Hoe u toegang kunt krijgen tot activiteitenlogboeken in Microsoft Entra ID

  • Artikel

Met de gegevens die in uw Microsoft Entra-logboeken worden verzameld, kunt u veel aspecten van uw Microsoft Entra-tenant beoordelen. Voor een breed scala aan scenario's biedt Microsoft Entra ID u verschillende opties voor toegang tot uw activiteitenlogboekgegevens. Als IT-beheerder moet u de beoogde gebruiksscenario's voor deze opties begrijpen, zodat u de juiste toegangsmethode voor uw scenario kunt selecteren.

U hebt toegang tot activiteitenlogboeken en -rapporten van Microsoft Entra met behulp van de volgende methoden:

Elk van deze methoden biedt mogelijkheden die mogelijk zijn afgestemd op bepaalde scenario's. In dit artikel worden deze scenario's beschreven, inclusief aanbevelingen en details over gerelateerde rapporten die gebruikmaken van de gegevens in de activiteitenlogboeken. Bekijk de opties in dit artikel voor meer informatie over deze scenario's, zodat u de juiste methode kunt kiezen.

Vereisten

De vereiste rollen en licenties variëren op basis van het rapport. Afzonderlijke machtigingen zijn vereist voor toegang tot bewakings- en statusgegevens in Microsoft Graph. We raden u aan een rol met minimale toegangsrechten te gebruiken om te voldoen aan de richtlijnen voor Zero Trust.

Logboek/rapport Rollen Licenties
Audit Rapportlezer
Beveiligingslezer
Beveiligingsbeheerder
Globale lezer
 Alle edities van Microsoft Entra ID
Aanmeldingen Rapportlezer
Beveiligingslezer
Beveiligingsbeheerder
Globale lezer
 Alle edities van Microsoft Entra ID
Inrichting Rapportlezer
Beveiligingslezer
Beveiligingsbeheerder
Globale lezer
Beveiligingsoperator
Toepassingsbeheerder
Cloud App Beheer istrator
 Microsoft Entra ID P1 of P2
Auditlogboeken voor aangepaste beveiligingskenmerken* Kenmerklogboek Beheer istrator
Kenmerklogboeklezer		 Alle edities van Microsoft Entra ID
Gebruik en inzichten Rapportlezer
Beveiligingslezer
Beveiligingsbeheerder		 Microsoft Entra ID P1 of P2
Identity Protection** Beveiligingsbeheerder
Beveiligingsoperator
Beveiligingslezer
Globale lezer
 Microsoft Entra ID Free
Microsoft 365 Apps
Microsoft Entra ID P1 of P2
Activiteitenlogboeken van Microsoft Graph Beveiligingsbeheerder
Machtigingen voor toegang tot gegevens in de bijbehorende logboekbestemming		 Microsoft Entra ID P1 of P2

*Voor het weergeven van de aangepaste beveiligingskenmerken in de auditlogboeken of het maken van diagnostische instellingen voor aangepaste beveiligingskenmerken is een van de kenmerklogboekrollen vereist. U hebt ook de juiste rol nodig om de standaardcontrolelogboeken weer te geven.

**Het toegangsniveau en de mogelijkheden voor Identity Protection zijn afhankelijk van de rol en licentie. Zie de licentievereisten voor Identity Protection voor meer informatie.

Auditlogboeken zijn beschikbaar voor functies die u hebt gelicentieerd. Als u toegang wilt krijgen tot de aanmeldingslogboeken met behulp van de Microsoft Graph API, moet aan uw tenant een Microsoft Entra ID P1- of P2-licentie zijn gekoppeld.

Logboeken streamen naar een Event Hub om te integreren met SIEM-hulpprogramma's

Het streamen van uw activiteitenlogboeken naar een Event Hub is vereist om uw activiteitenlogboeken te integreren met SIEM-hulpprogramma's (Security Information and Event Management), zoals Splunk en SumoLogic. Voordat u logboeken naar een Event Hub kunt streamen, moet u een Event Hubs-naamruimte en een Event Hub instellen in uw Azure-abonnement.

De SIEM-hulpprogramma's die u kunt integreren met uw Event Hub, kunnen analyse- en bewakingsmogelijkheden bieden. Als u deze hulpprogramma's al gebruikt om gegevens uit andere bronnen op te nemen, kunt u uw identiteitsgegevens streamen voor uitgebreidere analyse en bewaking. We raden u aan uw activiteitenlogboeken naar een Event Hub te streamen voor de volgende typen scenario's:

  • Als u een streamingplatform voor big data en gebeurtenisopnameservice nodig hebt om miljoenen gebeurtenissen per seconde te ontvangen en te verwerken.
  • Als u gegevens wilt transformeren en opslaan met behulp van een realtime analyseprovider of batchverwerking/opslagadapters.

Snelle stappen

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een security Beheer istrator.
  2. Maak een Event Hubs-naamruimte en Event Hub.
  3. Blader naar diagnostische instellingen voor identiteitsbewaking>en status>.
  4. Kies de logboeken die u wilt streamen, selecteer de stream naar een Event Hub-optie en vul de velden in.

Uw onafhankelijke beveiligingsleverancier moet u instructies geven voor het opnemen van gegevens uit Azure Event Hubs in hun hulpprogramma.

Toegang tot logboeken met Microsoft Graph API

De Microsoft Graph API biedt een geïntegreerd programmeermodel dat u kunt gebruiken voor toegang tot gegevens voor uw Microsoft Entra ID P1- of P2-tenants. Er is geen beheerder of ontwikkelaar nodig om extra infrastructuur in te stellen ter ondersteuning van uw script of app.

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Met Behulp van Microsoft Graph Explorer kunt u query's uitvoeren om u te helpen met de volgende typen scenario's:

  • Bekijk tenantactiviteiten zoals wie een wijziging heeft aangebracht in een groep en wanneer.
  • Markeer een Microsoft Entra-aanmeldingsgebeurtenis als veilig of bevestigd.
  • Haal een lijst met aanmeldingen van toepassingen op voor de afgelopen 30 dagen.

Notitie

Met Microsoft Graph kunt u toegang krijgen tot gegevens van meerdere services die hun eigen beperkingslimieten opleggen. Zie Microsoft Graph-servicespecifieke beperkingslimieten voor activiteitenlogboeken voor meer informatie over beperkingslimieten voor activiteitenlogboeken.

Snelle stappen

  1. Configureer de vereisten.
  2. Meld u aan bij Graph Explorer.
  3. Stel de HTTP-methode en API-versie in.
  4. Voeg een query toe en selecteer vervolgens de knop Query uitvoeren .

Logboeken integreren met Azure Monitor-logboeken

Met de integratie van Azure Monitor-logboeken kunt u uitgebreide visualisaties, bewaking en waarschuwingen voor de verbonden gegevens inschakelen. Log Analytics biedt verbeterde query- en analysemogelijkheden voor Activiteitenlogboeken van Microsoft Entra. Als u Microsoft Entra-activiteitenlogboeken wilt integreren met Azure Monitor-logboeken, hebt u een Log Analytics-werkruimte nodig. Hier kunt u query's uitvoeren via Log Analytics.

De integratie van Microsoft Entra-logboeken met Azure Monitor-logboeken biedt een centrale locatie voor het uitvoeren van query's op logboeken. We raden u aan logboeken te integreren met Azure Monitor voor de volgende typen scenario's:

  • Vergelijk aanmeldingslogboeken van Microsoft Entra met logboeken die zijn gepubliceerd door andere Azure-services.
  • Meldlogboeken correleren met Azure-toepassing inzichten.
  • Querylogboeken met specifieke zoekparameters.

Snelle stappen

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een security Beheer istrator.
  2. Maak een Log Analytics-werkruimte.
  3. Blader naar diagnostische instellingen voor identiteitsbewaking>en status>.
  4. Kies de logboeken die u wilt streamen, selecteer de optie Verzenden naar Log Analytics-werkruimte en vul de velden in.
  5. Blader naar Log Analytics voor identiteitsbewaking>en>status en begin met het uitvoeren van query's op de gegevens.

Gebeurtenissen bewaken met Microsoft Sentinel

Het verzenden van aanmeldings- en auditlogboeken naar Microsoft Sentinel biedt uw Security Operations Center met bijna realtime beveiligingsdetectie en opsporing van bedreigingen. De term opsporing van bedreigingen verwijst naar een proactieve benadering om het beveiligingspostuur van uw omgeving te verbeteren. In tegenstelling tot klassieke beveiliging probeert opsporing van bedreigingen proactief potentiële bedreigingen te identificeren die uw systeem kunnen beschadigen. Uw activiteitenlogboekgegevens maken mogelijk deel uit van uw oplossing voor het opsporen van bedreigingen.

We raden u aan de realtime beveiligingsdetectiemogelijkheden van Microsoft Sentinel te gebruiken als uw organisatie beveiligingsanalyses en bedreigingsinformatie nodig heeft. Gebruik Microsoft Sentinel als u het volgende wilt doen:

  • Verzamel beveiligingsgegevens in uw onderneming.
  • Bedreigingen detecteren met uitgebreide bedreigingsinformatie.
  • Onderzoek kritieke incidenten die worden begeleid door AI.
  • Reageer snel en automatiseer beveiliging.

Snelle stappen

  1. Meer informatie over de vereisten, rollen en machtigingen.
  2. Maak een schatting van de potentiële kosten.
  3. Onboarden bij Microsoft Sentinel.
  4. Microsoft Entra-gegevens verzamelen.
  5. Begin met het opsporen van bedreigingen.

Logboeken weergeven via het Microsoft Entra-beheercentrum

Voor eenmalige onderzoeken met een beperkt bereik is het Microsoft Entra-beheercentrum vaak de eenvoudigste manier om de gegevens te vinden die u nodig hebt. De gebruikersinterface voor elk van deze rapporten biedt filteropties waarmee u de items kunt vinden die u nodig hebt om uw scenario op te lossen.

De gegevens die zijn vastgelegd in de activiteitenlogboeken van Microsoft Entra, worden gebruikt in veel rapporten en services. U kunt de aanmeldings-, audit- en inrichtingslogboeken bekijken voor eenmalige scenario's of rapporten gebruiken om patronen en trends te bekijken. De gegevens uit de activiteitenlogboeken helpen bij het vullen van de Identity Protection-rapporten, die informatiebeveiligingsgerelateerde risicodetecties bieden die door Microsoft Entra ID kunnen worden gedetecteerd en gerapporteerd. Activiteitenlogboeken van Microsoft Entra vullen ook rapporten over gebruik en inzichten, die gebruiksgegevens bieden voor de toepassingen van uw tenant.

De rapporten die beschikbaar zijn in Azure Portal bieden een breed scala aan mogelijkheden voor het bewaken van activiteiten en gebruik in uw tenant. De volgende lijst met toepassingen en scenario's is niet volledig, dus bekijk de rapporten voor uw behoeften.

  • Onderzoek de aanmeldingsactiviteit van een gebruiker of volg het gebruik van een toepassing.
  • Bekijk details over groepsnaamwijzigingen, apparaatregistratie en wachtwoordherstel met auditlogboeken.
  • Gebruik de Identity Protection-rapporten voor het bewaken van risicogebruikers, riskante workloadidentiteiten en riskante aanmeldingen.
  • U kunt het slagingspercentage voor aanmelding bekijken in het microsoft Entra-toepassingsactiviteitenrapport (preview) van gebruik en inzichten om ervoor te zorgen dat uw gebruikers toegang hebben tot de toepassingen die in uw tenant worden gebruikt.
  • Vergelijk de verschillende verificatiemethoden die uw gebruikers de voorkeur geven met het rapport Verificatiemethoden op basis van gebruik en inzichten.

Snelle stappen

Gebruik de volgende basisstappen voor toegang tot de rapporten in het Microsoft Entra-beheercentrum.

Activiteitenlogboeken van Microsoft Entra

  1. Blader naar aanmeldingslogboeken voor identiteitsbewaking>en statuscontrolelogboeken.>//
  2. Pas het filter aan op basis van uw behoeften.

Auditlogboeken zijn rechtstreeks toegankelijk vanuit het gebied van het Microsoft Entra-beheercentrum waar u werkt. Als u zich bijvoorbeeld in de sectie Groepen of Licenties van Microsoft Entra-id bevindt, hebt u rechtstreeks vanuit dat gebied toegang tot de auditlogboeken voor deze specifieke activiteiten. Wanneer u de auditlogboeken op deze manier opent, worden de filtercategorieën automatisch ingesteld. Als u zich in Groepen bevindt, is de filtercategorie voor het auditlogboek ingesteld op GroupManagement.

Microsoft Entra ID Protection-rapporten

  1. Blader naar Protection>Identity Protection.
  2. Bekijk de beschikbare rapporten.

Rapporten over gebruik en inzichten

  1. Blader naar Identiteitsbewaking>en -statusgebruik>en -inzichten.
  2. Bekijk de beschikbare rapporten.

Logboeken exporteren voor opslag en query's

De juiste oplossing voor uw langetermijnopslag is afhankelijk van uw budget en wat u met de gegevens wilt doen. U hebt drie opties:

  • Logboeken archiveren naar Azure Storage
  • Logboeken voor handmatige opslag downloaden
  • Logboeken integreren met Azure Monitor-logboeken

Azure Storage is de juiste oplossing als u niet van plan bent om uw gegevens vaak op te vragen. Zie Archiefmaplogboeken naar een opslagaccount voor meer informatie.

Als u van plan bent om query's uit te voeren op de logboeken om rapporten uit te voeren of analyses uit te voeren op de opgeslagen logboeken, moet u uw gegevens integreren met Azure Monitor-logboeken.

Als uw budget krap is en u een goedkope methode nodig hebt om een langetermijnback-up van uw activiteitenlogboeken te maken, kunt u uw logboeken handmatig downloaden. De gebruikersinterface van de activiteitenlogboeken in de portal biedt u de mogelijkheid om de gegevens te downloaden als JSON of CSV. Een afweging van de handmatige download is dat er meer handmatige interactie nodig is. Als u op zoek bent naar een professionelere oplossing, gebruikt u Azure Storage of Azure Monitor.

Het is raadzaam om een opslagaccount in te stellen om uw activiteitenlogboeken te archiveren voor die governance- en nalevingsscenario's waarbij langetermijnopslag vereist is.

Als u langetermijnopslag wilt en u query's wilt uitvoeren op de gegevens, raadpleegt u de sectie over het integreren van uw activiteitenlogboeken met Azure Monitor-logboeken.

U wordt aangeraden uw activiteitenlogboeken handmatig te downloaden en op te slaan als u budgetbeperkingen hebt.

Snelle stappen

Gebruik de volgende basisstappen om uw activiteitenlogboeken te archiveren of te downloaden.

Activiteitenlogboeken in een opslagaccount archiveren

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een security Beheer istrator.
  2. Een opslagaccount maken.
  3. Blader naar diagnostische instellingen voor identiteitsbewaking>en status>.
  4. Kies de logboeken die u wilt streamen, selecteer de optie Archiveren naar een opslagaccount en vul de velden in.

Activiteitenlogboeken handmatig downloaden

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een rapportlezer.
  2. Blader in het menu Bewaking naar logboeken voor identiteitsbewaking>en statuscontrolelogboeken//>voor het inrichten van logboeken.
  3. Selecteer Downloaden.

Volgende stappen