Share via


Microsoft Entra ID'de etkinlik günlüklerine erişme

Microsoft Entra günlüklerinizde toplanan veriler, Microsoft Entra kiracınızın birçok yönünü değerlendirmenize olanak tanır. Microsoft Entra ID, çok çeşitli senaryoları kapsayacak şekilde etkinlik günlüğü verilerinize erişmeniz için çeşitli seçenekler sunar. BT yöneticisi olarak, senaryonuz için doğru erişim yöntemini seçebilmeniz için bu seçenekler için amaçlanan kullanım örneklerini anlamanız gerekir.

Aşağıdaki yöntemleri kullanarak Microsoft Entra etkinlik günlüklerine ve raporlarına erişebilirsiniz:

Bu yöntemlerin her biri, belirli senaryolarla uyumlu olabilecek özellikler sağlar. Bu makalede, etkinlik günlüklerindeki verileri kullanan ilgili raporlar hakkında öneriler ve ayrıntılar da dahil olmak üzere bu senaryolar açıklanmaktadır. Doğru yöntemi seçebilmek için bu senaryolar hakkında bilgi edinmek için bu makaledeki seçenekleri inceleyin.

Önkoşullar

Gerekli roller ve lisanslar rapora göre farklılık gösterir. Microsoft Graph'ta izleme ve sistem durumu verilerine erişmek için ayrı izinler gereklidir. Sıfır Güven kılavuzuyla uyumlu hale getirmek için en az ayrıcalık erişimine sahip bir rol kullanmanızı öneririz.

Günlük / Rapor Roller Lisanslar
Audit Rapor Okuyucusu
Güvenlik Okuyucusu
Güvenlik Yöneticisi
Genel Okuyucu
Microsoft Entra Id'nin tüm sürümleri
Oturum açma işlemleri Rapor Okuyucusu
Güvenlik Okuyucusu
Güvenlik Yöneticisi
Genel Okuyucu
Microsoft Entra Id'nin tüm sürümleri
Hazırlanıyor Rapor Okuyucusu
Güvenlik Okuyucusu
Güvenlik Yöneticisi
Genel Okuyucu
Güvenlik İşleci
Uygulama Yöneticisi
Cloud App Yönetici istrator
Microsoft Entra ID P1 veya P2
Özel güvenlik özniteliği denetim günlükleri* Öznitelik Günlüğü Yönetici istrator
Öznitelik Günlüğü Okuyucusu
Microsoft Entra Id'nin tüm sürümleri
Kullanım ve içgörüler Rapor Okuyucusu
Güvenlik Okuyucusu
Güvenlik Yöneticisi
Microsoft Entra ID P1 veya P2
Kimlik Koruması** Güvenlik Yöneticisi
Güvenlik İşleci
Güvenlik Okuyucusu
Genel Okuyucu
Microsoft Entra Kimliği Ücretsiz
Microsoft 365 Uygulamaları
Microsoft Entra ID P1 veya P2
Microsoft Graph etkinlik günlükleri Güvenlik Yöneticisi
İlgili günlük hedefindeki verilere erişim izinleri
Microsoft Entra ID P1 veya P2

*Denetim günlüklerinde özel güvenlik özniteliklerini görüntülemek veya özel güvenlik öznitelikleri için tanılama ayarları oluşturmak için Öznitelik Günlüğü rollerinden biri gerekir. Standart denetim günlüklerini görüntülemek için uygun role de ihtiyacınız vardır.

**Kimlik Koruması'na yönelik erişim ve yetenek düzeyi rol ve lisansa göre değişir. Daha fazla bilgi için bkz . Kimlik Koruması için lisans gereksinimleri.

Denetim günlükleri, lisansladığınız özellikler için kullanılabilir. Microsoft Graph API'sini kullanarak oturum açma günlüklerine erişmek için kiracınızın kendisiyle ilişkilendirilmiş bir Microsoft Entra Id P1 veya P2 lisansı olmalıdır.

SIEM araçlarıyla tümleştirmek için günlükleri olay hub'ına akışla aktarma

Etkinlik günlüklerinizi splunk ve SumoLogic gibi Güvenlik Bilgileri ve Olay Yönetimi (SIEM) araçlarıyla tümleştirmek için etkinlik günlüklerinizi bir olay hub'ına akışla aktarmanız gerekir. Günlükleri bir olay hub'ına akışla aktarabilmeniz için önce Azure aboneliğinizde bir Event Hubs ad alanı ve olay hub'ı ayarlamanız gerekir.

Olay hub'ınızla tümleştirebileceğiniz SIEM araçları analiz ve izleme özellikleri sağlayabilir. Bu araçları zaten diğer kaynaklardan veri almak için kullanıyorsanız daha kapsamlı analiz ve izleme için kimlik verilerinizin akışını yapabilirsiniz. Aşağıdaki senaryo türleri için etkinlik günlüklerinizi bir olay hub'ına akışla aktarmanızı öneririz:

  • Saniyede milyonlarca olay almak ve işlemek için büyük bir veri akışı platformuna ve olay alımı hizmetine ihtiyacınız varsa.
  • Gerçek zamanlı analiz sağlayıcısını veya toplu işlem/depolama bağdaştırıcılarını kullanarak verileri dönüştürmek ve depolamak istiyorsanız.

Hızlı adımlar

  1. Microsoft Entra yönetim merkezinde en az Bir Güvenlik Yönetici istratörü olarak oturum açın.
  2. Event Hubs ad alanı ve olay hub'ı oluşturun.
  3. Kimlik>İzleme ve sistem durumu>Tanılama ayarları'na göz atın.
  4. Akış yapmak istediğiniz günlükleri seçin, Olay hub'ına akışla aktar seçeneğini belirleyin ve alanları tamamlayın.

Bağımsız güvenlik satıcınız, Azure Event Hubs'dan kendi aracına veri alma yönergelerini sağlamalıdır.

Microsoft Graph API'siyle günlüklere erişme

Microsoft Graph API'si, Microsoft Entra ID P1 veya P2 kiracılarınızın verilerine erişmek için kullanabileceğiniz birleşik bir programlama modeli sağlar. Bir yöneticinin veya geliştiricinin betiğinizi veya uygulamanızı desteklemek için ek altyapı ayarlamasını gerektirmez.

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Microsoft Graph gezginini kullanarak, aşağıdaki senaryo türlerinde size yardımcı olacak sorgular çalıştırabilirsiniz:

  • Grupta kimlerin ne zaman değişiklik yaptığı gibi kiracı etkinliklerini görüntüleyin.
  • Bir Microsoft Entra oturum açma olayını güvenli veya güvenliği aşılmış olarak işaretleyin.
  • Son 30 güne ait uygulama oturum açmalarının listesini alın.

Not

Microsoft Graph, kendi azaltma sınırlarını uygulayan birden çok hizmetten verilere erişmenizi sağlar. Etkinlik günlüğü azaltma hakkında daha fazla bilgi için bkz . Microsoft Graph hizmetine özgü azaltma sınırları.

Hızlı adımlar

  1. Önkoşulları yapılandırın.
  2. Graph Explorer'da oturum açın.
  3. HTTP yöntemini ve API sürümünü ayarlayın.
  4. Sorgu ekledikten sonra Sorguyu çalıştır düğmesini seçin.

Günlükleri Azure İzleyici günlükleriyle tümleştirme

Azure İzleyici günlükleri tümleştirmesiyle, bağlı veriler üzerinde zengin görselleştirmeleri, izlemeyi ve uyarıyı etkinleştirebilirsiniz. Log Analytics, Microsoft Entra etkinlik günlükleri için gelişmiş sorgu ve analiz özellikleri sağlar. Microsoft Entra etkinlik günlüklerini Azure İzleyici günlükleriyle tümleştirmek için bir Log Analytics çalışma alanı gerekir. Buradan Log Analytics aracılığıyla sorgu çalıştırabilirsiniz.

Microsoft Entra günlüklerini Azure İzleyici günlükleriyle tümleştirmek, günlükleri sorgulamak için merkezi bir konum sağlar. Aşağıdaki senaryo türleri için günlükleri Azure İzleyici ile tümleştirmenizi öneririz:

  • Microsoft Entra oturum açma günlüklerini diğer Azure hizmetleri tarafından yayımlanan günlüklerle karşılaştırın.
  • Oturum açma günlüklerini Azure Uygulaması lication içgörüleri ile ilişkilendirin.
  • Belirli arama parametrelerini kullanarak sorgu günlükleri.

Hızlı adımlar

  1. Microsoft Entra yönetim merkezinde en az Bir Güvenlik Yönetici istratörü olarak oturum açın.
  2. Log Analytics çalışma alanı oluşturun.
  3. Kimlik>İzleme ve sistem durumu>Tanılama ayarları'na göz atın.
  4. Akış yapmak istediğiniz günlükleri seçin, Log Analytics çalışma alanına gönder seçeneğini belirleyin ve alanları tamamlayın.
  5. Kimlik>İzleme ve sistem durumu>Log Analytics'egöz atın ve verileri sorgulamaya başlayın.

Microsoft Sentinel ile olayları izleme

Microsoft Sentinel'e oturum açma ve denetim günlükleri göndermek, güvenlik operasyonları merkezinize neredeyse gerçek zamanlı güvenlik algılama ve tehdit avcılığı sağlar. Tehdit avcılığı terimi, ortamınızın güvenlik duruşunu geliştirmek için proaktif bir yaklaşımı ifade eder. Tehdit avcılığı, klasik korumanın aksine sisteminize zarar verecek olası tehditleri proaktif olarak belirlemeye çalışır. Etkinlik günlüğü verileriniz tehdit avcılığı çözümünüzün bir parçası olabilir.

Kuruluşunuzun güvenlik analizine ve tehdit bilgilerine ihtiyacı varsa Microsoft Sentinel'in gerçek zamanlı güvenlik algılama özelliklerini kullanmanızı öneririz. Aşağıdakiler gerekiyorsa Microsoft Sentinel'i kullanın:

  • Kuruluşunuz genelinde güvenlik verilerini toplayın.
  • Büyük tehdit bilgileriyle tehditleri algılama.
  • Yapay zeka tarafından yönlendirilen kritik olayları araştırma.
  • Hızlı yanıt verin ve korumayı otomatikleştirin.

Hızlı adımlar

  1. Önkoşullar, roller ve izinler hakkında bilgi edinin.
  2. Olası maliyetleri tahmin edin.
  3. Microsoft Sentinel'e ekleme.
  4. Microsoft Entra verilerini toplayın.
  5. Tehditleri avlamaya başlayın.

Microsoft Entra yönetim merkezi aracılığıyla günlükleri görüntüleme

Sınırlı kapsamlı tek seferlik araştırmalarda, microsoft Entra yönetim merkezi genellikle ihtiyacınız olan verileri bulmanın en kolay yoludur. Bu raporların her biri için kullanıcı arabirimi, senaryonuzu çözmek için ihtiyacınız olan girişleri bulmanıza olanak tanıyan filtre seçenekleri sağlar.

Microsoft Entra etkinlik günlüklerinde yakalanan veriler birçok rapor ve hizmette kullanılır. Tek seferlik senaryolar için oturum açma, denetim ve sağlama günlüklerini gözden geçirebilir veya desenlere ve eğilimlere bakmak için raporları kullanabilirsiniz. Etkinlik günlüklerindeki veriler, Microsoft Entra Id'nin algılayıp bildirebileceği bilgi güvenliğiyle ilgili risk algılamaları sağlayan Kimlik Koruması raporlarını doldurmaya yardımcı olur. Microsoft Entra etkinlik günlükleri, kiracınızın uygulamaları için kullanım ayrıntılarını sağlayan Kullanım ve içgörü raporlarını da doldurur.

Azure portalında sağlanan raporlar, kiracınızdaki etkinlikleri ve kullanımı izlemek için çok çeşitli özellikler sağlar. Aşağıdaki kullanımlar ve senaryolar listesi kapsamlı değildir, bu nedenle gereksinimlerinize uygun raporları inceleyin.

  • Kullanıcının oturum açma etkinliğini araştırma veya uygulamanın kullanımını izleme.
  • Denetim günlükleriyle grup adı değişiklikleri, cihaz kaydı ve parola sıfırlamalarıyla ilgili ayrıntıları gözden geçirin.
  • Riskli kullanıcıları, riskli iş yükü kimliklerini ve riskli oturum açmaları izlemek için Kimlik Koruması raporlarını kullanın.
  • Kullanıcılarınızın kiracınızda kullanılan uygulamalara erişebildiğinden emin olmak için Kullanım ve içgörüler bölümünden Microsoft Entra uygulama etkinliği (önizleme) raporunda oturum açma başarı oranını gözden geçirebilirsiniz.
  • Kullanıcılarınızın tercihleri arasındaki farklı kimlik doğrulama yöntemlerini Kullanım ve içgörüler'in Kimlik Doğrulama yöntemleri raporuyla karşılaştırın.

Hızlı adımlar

Microsoft Entra yönetim merkezinde raporlara erişmek için aşağıdaki temel adımları kullanın.

Microsoft Entra etkinlik günlükleri

  1. Kimlik>İzleme ve sistem durumu>Denetim günlükleri/Oturum açma günlükleri Sağlama günlükleri'ne/ göz atın.
  2. Filtreyi ihtiyaçlarınıza göre ayarlayın.

Denetim günlüklerine doğrudan çalıştığınız Microsoft Entra yönetim merkezinin alanından erişilebilir. Örneğin, Microsoft Entra Id'nin Gruplar veya Lisanslar bölümündeyseniz, söz konusu etkinlikler için denetim günlüklerine doğrudan bu alandan erişebilirsiniz. Denetim günlüklerine bu şekilde eriştiğinizde, filtre kategorileri otomatik olarak ayarlanır. Gruplar'daysanız denetim günlüğü filtre kategorisi GroupManagement olarak ayarlanır.

raporları Microsoft Entra Kimlik Koruması

  1. Koruma Kimlik Koruması'na >göz atın.
  2. Kullanılabilir raporları keşfedin.

Kullanım ve içgörü raporları

  1. Kimlik>İzleme ve sistem durumu>Kullanımı ve içgörüleri'ne göz atın.
  2. Kullanılabilir raporları keşfedin.

Depolama ve sorgular için günlükleri dışarı aktarma

Uzun vadeli depolama alanınız için doğru çözüm, bütçenize ve verilerle ne yapmayı planladığınıza bağlıdır. Üç seçeneğiniz vardır:

  • Günlükleri Azure Depolama arşivle
  • El ile depolama için günlükleri indirme
  • Günlükleri Azure İzleyici günlükleriyle tümleştirme

Verilerinizi sık sık sorgulamayı planlamıyorsanız Azure Depolama doğru çözümdür. Daha fazla bilgi için bkz . Dizin günlüklerini depolama hesabında arşivle.

Raporları çalıştırmak veya depolanan günlüklerde analiz gerçekleştirmek için günlükleri sık sık sorgulamayı planlıyorsanız verilerinizi Azure İzleyici günlükleriyle tümleştirmeniz gerekir.

Bütçeniz kısıtlıysa ve etkinlik günlüklerinizin uzun süreli yedeğini oluşturmak için ucuz bir yönteme ihtiyacınız varsa günlüklerinizi el ile indirebilirsiniz. Portaldaki etkinlik günlüklerinin kullanıcı arabirimi, verileri JSON veya CSV olarak indirme seçeneği sunar. El ile indirme işleminin bir dezavantajı, daha fazla el ile etkileşime ihtiyaç duymasıdır. Daha profesyonel bir çözüm arıyorsanız Azure Depolama veya Azure İzleyici'yi kullanın.

Uzun süreli depolamanın gerekli olduğu idare ve uyumluluk senaryolarına yönelik etkinlik günlüklerinizi arşivlenecek bir depolama hesabı ayarlamanızı öneririz.

Uzun süreli depolama alanı kullanmak ve veriler üzerinde sorgu çalıştırmak istiyorsanız etkinlik günlüklerinizi Azure İzleyici Günlükleriyle tümleştirme bölümünü gözden geçirin.

Bütçe kısıtlamalarınız varsa etkinlik günlüklerinizi el ile indirmenizi ve depolamanızı öneririz.

Hızlı adımlar

Etkinlik günlüklerinizi arşivleyip indirmek için aşağıdaki temel adımları kullanın.

Etkinlik günlüklerini depolama hesabında arşivleme

  1. Microsoft Entra yönetim merkezinde en az Bir Güvenlik Yönetici istratörü olarak oturum açın.
  2. Depolama hesabı oluşturma.
  3. Kimlik>İzleme ve sistem durumu>Tanılama ayarları'na göz atın.
  4. Akışla aktarmak istediğiniz günlükleri seçin, Depolama hesabına arşivle seçeneğini belirleyin ve alanları tamamlayın.

Etkinlik günlüklerini el ile indirme

  1. Microsoft Entra yönetim merkezinde en az Bir Rapor Okuyucusu olarak oturum açın.
  2. kimlik>izleme ve sistem durumu>Denetim günlükleri/oturum açma günlükleri/İzleme menüsünden Sağlama günlükleri'negöz atın.
  3. İndir'i seçin.

Sonraki adımlar