänst för att ta emot och bearbeta miljontals händelser per sekund.
• Om du vill transformera och lagra data med hjälp av en realtidsanalysprovider eller batchbearbetning/lagringskort.

Snabbsteg

1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.
2. Skapa ett Event Hubs-namnområde och en händelsehubb.
3. Bläddra till Inställningar för identitetsövervakning>och hälsodiagnostik.>
4. Välj de loggar som du vill strömma, välj alternativet Strömma till en händelsehubb och slutför fälten.
   • Konfigurera ett Event Hubs-namnområde och en händelsehubb
   • Läs mer om aktivitetsloggar för direktuppspelning till en händelsehubb

Din oberoende säkerhetsleverantör bör ge dig instruktioner om hur du matar in data från Azure Event Hubs i deras verktyg.

Åtkomstloggar med Microsoft Graph API

Microsoft Graph API tillhandahåller en enhetlig programmeringsmodell som du kan använda för att komma åt data för dina Microsoft Entra ID P1- eller P2-klientorganisationer. Det kräver inte att en administratör eller utvecklare konfigurerar extra infrastruktur för att stödja skriptet eller appen.

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Rekommenderade användningsområden

Med Microsoft Graph Explorer kan du köra frågor som hjälper dig med följande typer av scenarier:

• Visa klientaktiviteter, till exempel vem som gjorde en ändring i en grupp och när.
• Markera en Microsoft Entra-inloggningshändelse som säker eller bekräftad komprometterad.
• Hämta en lista över programinloggningar under de senaste 30 dagarna.

Kommentar

Med Microsoft Graph kan du komma åt data från flera tjänster som tillämpar sina egna begränsningar. Mer information om begränsning av aktivitetsloggar finns i Microsoft Graph-tjänstspecifika begränsningsgränser.

Snabbsteg

1. Konfigurera förutsättningarna.
2. Logga in på Graph Explorer.
3. Ange HTTP-metoden och API-versionen.
4. Lägg till en fråga och välj sedan knappen Kör fråga .
   • Bekanta dig med Microsoft Graph-egenskaperna för kataloggranskningar
   • Slutför snabbstartsguiden för MS Graph

Integrera loggar med Azure Monitor-loggar

Med integreringen av Azure Monitor-loggar kan du aktivera omfattande visualiseringar, övervakning och aviseringar för anslutna data. Log Analytics tillhandahåller förbättrade fråge- och analysfunktioner för Microsoft Entra-aktivitetsloggar. För att integrera Microsoft Entra-aktivitetsloggar med Azure Monitor-loggar behöver du en Log Analytics-arbetsyta. Därifrån kan du köra frågor via Log Analytics.

Rekommenderade användningsområden

Integreringen av Microsoft Entra-loggar med Azure Monitor-loggar ger en central plats för att köra frågor mot loggar. Vi rekommenderar att du integrerar loggar med Azure Monitor för följande typer av scenarier:

• Jämför Inloggningsloggar för Microsoft Entra med loggar som publicerats av andra Azure-tjänster.
• Korrelera inloggningsloggar mot Azure Application Insights.
• Frågeloggar med specifika sökparametrar.

Snabbsteg

1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.
2. Skapa en Log Analytics-arbetsyta.
3. Bläddra till Inställningar för identitetsövervakning>och hälsodiagnostik.>
4. Välj de loggar som du vill strömma, välj alternativet Skicka till Log Analytics-arbetsyta och slutför fälten.
5. Bläddra till Identitetsövervakning>och hälsologganalys> och börja köra frågor mot data.
   • Integrera Microsoft Entra-loggar med Azure Monitor-loggar
   • Lär dig hur du frågar med Log Analytics

Övervaka händelser med Microsoft Sentinel

Genom att skicka inloggnings- och granskningsloggar till Microsoft Sentinel får du säkerhetsåtgärdscenter med säkerhetsidentifiering i nära realtid och hotjakt. Termen hotjakt syftar på en proaktiv metod för att förbättra din miljös säkerhetsstatus. I motsats till klassiskt skydd försöker hotjakt proaktivt identifiera potentiella hot som kan skada systemet. Dina aktivitetsloggdata kan vara en del av din lösning för hotjakt.

Rekommenderade användningsområden

Vi rekommenderar att du använder funktionerna för säkerhetsidentifiering i realtid i Microsoft Sentinel om din organisation behöver säkerhetsanalys och hotinformation. Använd Microsoft Sentinel om du behöver:

• Samla in säkerhetsdata i hela företaget.
• Identifiera hot med omfattande hotinformation.
• Undersök kritiska incidenter som styrs av AI.
• Svara snabbt och automatisera skyddet.

Snabbsteg

1. Lär dig mer om förutsättningar, roller och behörigheter.
2. Beräkna potentiella kostnader.
3. Registrera dig för Microsoft Sentinel.
4. Samla in Microsoft Entra-data.
5. Börja jaga efter hot.

Visa loggar via administrationscentret för Microsoft Entra

För enstaka undersökningar med ett begränsat omfång är administrationscentret för Microsoft Entra ofta det enklaste sättet att hitta de data du behöver. Användargränssnittet för var och en av dessa rapporter ger dig filteralternativ så att du kan hitta de poster som du behöver för att lösa ditt scenario.

Data som samlas in i Microsoft Entra-aktivitetsloggarna används i många rapporter och tjänster. Du kan granska loggarna för inloggning, granskning och etablering för engångsscenarier eller använda rapporter för att titta på mönster och trender. Data från aktivitetsloggarna hjälper till att fylla i Identity Protection-rapporterna, som ger informationssäkerhetsrelaterade riskidentifieringar som Microsoft Entra-ID kan identifiera och rapportera om. Microsoft Entra-aktivitetsloggar fyller även i användnings- och insiktsrapporter, som tillhandahåller användningsinformation för klientorganisationens program.

Rekommenderade användningsområden

Rapporterna som är tillgängliga i Azure-portalen innehåller en mängd olika funktioner för att övervaka aktiviteter och användning i din klientorganisation. Följande lista över användningsområden och scenarier är inte fullständig, så utforska rapporterna efter dina behov.

• Granska en användares inloggningsaktivitet eller spåra användning av ett program.
• Granska information om ändringar av gruppnamn, enhetsregistrering och lösenordsåterställningar med granskningsloggar.
• Använd Identity Protection-rapporterna för övervakning av riskanvändare, riskfyllda arbetsbelastningsidentiteter och riskfyllda inloggningar.
• Du kan granska lyckade inloggningar i rapporten Microsoft Entra-programaktivitet (förhandsversion) från Användning och insikter för att säkerställa att användarna kan komma åt de program som används i din klientorganisation.
• Jämför de olika autentiseringsmetoder som användarna föredrar med rapporten Autentiseringsmetoder från Användning och insikter.

Snabbsteg

Använd följande grundläggande steg för att komma åt rapporterna i administrationscentret för Microsoft Entra.

Microsoft Entra-aktivitetsloggar

1. Bläddra till Identitetsövervakning>och hälsogranskningsloggar>/Inloggningsloggar Etableringsloggar./
2. Justera filtret efter dina behov.
   • Lär dig hur du filtrerar aktivitetsloggar
   • Utforska kategorierna och aktiviteterna i Microsoft Entra-granskningsloggen
   • Läs mer om grundläggande information i inloggningsloggarna för Microsoft Entra

Granskningsloggar kan nås direkt från området i administrationscentret för Microsoft Entra där du arbetar. Om du till exempel är i avsnittet Grupper eller licenser i Microsoft Entra-ID kan du komma åt granskningsloggarna för de specifika aktiviteterna direkt från det området. När du kommer åt granskningsloggarna på det här sättet anges filterkategorierna automatiskt. Om du är i Grupper är kategorin för granskningsloggfilter inställd på GroupManagement.

Microsoft Entra ID Protection-rapporter

1. Bläddra till Skydd>Identity Protection.
2. Utforska de tillgängliga rapporterna.
   • Läs mer om Identity Protection
   • Lär dig hur du undersöker risker

Användnings- och insiktsrapporter

1. Bläddra till Identitetsövervakning>och hälsoanvändning>och insikter.
2. Utforska de tillgängliga rapporterna.
   • Läs mer om användnings- och insiktsrapporten

Exportera loggar för lagring och frågor

Rätt lösning för din långsiktiga lagring beror på din budget och vad du planerar att göra med data. Du har tre alternativ:

• Arkivera loggar till Azure Storage
• Ladda ned loggar för manuell lagring
• Integrera loggar med Azure Monitor-loggar

Azure Storage är rätt lösning om du inte planerar att köra frågor mot dina data ofta. Mer information finns i Arkivera katalogloggar till ett lagringskonto.

Om du planerar att köra frågor mot loggarna ofta för att köra rapporter eller utföra analys på de lagrade loggarna bör du integrera dina data med Azure Monitor-loggar.

Om budgeten är stram och du behöver en billig metod för att skapa en långsiktig säkerhetskopia av dina aktivitetsloggar kan du ladda ned loggarna manuellt. Användargränssnittet för aktivitetsloggarna i portalen ger dig möjlighet att ladda ned data som JSON eller CSV. En kompromiss med den manuella nedladdningen är att den kräver mer manuell interaktion. Om du letar efter en mer professionell lösning använder du antingen Azure Storage eller Azure Monitor.

Rekommenderade användningsområden

Vi rekommenderar att du konfigurerar ett lagringskonto för att arkivera dina aktivitetsloggar för de styrnings- och efterlevnadsscenarier där långsiktig lagring krävs.

Om du vill ha långsiktig lagring och vill köra frågor mot data kan du läsa avsnittet om hur du integrerar dina aktivitetsloggar med Azure Monitor-loggar.

Vi rekommenderar att du manuellt laddar ned och lagrar dina aktivitetsloggar om du har budgetbegränsningar.

Snabbsteg

Använd följande grundläggande steg för att arkivera eller ladda ned dina aktivitetsloggar.

Arkivera aktivitetsloggar till ett lagringskonto

1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.
2. Skapa ett lagringskonto.
3. Bläddra till Inställningar för identitetsövervakning>och hälsodiagnostik.>
4. Välj de loggar som du vill strömma, välj alternativet Arkivera till ett lagringskonto och slutför fälten.
   • Granska datakvarhållningsprinciperna

Ladda ned aktivitetsloggar manuellt

1. Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.
2. Bläddra till Identitetsövervakning>och hälsogranskningsloggar>Inloggningsloggar/Etableringsloggar/ från menyn Övervakning.
3. Välj Hämta.
   • Läs mer om hur du laddar ned loggar.

Nästa steg

• Strömma loggar till en händelsehubb
• Arkivera loggar till ett lagringskonto.
• Integrera loggar med Azure Monitor-loggar