Přístup k protokolům aktivit v Microsoft Entra ID

  • Článek

Data shromážděná v protokolech Microsoft Entra umožňují vyhodnotit mnoho aspektů vašeho tenanta Microsoft Entra. Pokud chcete pokrýt širokou škálu scénářů, poskytuje Microsoft Entra ID několik možností pro přístup k datům protokolu aktivit. Jako správce IT potřebujete porozumět zamýšleným případům použití těchto možností, abyste pro svůj scénář mohli vybrat správnou metodu přístupu.

K protokolům a sestavám aktivit Microsoft Entra můžete přistupovat pomocí následujících metod:

Každá z těchto metod poskytuje možnosti, které můžou být v souladu s určitými scénáři. Tento článek popisuje tyto scénáře, včetně doporučení a podrobností o souvisejících sestavách, které používají data v protokolech aktivit. Prozkoumejte možnosti v tomto článku a seznamte se s těmito scénáři, abyste mohli zvolit správnou metodu.

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Předpoklady

Požadované role a licence se můžou lišit v závislosti na sestavě. Globální Správa istrátory mají přístup ke všem sestavám, ale doporučujeme použít roli s přístupem s nejnižšími oprávněními, aby byly v souladu s pokyny pro nulová důvěra (Zero Trust).

Protokol / sestava Role Licence
Audit Čtenář sestav
Čtenář zabezpečení
Správce zabezpečení
Globální čtenář		 Všechny edice Microsoft Entra ID
Přihlášení Čtenář sestav
Čtenář zabezpečení
Správce zabezpečení
Globální čtenář		 Všechny edice Microsoft Entra ID
Zřizování Stejné jako audit a přihlášení, plus
Operátor zabezpečení
Správce aplikace
Cloud App Správa istrator
Vlastní role s oprávněním provisioningLogs		 Premium P1 nebo P2
Přehledy a využití Čtenář zabezpečení
Čtenář sestav
Správce zabezpečení		 Premium P1 nebo P2
Identity Protection* Správce zabezpečení
Operátor zabezpečení
Čtenář zabezpečení
Globální čtenář		 Microsoft Entra ID Free/Microsoft 365 Apps
Microsoft Entra ID P1 nebo P2

*Úroveň přístupu a možností služby Identity Protection se liší podle role a licence. Další informace najdete v licenčních požadavcích pro Službu Identity Protection.

Protokoly auditu jsou k dispozici pro funkce, které máte licencované. Pokud chcete získat přístup k protokolům přihlašování pomocí rozhraní Microsoft Graph API, musí mít váš tenant přidruženou licenci Microsoft Entra ID P1 nebo P2.

Streamování protokolů do centra událostí pro integraci s nástroji SIEM

Streamování protokolů aktivit do centra událostí se vyžaduje k integraci protokolů aktivit s nástroji SIEM (Security Information and Event Management), jako jsou Splunk a SumoLogic. Než budete moct streamovat protokoly do centra událostí, musíte ve svém předplatném Azure nastavit obor názvů služby Event Hubs a centrum událostí.

Nástroje SIEM, které můžete integrovat s centrem událostí, můžou poskytovat možnosti analýzy a monitorování. Pokud už tyto nástroje používáte k ingestování dat z jiných zdrojů, můžete streamovat data identity pro komplexnější analýzu a monitorování. Pro následující typy scénářů doporučujeme streamovat protokoly aktivit do centra událostí:

  • Pokud potřebujete platformu pro streamování velkých objemů dat a službu pro příjem událostí pro příjem a zpracování milionů událostí za sekundu.
  • Pokud chcete transformovat a ukládat data pomocí poskytovatele analýz v reálném čase nebo adaptérů dávkování a úložiště.

Rychlé kroky

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň bezpečnostní Správa istrator.
  2. Vytvořte obor názvů služby Event Hubs a centrum událostí.
  3. Přejděte do nastavení diagnostiky stavu>monitorování & identit.>
  4. Zvolte protokoly, které chcete streamovat, vyberte možnost Stream do centra událostí a vyplňte pole.

Nezávislý dodavatel zabezpečení by vám měl poskytnout pokyny, jak ingestovat data ze služby Azure Event Hubs do svého nástroje.

Přístup k protokolům pomocí rozhraní Microsoft Graph API

Rozhraní Microsoft Graph API poskytuje jednotný model programovatelnosti, který můžete použít pro přístup k datům pro tenanty Microsoft Entra ID P1 nebo P2. Nevyžaduje, aby správce nebo vývojář nastavil další infrastrukturu pro podporu vašeho skriptu nebo aplikace.

Pomocí Microsoft Graph Exploreru můžete spouštět dotazy, které vám pomůžou s následujícími typy scénářů:

  • Umožňuje zobrazit aktivity tenanta, například kdo provedl změnu skupiny a kdy.
  • Označte přihlašovací událost Microsoft Entra jako bezpečnou nebo potvrzenou ohrožení zabezpečení.
  • Načtěte seznam přihlášení aplikací za posledních 30 dnů.

Rychlé kroky

  1. Nakonfigurujte požadavky.
  2. Přihlaste se k Graph Exploreru.
  3. Nastavte metodu HTTP a verzi rozhraní API.
  4. Přidejte dotaz a pak vyberte tlačítko Spustit dotaz .

Integrace protokolů s protokoly služby Azure Monitor

Díky integraci protokolů služby Azure Monitor můžete povolit bohaté vizualizace, monitorování a upozorňování na připojená data. Log Analytics poskytuje rozšířené možnosti dotazování a analýzy pro protokoly aktivit Microsoft Entra. Pokud chcete integrovat protokoly aktivit Microsoft Entra s protokoly služby Azure Monitor, potřebujete pracovní prostor služby Log Analytics. Odtud můžete spouštět dotazy prostřednictvím Log Analytics.

Integrace protokolů Microsoft Entra s protokoly Azure Monitoru poskytuje centralizované umístění pro dotazování protokolů. Pro následující typy scénářů doporučujeme integrovat protokoly s protokoly služby Azure Monitor:

  • Porovnejte protokoly přihlašování Microsoft Entra s protokoly publikovanými jinými službami Azure.
  • Korelujte protokoly přihlašování s Aplikace Azure insights.
  • Dotazování protokolů pomocí konkrétních parametrů hledání

Rychlé kroky

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň bezpečnostní Správa istrator.
  2. Vytvořte pracovní prostor služby Log Analytics.
  3. Přejděte do nastavení diagnostiky stavu>monitorování & identit.>
  4. Zvolte protokoly, které chcete streamovat, vyberte možnost Odeslat do pracovního prostoru služby Log Analytics a vyplňte pole.
  5. Přejděte na Log Analytics o stavu>monitorování & identit>a začněte dotazovat data.

Monitorování událostí pomocí Služby Microsoft Sentinel

Odesílání protokolů přihlašování a auditu do Služby Microsoft Sentinel poskytuje centrum operací zabezpečení s detekcí zabezpečení a proaktivním vyhledáváním hrozeb téměř v reálném čase. Pojem proaktivní proaktivní vyhledávání hrozeb označuje proaktivní přístup ke zlepšení stavu zabezpečení vašeho prostředí. Na rozdíl od klasické ochrany se vyhledávání hrozeb snaží proaktivně identifikovat potenciální hrozby, které by mohly poškodit váš systém. Data protokolu aktivit můžou být součástí vašeho řešení proaktivního vyhledávání hrozeb.

Pokud vaše organizace potřebuje analýzu zabezpečení a analýzu hrozeb, doporučujeme používat funkce detekce zabezpečení služby Microsoft Sentinel v reálném čase. Pokud potřebujete:

  • Shromážděte data zabezpečení v celém podniku.
  • Detekce hrozeb pomocí rozsáhlé analýzy hrozeb
  • Prozkoumejte kritické incidenty řízené AI.
  • Rychle reagovat a automatizovat ochranu

Rychlé kroky

  1. Přečtěte si o požadavcích, rolích a oprávněních.
  2. Odhad potenciálních nákladů
  3. Připojte se k Microsoft Sentinelu.
  4. Shromážděte data Microsoft Entra.
  5. Začněte hledat hrozby.

Zobrazení protokolů prostřednictvím Centra pro správu Microsoft Entra

U jednorázových šetření s omezeným rozsahem je centrum pro správu Microsoft Entra často nejjednodušší způsob, jak najít potřebná data. Uživatelské rozhraní pro každou z těchto sestav nabízí možnosti filtru, které vám umožní najít položky, které potřebujete k vyřešení vašeho scénáře.

Data zachycená v protokolech aktivit Microsoft Entra se používají v mnoha sestavách a službách. Protokoly přihlašování, auditu a zřizování můžete zkontrolovat v jednorázových scénářích nebo pomocí sestav podívat se na vzory a trendy. Data z protokolů aktivit pomáhají naplnit sestavy identity Protection, které poskytují detekce rizik souvisejících se zabezpečením informací, které může Microsoft Entra ID detekovat a hlásit. Protokoly aktivit Microsoft Entra také naplňují sestavy využití a přehledů, které poskytují podrobnosti o využití pro aplikace vašeho tenanta.

Sestavy dostupné na webu Azure Portal poskytují širokou škálu možností pro monitorování aktivit a využití ve vašem tenantovi. Následující seznam použití a scénářů není vyčerpávající, proto prozkoumejte sestavy podle svých potřeb.

  • Prohledáte přihlašovací aktivitu uživatele nebo sledujte využití aplikace.
  • Zkontrolujte podrobnosti o změnách názvů skupin, registraci zařízení a resetování hesel pomocí protokolů auditu.
  • Sestavy identity Protection slouží k monitorování rizikových uživatelů, rizikových identit úloh a rizikových přihlášení.
  • Pokud chcete zajistit, aby vaši uživatelé měli přístup k aplikacím, které se používají ve vašem tenantovi, můžete zkontrolovat úspěšnost přihlášení v sestavě aktivit aplikace Microsoft Entra (Preview) z části Využití a přehledy.
  • Porovnejte různé metody ověřování, které uživatelé preferují, se sestavou metod ověřování ze sestavy Využití a přehledy.

Rychlé kroky

Pro přístup k sestavám v Centru pro správu Microsoft Entra použijte následující základní kroky.

Protokoly aktivit Microsoft Entra

  1. Přejděte k protokolům auditu stavu monitorování&> identit>– Protokoly/zřizování protokolů/ přihlašování.
  2. Upravte filtr podle svých potřeb.

Sestavy microsoft Entra ID Protection

  1. Přejděte na Ochranu>identity Protection.
  2. Prozkoumejte dostupné sestavy.

Sestavy využití a přehledů

  1. Přejděte na Využití stavu>monitorování & identit>a přehledy.
  2. Prozkoumejte dostupné sestavy.

Export protokolů pro úložiště a dotazy

Správné řešení pro dlouhodobé úložiště závisí na vašem rozpočtu a na tom, co plánujete s daty dělat. Máte tři možnosti:

  • Archivace protokolů do Azure Storage
  • Stažení protokolů pro ruční úložiště
  • Integrace protokolů s protokoly služby Azure Monitor

Azure Storage je správné řešení, pokud neplánujete často dotazovat data. Další informace najdete v tématu Archivace protokolů adresáře do účtu úložiště.

Pokud máte v úmyslu dotazovat se na protokoly, které často spouštějí sestavy nebo provádějí analýzu uložených protokolů, měli byste data integrovat s protokoly služby Azure Monitor.

Pokud je váš rozpočet těsný a potřebujete levnou metodu pro vytvoření dlouhodobé zálohy protokolů aktivit, můžete si protokoly stáhnout ručně. Uživatelské rozhraní protokolů aktivit na portálu poskytuje možnost stáhnout data jako JSON nebo CSV. Jedním kompromisem z ručního stahování je, že vyžaduje větší ruční interakci. Pokud hledáte profesionálnější řešení, použijte Azure Storage nebo Azure Monitor.

Doporučujeme nastavit účet úložiště pro archivaci protokolů aktivit pro tyto scénáře zásad správného řízení a dodržování předpisů, ve kterých se vyžaduje dlouhodobé úložiště.

Pokud chcete dlouhodobé úložiště a chcete spouštět dotazy na data, projděte si část věnovanou integraci protokolů aktivit s protokoly služby Azure Monitor.

Pokud máte rozpočtová omezení, doporučujeme ručně stahovat a ukládat protokoly aktivit.

Rychlé kroky

K archivaci nebo stažení protokolů aktivit použijte následující základní kroky.

Archivace protokolů aktivit do účtu úložiště

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň bezpečnostní Správa istrator.
  2. Vytvořte si účet úložiště.
  3. Přejděte do nastavení diagnostiky stavu>monitorování & identit.>
  4. Zvolte protokoly, které chcete streamovat, vyberte možnost Archivovat do účtu úložiště a vyplňte pole.

Ruční stahování protokolů aktivit

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář sestav.
  2. V nabídce Monitorování monitorování přejděte k >&>protokolům/auditu stavu identity – Protokoly zřizování protokolů/ přihlášení.
  3. Vyberte položku Stáhnout.

Další kroky