Come accedere ai log attività in Microsoft Entra ID

I dati raccolti nei log di Microsoft Entra consentono di valutare molti aspetti del tenant di Microsoft Entra. Per coprire un'ampia gamma di scenari, Microsoft Entra ID offre diverse opzioni per accedere ai dati del log attività. In qualità di amministratore IT, è necessario comprendere i casi d'uso previsti per queste opzioni, in modo da poter selezionare il meccanismo di accesso appropriato per lo scenario.

È possibile accedere ai log attività e ai report di Microsoft Entra usando i metodi seguenti:

• Trasmettere i log attività a un hub eventi per l'integrazione con altri strumenti
• Accedere ai log attività tramite l'API Microsoft Graph
• Integrare i log attività con i log di Monitoraggio di Azure
• Monitorare l'attività in tempo reale con Microsoft Sentinel
• Visualizzare i log attività e i report nel portale di Azure
• Esportare i log attività per l'archiviazione e le query

Ognuno di questi metodi offre funzionalità che potrebbero essere allineate a determinati scenari. Questo articolo descrive questi scenari, inclusi i consigli e i dettagli sui report correlati che usano i dati nei log attività. Esplorare le opzioni in questo articolo per informazioni su questi scenari, in modo da poter scegliere il metodo corretto.

Prerequisiti

I ruoli e le licenze necessari variano in base al report. Sono necessarie autorizzazioni separate per accedere ai dati di monitoraggio e integrità in Microsoft Graph. È consigliabile usare un ruolo con accesso con privilegi minimi per allinearsi alle linee guida Zero Trust.

Log/Report	Ruoli	Licenze
Audit	Lettore di report Ruolo con autorizzazioni di lettura per la sicurezza Amministratore della sicurezza Ruolo con autorizzazioni di lettura globali	Tutte le edizioni di Microsoft Entra ID
Accessi	Lettore di report Ruolo con autorizzazioni di lettura per la sicurezza Amministratore della sicurezza Ruolo con autorizzazioni di lettura globali	Tutte le edizioni di Microsoft Entra ID
Provisioning in corso	Lettore di report Ruolo con autorizzazioni di lettura per la sicurezza Amministratore della sicurezza Ruolo con autorizzazioni di lettura globali Operatore di sicurezza Amministratore applicazione Cloud App Amministrazione istrator	Microsoft Entra ID P1 o P2
Log di controllo degli attributi di sicurezza personalizzati*	Attributo Log Amministrazione istrator Lettore log attributi	Tutte le edizioni di Microsoft Entra ID
Utilizzo e informazioni dettagliate	Lettore di report Ruolo con autorizzazioni di lettura per la sicurezza Amministratore della sicurezza	Microsoft Entra ID P1 o P2
Identity Protection**	Amministratore della sicurezza Operatore di sicurezza Ruolo con autorizzazioni di lettura per la sicurezza Ruolo con autorizzazioni di lettura globali	Microsoft Entra ID gratis App di Microsoft 365 Microsoft Entra ID P1 o P2
Log attività di Microsoft Graph	Amministratore della sicurezza Autorizzazioni per accedere ai dati nella destinazione log corrispondente	Microsoft Entra ID P1 o P2

*La visualizzazione degli attributi di sicurezza personalizzati nei log di controllo o la creazione di impostazioni di diagnostica per gli attributi di sicurezza personalizzati richiede uno dei ruoli log attributi. È anche necessario il ruolo appropriato per visualizzare i log di controllo standard.

**Il livello di accesso e funzionalità per Identity Protection varia in base al ruolo e alla licenza. Per altre informazioni, vedere i requisiti di licenza per Identity Protection.

I log di controllo sono disponibili per le funzionalità concesse in licenza. Per accedere ai log di accesso tramite l'API Microsoft Graph, al tenant deve essere associata una licenza Microsoft Entra ID P1 o P2.

Trasmettere i log a un hub eventi per l'integrazione con gli strumenti SIEM

Lo streaming dei log attività in un hub eventi è necessario per integrare i log attività con strumenti SIEM (Security Information and Event Management), ad esempio Splunk e SumoLogic. Prima di poter trasmettere i log a un hub eventi, è necessario configurare uno spazio dei nomi di Hub eventi e un hub eventi nella sottoscrizione di Azure.

Usi consigliati

Gli strumenti SIEM che è possibile integrare con l'hub eventi possono fornire funzionalità di analisi e monitoraggio. Se si usano già questi strumenti per inserire dati da altre origini, è possibile trasmettere i dati di identità per un'analisi e un monitoraggio più completi. È consigliabile trasmettere i log attività a un hub eventi per i tipi di scenari seguenti:

• Se è necessaria una piattaforma di streaming di Big Data e un servizio di inserimento di eventi per ricevere ed elaborare milioni di eventi al secondo.
• Per trasformare e archiviare i dati usando un provider di analisi in tempo reale o schede di archiviazione/invio in batch.If you're looking to transform and store data by using a real-time analytics provider or batch/storage adapters.

Azioni rapide

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di sicurezza.
2. Creare uno spazio dei nomi e un hub eventi di Hub eventi.
3. Passare a Identity Monitoring and health Diagnostic settings (Monitoraggio identità>e impostazioni di diagnostica dell'integrità).>
4. Scegliere i log da trasmettere, selezionare l'opzione Stream to an event hub (Stream to an event hub ) e completare i campi.
   • Configurare uno spazio dei nomi di Hub eventi e un hub eventi
   • Altre informazioni sui log attività di streaming in un hub eventi

Il fornitore di sicurezza indipendente deve fornire istruzioni su come inserire dati da Hub eventi di Azure nel proprio strumento.

Accedere ai log con l'API Microsoft Graph

L'API Microsoft Graph fornisce un modello di programmabilità unificato che è possibile usare per accedere ai dati per i tenant Microsoft Entra ID P1 o P2. Non richiede che un amministratore o uno sviluppatore configuri un'infrastruttura aggiuntiva per supportare lo script o l'app.

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Usi consigliati

Usando Microsoft Graph Explorer, è possibile eseguire query per semplificare i tipi di scenari seguenti:

• Visualizzare le attività del tenant, ad esempio chi ha apportato una modifica a un gruppo e quando.
• Contrassegnare un evento di accesso a Microsoft Entra come sicuro o confermato compromesso.
• Recuperare un elenco di accessi dell'applicazione per gli ultimi 30 giorni.

Nota

Microsoft Graph consente di accedere ai dati da più servizi che impongono limiti di limitazione. Per altre informazioni sulla limitazione dei log attività, vedere Limiti di limitazione specifici del servizio Microsoft Graph.

Azioni rapide

1. Configurare i prerequisiti.
2. Accedere a Graph Explorer.
3. Impostare il metodo HTTP e la versione dell'API.
4. Aggiungere una query e quindi selezionare il pulsante Esegui query .
   • Acquisire familiarità con le proprietà di Microsoft Graph per i controlli della directory
   • Completare la guida introduttiva a MS Graph

Integrare i log con i log di Monitoraggio di Azure

Con l'integrazione dei log di Monitoraggio di Azure, è possibile abilitare visualizzazioni, monitoraggio e avvisi avanzati sui dati connessi. Log Analytics offre funzionalità avanzate di query e analisi per i log attività di Microsoft Entra. Per integrare i log attività di Microsoft Entra con i log di Monitoraggio di Azure, è necessaria un'area di lavoro Log Analytics. Da qui è possibile eseguire query tramite Log Analytics.

Usi consigliati

L'integrazione dei log di Microsoft Entra con i log di Monitoraggio di Azure offre una posizione centralizzata per l'esecuzione di query sui log. È consigliabile integrare i log con Monitoraggio di Azure per i tipi di scenari seguenti:

• Confrontare i log di accesso di Microsoft Entra con i log pubblicati da altri servizi di Azure.
• Correlare i log di accesso a app Azure lication Insights.
• Eseguire query sui log usando parametri di ricerca specifici.

Azioni rapide

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di sicurezza.
2. Creare un'area di lavoro Log Analytics.
3. Passare a Identity Monitoring and health Diagnostic settings (Monitoraggio identità>e impostazioni di diagnostica dell'integrità).>
4. Scegliere i log da trasmettere, selezionare l'opzione Invia all'area di lavoro Log Analytics e completare i campi.
5. Passare a Identity>Monitoring &health>Log Analytics e iniziare a eseguire query sui dati.
   • Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure
   • Informazioni su come eseguire query con Log Analytics

Monitorare gli eventi con Microsoft Sentinel

L'invio di log di accesso e di controllo a Microsoft Sentinel offre al centro operazioni di sicurezza quasi in tempo reale il rilevamento e la ricerca delle minacce. Il termine ricerca delle minacce si riferisce a un approccio proattivo per migliorare il comportamento di sicurezza dell'ambiente. Invece della protezione classica, la ricerca delle minacce tenta di identificare in modo proattivo potenziali minacce che potrebbero danneggiare il sistema. I dati del log attività potrebbero far parte della soluzione di ricerca delle minacce.

Usi consigliati

È consigliabile usare le funzionalità di rilevamento della sicurezza in tempo reale di Microsoft Sentinel se l'organizzazione necessita di analisi della sicurezza e intelligence sulle minacce. Usare Microsoft Sentinel se è necessario:

• Raccogliere i dati di sicurezza nell'intera azienda.
• Rilevare le minacce con un'ampia intelligence sulle minacce.
• Analizzare gli eventi imprevisti critici guidati dall'IA.
• Rispondere rapidamente e automatizzare la protezione.

Azioni rapide

1. Informazioni sui prerequisiti, i ruoli e le autorizzazioni.
2. Stimare i costi potenziali.
3. Eseguire l'onboarding in Microsoft Sentinel.
4. Raccogliere i dati di Microsoft Entra.
5. Iniziare a cercare le minacce.

Visualizzare i log tramite l'interfaccia di amministrazione di Microsoft Entra

Per le indagini occasionali con un ambito limitato, l'interfaccia di amministrazione di Microsoft Entra è spesso il modo più semplice per trovare i dati necessari. L'interfaccia utente per ognuno di questi report offre opzioni di filtro che consentono di trovare le voci necessarie per risolvere lo scenario.

I dati acquisiti nei log attività di Microsoft Entra vengono usati in molti report e servizi. È possibile esaminare i log di accesso, controllo e provisioning per scenari occasionali o usare i report per esaminare modelli e tendenze. I dati dei log attività consentono di popolare i report di Identity Protection, che forniscono rilevamenti dei rischi correlati alla sicurezza delle informazioni in grado di rilevare e segnalare l'ID di Microsoft Entra. I log attività di Microsoft Entra popolano anche i report utilizzo e informazioni dettagliate, che forniscono i dettagli di utilizzo per le applicazioni del tenant.

Usi consigliati

I report disponibili nella portale di Azure offrono un'ampia gamma di funzionalità per monitorare le attività e l'utilizzo nel tenant. L'elenco seguente di usi e scenari non è esaustivo, quindi esplorare i report per le proprie esigenze.

• Ricercare l'attività di accesso di un utente o tenere traccia dell'utilizzo di un'applicazione.
• Esaminare i dettagli relativi alle modifiche al nome del gruppo, alla registrazione del dispositivo e alle reimpostazioni delle password con i log di controllo.
• Usare i report di Identity Protection per il monitoraggio degli utenti a rischio, delle identità del carico di lavoro rischiose e degli accessi a rischio.
• È possibile esaminare il tasso di esito positivo dell'accesso nel report Attività dell'applicazione Microsoft Entra (anteprima) da Utilizzo e informazioni dettagliate per assicurarsi che gli utenti possano accedere alle applicazioni in uso nel tenant.
• Confrontare i diversi metodi di autenticazione preferiti dagli utenti con il report Metodi di autenticazione in Utilizzo e informazioni dettagliate.

Azioni rapide

Seguire questa procedura di base per accedere ai report nell'interfaccia di amministrazione di Microsoft Entra.

Log attività di Microsoft Entra

1. Passare a Identity>Monitoring & health>Audit logs (Log/di accesso log di provisioning dei log/ di provisioning).
2. Regolare il filtro in base alle esigenze.
   • Informazioni su come filtrare i log attività
   • Esplorare le categorie e le attività del log di controllo di Microsoft Entra
   • Informazioni di base sui log di accesso di Microsoft Entra

È possibile accedere ai log di controllo direttamente dall'area dell'interfaccia di amministrazione di Microsoft Entra in cui si lavora. Ad esempio, se ci si trova nella sezione Gruppi o Licenze di Microsoft Entra ID, è possibile accedere ai log di controllo per tali attività specifiche direttamente da tale area. Quando si accede ai log di controllo in questo modo, le categorie di filtro vengono impostate automaticamente. Se ci si trova in Gruppi, la categoria di filtro del log di controllo è impostata su GroupManagement.

Report di Microsoft Entra ID Protection

1. Passare a Protection>Identity Protection.
2. Esplorare i report disponibili.
   • Altre informazioni su Identity Protection
   • Informazioni su come analizzare i rischi

Report sull'utilizzo e sulle informazioni dettagliate

1. Passare a Monitoraggio delle identità>e informazioni dettagliate sull'integrità.>
2. Esplorare i report disponibili.
   • Altre informazioni sul report Utilizzo e informazioni dettagliate

Esportare i log per l'archiviazione e le query

La soluzione più adatta per l'archiviazione a lungo termine dipende dal budget e da ciò che si intende eseguire con i dati. Sono disponibili tre opzioni:

• Archiviare i log in Archiviazione di Azure
• Scaricare i log per l'archiviazione manuale
• Integrare i log con i log di Monitoraggio di Azure

Archiviazione di Azure è la soluzione giusta se non si prevede di eseguire query sui dati spesso. Per altre informazioni, vedere Archiviare i log delle directory in un account di archiviazione.

Se si prevede di eseguire query sui log spesso per eseguire report o eseguire analisi sui log archiviati, è consigliabile integrare i dati con i log di Monitoraggio di Azure.

Se il budget è limitato ed è necessario un metodo economico per creare un backup a lungo termine dei log attività, è possibile scaricare manualmente i log. L'interfaccia utente dei log attività nel portale offre un'opzione per scaricare i dati come JSON o CSV. Un compromesso del download manuale è che richiede un'interazione più manuale. Se si sta cercando una soluzione più professionale, usare Archiviazione di Azure o Monitoraggio di Azure.

Usi consigliati

È consigliabile configurare un account di archiviazione per archiviare i log attività per gli scenari di governance e conformità in cui è necessaria l'archiviazione a lungo termine.

Se si vuole archiviare a lungo termine e si vogliono eseguire query sui dati, vedere la sezione sull'integrazione dei log attività con i log di Monitoraggio di Azure.

Se sono presenti vincoli di budget, è consigliabile scaricare e archiviare manualmente i log attività.

Azioni rapide

Seguire questa procedura di base per archiviare o scaricare i log attività.

Archiviare i log attività in un account di archiviazione

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di sicurezza.
2. Creare un account di archiviazione.
3. Passare a Identity Monitoring and health Diagnostic settings (Monitoraggio identità>e impostazioni di diagnostica dell'integrità).>
4. Scegliere i log da trasmettere, selezionare l'opzione Archivia in un account di archiviazione e completare i campi.
   • Esaminare i criteri di conservazione dei dati

Scaricare manualmente i log attività

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.
2. Passare a Monitoraggio delle identità>e>log//di controllo integrità Log di accesso Log di provisioning dal menu Monitoraggio.
3. Selezionare Download.
   • Altre informazioni su come scaricare i log.

Passaggi successivi

• Trasmettere i log a un hub eventi
• Archiviare i log un account di archiviazione
• Integrare i log con i log di Monitoraggio di Azure