Microsoft Entra Id'de etkinlik günlüklerine erişme

Microsoft Entra günlüklerinizde toplanan veriler, Microsoft Entra kiracınızın birçok yönünü değerlendirmenize olanak tanır. Microsoft Entra ID, çok çeşitli senaryoları kapsayacak şekilde etkinlik günlüğü verilerinize erişmeniz için çeşitli seçenekler sunar. BT yöneticisi olarak, senaryonuz için doğru erişim yöntemini seçebilmeniz için bu seçenekler için amaçlanan kullanım örneklerini anlamanız gerekir.

Aşağıdaki yöntemleri kullanarak Microsoft Entra etkinlik günlüklerine ve raporlarına erişebilirsiniz:

• Diğer araçlarla tümleştirmek için etkinlik günlüklerini bir olay hub'ına akışla aktarma
• Microsoft Graph API aracılığıyla etkinlik günlüklerine erişme
• Etkinlik günlüklerini Azure İzleyici günlükleriyle tümleştirme
• Microsoft Sentinel ile etkinliği gerçek zamanlı olarak izleme
• Azure portalında etkinlik günlüklerini ve raporlarını görüntüleme
• Depolama ve sorgular için etkinlik günlüklerini dışarı aktarma

Bu yöntemlerin her biri, belirli senaryolarla uyumlu olabilecek özellikler sağlar. Bu makalede, etkinlik günlüklerindeki verileri kullanan ilgili raporlar hakkında öneriler ve ayrıntılar da dahil olmak üzere bu senaryolar açıklanmaktadır. Doğru yöntemi seçebilmek için bu senaryolar hakkında bilgi edinmek için bu makaledeki seçenekleri inceleyin.

Bahşiş

Bu makaledeki adımlar, başladığınız portala göre biraz farklılık gösterebilir.

Ön koşullar

Gerekli roller ve lisanslar rapora göre farklılık gösterebilir. Genel Yönetici istrator'lar tüm raporlara erişebilir, ancak Sıfır Güven yönergeleriyle uyumlu hale getirmek için en az ayrıcalık erişimine sahip bir rol kullanmanızı öneririz.

Günlük / Rapor	Roller	Lisanslar
Denetle	Rapor Okuyucusu Güvenlik Okuyucusu Güvenlik Yöneticisi Genel Okuyucu	Microsoft Entra Id'nin tüm sürümleri
Oturum açma işlemleri	Rapor Okuyucusu Güvenlik Okuyucusu Güvenlik Yöneticisi Genel Okuyucu	Microsoft Entra Id'nin tüm sürümleri
Hazırlanıyor	Denetim ve oturum açma işlemleriyle aynı, artı Güvenlik İşleci Uygulama Yöneticisi Cloud App Yönetici istrator İzinli provisioningLogs özel bir rol	Premium P1 veya P2
Kullanım ve içgörüler	Güvenlik Okuyucusu Rapor Okuyucusu Güvenlik Yöneticisi	Premium P1 veya P2
Kimlik Koruması*	Güvenlik Yöneticisi Güvenlik İşleci Güvenlik Okuyucusu Genel Okuyucu	Microsoft Entra Id Free/Microsoft 365 Uygulamaları Microsoft Entra ID P1 veya P2

*Kimlik Koruması'nın erişim düzeyi ve özellikleri rol ve lisansa göre değişir. Daha fazla bilgi için bkz . Kimlik Koruması için lisans gereksinimleri.

Denetim günlükleri, lisansladığınız özellikler için kullanılabilir. Microsoft Graph API'sini kullanarak oturum açma günlüklerine erişmek için kiracınızın kendisiyle ilişkilendirilmiş bir Microsoft Entra Id P1 veya P2 lisansı olmalıdır.

SIEM araçlarıyla tümleştirmek için günlükleri olay hub'ına akışla aktarma

Etkinlik günlüklerinizi splunk ve SumoLogic gibi Güvenlik Bilgileri ve Olay Yönetimi (SIEM) araçlarıyla tümleştirmek için etkinlik günlüklerinizi bir olay hub'ına akışla aktarmanız gerekir. Günlükleri bir olay hub'ına akışla aktarabilmeniz için önce Azure aboneliğinizde bir Event Hubs ad alanı ve olay hub'ı ayarlamanız gerekir.

Önerilen kullanımlar

Olay hub'ınızla tümleştirebileceğiniz SIEM araçları analiz ve izleme özellikleri sağlayabilir. Bu araçları zaten diğer kaynaklardan veri almak için kullanıyorsanız daha kapsamlı analiz ve izleme için kimlik verilerinizin akışını yapabilirsiniz. Aşağıdaki senaryo türleri için etkinlik günlüklerinizi bir olay hub'ına akışla aktarmanızı öneririz:

• Saniyede milyonlarca olay almak ve işlemek için büyük bir veri akışı platformuna ve olay alımı hizmetine ihtiyacınız varsa.
• Gerçek zamanlı analiz sağlayıcısını veya toplu işlem/depolama bağdaştırıcılarını kullanarak verileri dönüştürmek ve depolamak istiyorsanız.

Hızlı adımlar

1. Microsoft Entra yönetim merkezinde en az Bir Güvenlik Yönetici istratörü olarak oturum açın.
2. Event Hubs ad alanı ve olay hub'ı oluşturun.
3. Kimlik>İzleme & sistem durumu>Tanılama ayarlarına göz atın.
4. Akış yapmak istediğiniz günlükleri seçin, Olay hub'ına akışla aktar seçeneğini belirleyin ve alanları tamamlayın.
   • Event Hubs ad alanı ve olay hub'ı ayarlama
   • Etkinlik günlüklerini bir olay hub'ına akışla aktarma hakkında daha fazla bilgi edinin

Bağımsız güvenlik satıcınız, Azure Event Hubs'dan kendi aracına veri alma yönergelerini sağlamalıdır.

Microsoft Graph API'siyle günlüklere erişme

Microsoft Graph API'si, Microsoft Entra ID P1 veya P2 kiracılarınızın verilerine erişmek için kullanabileceğiniz birleşik bir programlama modeli sağlar. Bir yöneticinin veya geliştiricinin betiğinizi veya uygulamanızı desteklemek için ek altyapı ayarlamasını gerektirmez.

Önerilen kullanımlar

Microsoft Graph gezginini kullanarak, aşağıdaki senaryo türlerinde size yardımcı olacak sorgular çalıştırabilirsiniz:

• Grupta kimlerin ne zaman değişiklik yaptığı gibi kiracı etkinliklerini görüntüleyin.
• Bir Microsoft Entra oturum açma olayını güvenli veya güvenliği aşılmış olarak işaretleyin.
• Son 30 güne ait uygulama oturum açmalarının listesini alın.

Hızlı adımlar

1. Önkoşulları yapılandırın.
2. Graph Explorer'da oturum açın.
3. HTTP yöntemini ve API sürümünü ayarlayın.
4. Sorgu ekledikten sonra Sorguyu çalıştır düğmesini seçin.
   • Dizin denetimleri için Microsoft Graph özellikleri hakkında bilgi edinme
   • MS Graph Hızlı Başlangıç kılavuzunu tamamlama

Günlükleri Azure İzleyici günlükleriyle tümleştirme

Azure İzleyici günlükleri tümleştirmesiyle, bağlı veriler üzerinde zengin görselleştirmeleri, izlemeyi ve uyarıyı etkinleştirebilirsiniz. Log Analytics, Microsoft Entra etkinlik günlükleri için gelişmiş sorgu ve analiz özellikleri sağlar. Microsoft Entra etkinlik günlüklerini Azure İzleyici günlükleriyle tümleştirmek için bir Log Analytics çalışma alanı gerekir. Buradan Log Analytics aracılığıyla sorgu çalıştırabilirsiniz.

Önerilen kullanımlar

Microsoft Entra günlüklerini Azure İzleyici günlükleriyle tümleştirmek, günlükleri sorgulamak için merkezi bir konum sağlar. Aşağıdaki senaryo türleri için günlükleri Azure İzleyici günlükleriyle tümleştirmenizi öneririz:

• Microsoft Entra oturum açma günlüklerini diğer Azure hizmetleri tarafından yayımlanan günlüklerle karşılaştırın.
• Oturum açma günlüklerini Azure Uygulaması lication içgörüleri ile ilişkilendirin.
• Belirli arama parametrelerini kullanarak sorgu günlükleri.

Hızlı adımlar

1. Microsoft Entra yönetim merkezinde en az Bir Güvenlik Yönetici istratörü olarak oturum açın.
2. Log Analytics çalışma alanı oluşturun.
3. Kimlik>İzleme & sistem durumu>Tanılama ayarlarına göz atın.
4. Akış yapmak istediğiniz günlükleri seçin, Log Analytics çalışma alanına gönder seçeneğini belirleyin ve alanları tamamlayın.
5. Kimlik>İzleme & sistem durumu>Log Analytics'egöz atın ve verileri sorgulamaya başlayın.
   • Microsoft Entra günlüklerini Azure İzleyici günlükleriyle tümleştirme
   • Log Analytics kullanarak sorgulamayı öğrenin

Microsoft Sentinel ile olayları izleme

Microsoft Sentinel'e oturum açma ve denetim günlükleri göndermek, güvenlik operasyonları merkezinize neredeyse gerçek zamanlı güvenlik algılama ve tehdit avcılığı sağlar. Tehdit avcılığı terimi, ortamınızın güvenlik duruşunu geliştirmek için proaktif bir yaklaşımı ifade eder. Tehdit avcılığı, klasik korumanın aksine sisteminize zarar verecek olası tehditleri proaktif olarak belirlemeye çalışır. Etkinlik günlüğü verileriniz tehdit avcılığı çözümünüzün bir parçası olabilir.

Önerilen kullanımlar

Kuruluşunuzun güvenlik analizine ve tehdit bilgilerine ihtiyacı varsa Microsoft Sentinel'in gerçek zamanlı güvenlik algılama özelliklerini kullanmanızı öneririz. Aşağıdakiler gerekiyorsa Microsoft Sentinel'i kullanın:

• Kuruluşunuz genelinde güvenlik verilerini toplayın.
• Büyük tehdit bilgileriyle tehditleri algılama.
• Yapay zeka tarafından yönlendirilen kritik olayları araştırma.
• Hızlı yanıt verin ve korumayı otomatikleştirin.

Hızlı adımlar

1. Önkoşullar, roller ve izinler hakkında bilgi edinin.
2. Olası maliyetleri tahmin edin.
3. Microsoft Sentinel'e ekleme.
4. Microsoft Entra verilerini toplayın.
5. Tehditleri avlamaya başlayın.

Microsoft Entra yönetim merkezi aracılığıyla günlükleri görüntüleme

Sınırlı kapsamlı tek seferlik araştırmalarda, microsoft Entra yönetim merkezi genellikle ihtiyacınız olan verileri bulmanın en kolay yoludur. Bu raporların her biri için kullanıcı arabirimi, senaryonuzu çözmek için ihtiyacınız olan girişleri bulmanıza olanak tanıyan filtre seçenekleri sağlar.

Microsoft Entra etkinlik günlüklerinde yakalanan veriler birçok rapor ve hizmette kullanılır. Tek seferlik senaryolar için oturum açma, denetim ve sağlama günlüklerini gözden geçirebilir veya desenlere ve eğilimlere bakmak için raporları kullanabilirsiniz. Etkinlik günlüklerindeki veriler, Microsoft Entra Id'nin algılayıp bildirebileceği bilgi güvenliğiyle ilgili risk algılamaları sağlayan Kimlik Koruması raporlarını doldurmaya yardımcı olur. Microsoft Entra etkinlik günlükleri, kiracınızın uygulamaları için kullanım ayrıntılarını sağlayan Kullanım ve içgörü raporlarını da doldurur.

Önerilen kullanımlar

Azure portalında sağlanan raporlar, kiracınızdaki etkinlikleri ve kullanımı izlemek için çok çeşitli özellikler sağlar. Aşağıdaki kullanımlar ve senaryolar listesi kapsamlı değildir, bu nedenle gereksinimlerinize uygun raporları inceleyin.

• Kullanıcının oturum açma etkinliğini araştırma veya uygulamanın kullanımını izleme.
• Denetim günlükleriyle grup adı değişiklikleri, cihaz kaydı ve parola sıfırlamalarıyla ilgili ayrıntıları gözden geçirin.
• Riskli kullanıcıları, riskli iş yükü kimliklerini ve riskli oturum açmaları izlemek için Kimlik Koruması raporlarını kullanın.
• Kullanıcılarınızın kiracınızda kullanılan uygulamalara erişebildiğinden emin olmak için Microsoft Entra uygulama etkinliği (önizleme) raporunda Kullanım ve içgörüler bölümünde oturum açma başarı oranını gözden geçirebilirsiniz.
• Kullanıcılarınızın tercihleri arasındaki farklı kimlik doğrulama yöntemlerini Kullanım ve içgörüler'in Kimlik Doğrulama yöntemleri raporuyla karşılaştırın.

Hızlı adımlar

Microsoft Entra yönetim merkezinde raporlara erişmek için aşağıdaki temel adımları kullanın.

Microsoft Entra etkinlik günlükleri

1. Kimlik>İzleme & sistem durumu>Denetim günlükleri/Oturum açma günlükleri/Sağlama günlükleri'ne göz atın.
2. Filtreyi ihtiyaçlarınıza göre ayarlayın.
   • Etkinlik günlüklerini filtrelemeyi öğrenin
   • Microsoft Entra denetim günlüğü kategorilerini ve etkinliklerini keşfetme
   • Microsoft Entra oturum açma günlüklerinde temel bilgiler hakkında bilgi edinin

raporları Microsoft Entra Kimlik Koruması

1. Koruma Kimlik Koruması'na >göz atın.
2. Kullanılabilir raporları keşfedin.
   • Kimlik Koruması hakkında daha fazla bilgi edinin
   • Riski araştırmayı öğrenin

Kullanım ve içgörü raporları

1. Kimlik>İzleme & sistem durumu>Kullanımı ve içgörüleri'ne göz atın.
2. Kullanılabilir raporları keşfedin.
   • Kullanım ve içgörüler raporu hakkında daha fazla bilgi edinin

Depolama ve sorgular için günlükleri dışarı aktarma

Uzun vadeli depolama alanınız için doğru çözüm, bütçenize ve verilerle ne yapmayı planladığınıza bağlıdır. Üç seçeneğiniz vardır:

• Günlükleri Azure Depolama arşivle
• El ile depolama için günlükleri indirme
• Günlükleri Azure İzleyici günlükleriyle tümleştirme

Verilerinizi sık sık sorgulamayı planlamıyorsanız Azure Depolama doğru çözümdür. Daha fazla bilgi için bkz . Dizin günlüklerini depolama hesabında arşivle.

Raporları çalıştırmak veya depolanan günlüklerde analiz gerçekleştirmek için günlükleri sık sık sorgulamayı planlıyorsanız verilerinizi Azure İzleyici günlükleriyle tümleştirmeniz gerekir.

Bütçeniz kısıtlıysa ve etkinlik günlüklerinizin uzun süreli yedeğini oluşturmak için ucuz bir yönteme ihtiyacınız varsa günlüklerinizi el ile indirebilirsiniz. Portaldaki etkinlik günlüklerinin kullanıcı arabirimi, verileri JSON veya CSV olarak indirme seçeneği sunar. El ile indirme işleminin bir dezavantajı, daha fazla el ile etkileşime ihtiyaç duymasıdır. Daha profesyonel bir çözüm arıyorsanız Azure Depolama veya Azure İzleyici'yi kullanın.

Önerilen kullanımlar

Uzun süreli depolamanın gerekli olduğu idare ve uyumluluk senaryolarına yönelik etkinlik günlüklerinizi arşivlenecek bir depolama hesabı ayarlamanızı öneririz.

Uzun süreli depolama alanı kullanmak ve veriler üzerinde sorgu çalıştırmak istiyorsanız etkinlik günlüklerinizi Azure İzleyici Günlükleriyle tümleştirme bölümünü gözden geçirin.

Bütçe kısıtlamalarınız varsa etkinlik günlüklerinizi el ile indirmenizi ve depolamanızı öneririz.

Hızlı adımlar

Etkinlik günlüklerinizi arşivleyip indirmek için aşağıdaki temel adımları kullanın.

Etkinlik günlüklerini depolama hesabında arşivleme

1. Microsoft Entra yönetim merkezinde en az Bir Güvenlik Yönetici istratörü olarak oturum açın.
2. Depolama hesabı oluşturma.
3. Kimlik>İzleme & sistem durumu>Tanılama ayarlarına göz atın.
4. Akışla aktarmak istediğiniz günlükleri seçin, Depolama hesabına arşivle seçeneğini belirleyin ve alanları tamamlayın.
   • Veri saklama ilkelerini gözden geçirin

Etkinlik günlüklerini el ile indirme

1. Microsoft Entra yönetim merkezinde en az Bir Rapor Okuyucusu olarak oturum açın.
2. Kimlik>İzleme & sistem durumu>Denetim günlüklerine/göz atın İzleme menüsünden Oturum açma günlükleri/Sağlama günlükleri.
3. İndir'i seçin.
   • Günlükleri indirme hakkında daha fazla bilgi edinin.

Sonraki adımlar

• Günlükleri olay hub'ına akışla aktarma
• Günlükleri depolama hesabında arşivle
• Günlükleri Azure İzleyici günlükleriyle tümleştirme