Vad är Microsoft Entra-övervakning och hälsa?
Funktionerna i Microsoft Entra-övervakning och -hälsa ger en omfattande vy över identitetsrelaterad aktivitet i din miljö. Med dessa data kan du:
- Ta reda på hur dina användare använder dina appar och tjänster.
- Identifiera potentiella risker som påverkar miljöns hälsa.
- Felsöka problem som hindrar användarna från att få sitt arbete gjort.
- Få insikter genom att se granskningshändelser för ändringar i din Microsoft Entra-katalog.
Inloggnings- och granskningsloggar består av aktivitetsloggarna bakom många Microsoft Entra-rapporter, som kan användas för att analysera, övervaka och felsöka aktivitet i din klientorganisation. Om du dirigerar dina aktivitetsloggar till en analys- och övervakningslösning får du större insikter om klientorganisationens hälsa och säkerhet.
Den här artikeln beskriver de typer av aktivitetsloggar som är tillgängliga i Microsoft Entra-ID, de rapporter som använder loggarna och de övervakningstjänster som är tillgängliga för att hjälpa dig att analysera data.
Identitetsaktivitetsloggar
Aktivitetsloggar hjälper dig att förstå beteendet för användare i din organisation. Det finns tre typer av aktivitetsloggar i Microsoft Entra-ID:
Granskningsloggar innehåller historiken för varje uppgift som utförs i din klientorganisation.
Inloggningsloggar registrerar inloggningsförsöken för dina användare och klientprogram.
Etableringsloggar ger information om användare som etablerats i din klientorganisation via en tjänst från tredje part.
Aktivitetsloggarna kan visas i Azure Portal eller med hjälp av Microsoft Graph API. Aktivitetsloggar kan också dirigeras till olika slutpunkter för lagring eller analys. Mer information om alla alternativ för att visa aktivitetsloggarna finns i Så här kommer du åt aktivitetsloggar.
Granskningsloggar
Granskningsloggar ger dig poster över systemaktiviteter för efterlevnad. Med dessa data kan du hantera vanliga scenarier som:
- Någon i min klientorganisation fick åtkomst till en administratörsgrupp. Vem gav dem åtkomst?
- Jag vill veta listan över användare som loggar in på en specifik app eftersom jag nyligen registrerade appen och vill veta om det går bra.
- Jag vill veta hur många lösenordsåterställningar som sker i min klientorganisation.
Inloggningsloggar
Med inloggningsloggarna kan du hitta svar på frågor som:
- Vad är inloggningsmönstret för en användare?
- Hur många användare har användare inloggade under en vecka?
- Vad är statusen för dessa inloggningar?
Etableringsloggar
Du kan använda etableringsloggarna för att hitta svar på frågor som:
- Vilka grupper har skapats i ServiceNow?
- Vilka användare har tagits bort från Adobe?
- Vilka användare från Workday har skapats i Active Directory?
Identitetsrapporter
Att granska data i Microsoft Entra-aktivitetsloggarna kan ge användbar information för IT-administratörer. För att effektivisera processen med att granska data i viktiga scenarier har vi skapat flera rapporter om vanliga scenarier som använder aktivitetsloggarna.
- Identity Protection använder inloggningsdata för att skapa rapporter om riskfyllda användare och inloggningsaktiviteter.
- Aktivitet som är relaterad till dina program, till exempel tjänstens huvudnamn och appautentiseringsuppgifter, används för att skapa rapporter i Användning och insikter.
- Microsoft Entra-arbetsböcker är ett anpassningsbart sätt att visa och analysera aktivitetsloggarna.
- Använd Microsoft Entra-rekommendationer för att övervaka och förbättra din klientorganisations säkerhet.
- Microsoft Entra Health samlar in globala servicenivåavtalsuppfyllelse och hälsosignaler för flera viktiga scenarier.
Identitetsövervakning och klientorganisationshälsa
Att granska Microsoft Entra-aktivitetsloggar är det första steget för att underhålla och förbättra klientorganisationens hälsa och säkerhet. Du måste analysera data, övervaka riskfyllda scenarier och avgöra var du kan göra förbättringar. Microsoft Entra-övervakning tillhandahåller de verktyg som behövs för att hjälpa dig att fatta välgrundade beslut.
Övervakning av Microsoft Entra-aktivitetsloggar kräver att loggdata dirigeras till en övervaknings- och analyslösning. Slutpunkter inkluderar Azure Monitor-loggar, Microsoft Sentinel eller ett tredjepartsverktyg för säkerhetsinformation och händelsehantering (SIEM).
- Strömma loggar till en händelsehubb som ska integreras med SIEM-verktyg från tredje part.
- Integrera loggar med Azure Monitor-loggar.
- Analysera loggar med Azure Monitor-loggar och Log Analytics.
Användningsfall
Hur du använder de tillgängliga loggarna, rapporterna och övervakningstjänsterna beror på organisationens behov. För att bättre prioritera användningsfall och lösningar kan det hjälpa att se hur dessa lösningar är relaterade till varandra, hur de skiljer sig åt och hur de kan användas tillsammans.
Överväganden
- Kvarhållning – Loggkvarhållning: lagra granskningsloggar och logga in loggar för Microsoft Entra längre än 30 dagar
- Analys – Loggar är sökbara med analysverktyg
- Insikter om drift och säkerhet – Ge åtkomst till programanvändning, inloggningsfel, självbetjäningsanvändning, trender och så vidare.
- SIEM-integrering – Integrera och strömma Inloggningsloggar och granskningsloggar för Microsoft Entra till SIEM-system
Med Microsoft Entra-övervakning kan du dirigera Microsoft Entra-aktivitetsloggar och behålla dem för långsiktig rapportering och analys för att få miljöinsikter och integrera dem med SIEM-verktyg. Använd följande beslutsflödesdiagram för att välja en arkitektur.
En översikt över hur du kommer åt, lagrar och analyserar aktivitetsloggar finns i Komma åt aktivitetsloggar.