Поиск отчетов о действиях на портале Azure

В этой статье вы узнаете, как находить отчеты о действиях пользователей Azure Active Directory (Azure AD) на портале Azure.

Отчет о журналах аудита

Отчет о журналах аудита объединяет несколько отчетов, связанных с действиями приложений, в единое представление для контекстно-зависимых отчетов. Для доступа к отчету о журналах аудита сделайте следующее:

  1. Перейдите на портал Azure.

  2. Выберите свой каталог в правом верхнем углу, а затем выберите колонку Azure Active Directory слева на панели навигации.

  3. Выберите Журналы аудита в разделе Действия колонки Azure Active Directory.

    Audit logs

Отчет о журналах аудита объединяет следующие отчеты:

  • Отчет аудита
  • Действие сброса пароля
  • Действия регистрации сброса пароля
  • действия групп по самообслуживанию;
  • Операции изменения имен групп Office 365
  • Действия по подготовке учетных записей
  • Состояние смены пароля
  • Ошибки подготовки учетной записи

Фильтрация журналов аудита

Вы можете использовать расширенную фильтрацию в отчете аудита для доступа к определенной категории данных аудита, указав ее в фильтре Категория (Category) . Например, чтобы просмотреть все действия, связанные с пользователями, выберите категорию UserManagement.

К категориям относятся:

  • Все
  • AdministrativeUnit
  • ApplicationManagement
  • Аутентификация
  • Авторизация
  • Contact
  • Устройство
  • DeviceConfiguration
  • DirectoryManagement
  • EntitlementManagement
  • GroupManagement
  • Другое
  • Политика
  • ResourceManagement
  • RoleManagement
  • UserManagement

Можно также фильтровать по определенной службе с помощью фильтра раскрывающегося списка Службы (Service) . Например, чтобы получить все события аудита, относящиеся к самостоятельному управлению паролями, выберите фильтр Самостоятельное управление паролями (Self-service Password Management) .

К таким службам относятся:

  • Все
  • Проверки доступа
  • "Account Provisioning" (Подготовка учетных записей).
  • Единый вход приложения
  • Способы проверки подлинности
  • B2C
  • Условный доступ
  • "Core Directory" (Основной каталог);
  • Управление правами
  • Защита идентификации
  • Invited Users (Приглашаемые пользователи)
  • PIM
  • "Self-service Group Management" (Самостоятельное управление группами);
  • "Self-service Password Management" (Самостоятельное управление паролями);
  • Условия использования

Отчет о входе

В представлении Входы содержатся все пользовательские входы, а также отчет Использование приложения. Вы также можете просмотреть информацию об использовании приложения в разделе Управление обзора корпоративных приложений.

Для получения доступа к отчету о входах сделайте следующее:

  1. Перейдите на портал Azure.

  2. Выберите свой каталог в правом верхнем углу, а затем выберите колонку Azure Active Directory слева на панели навигации.

  3. Выберите Входы в разделе Действия колонки Azure Active Directory.

    Sign-ins view

Фильтрация по имени приложения

Отчет о входах можно использовать для просмотра сведений об использовании приложения путем фильтрации по имени пользователя или приложения.

Filter Sign-In Events page

Отчеты о безопасности

Отчеты об аномальных действиях

Отчеты об аномальных действиях предоставляют информацию о связанных с безопасностью событиях риска, которые обнаруживает и о которых сообщает Azure AD.

В следующей таблице перечислены отчеты системы безопасности Azure AD об аномальных действиях и соответствующие типы событий риска на портале Azure. Дополнительные сведения см. в статье об обнаружении рисков Azure Active Directory.

Отчеты Azure AD об аномальных действиях Тип обнаружения риска защиты личности
Пользователи с утерянными учетными данными Утечка учетных данных
Нестандартные действия при входе Невозможно переместиться в нетипичные расположения
Попытки входа с возможно инфицированных устройств Попытки входа с инфицированных устройств
Попытки входа из неизвестных источников Попытки входа с анонимных IP-адресов
Попытки входа с IP-адресов с подозрительными действиями Попытки входа с IP-адресов с подозрительными действиями
- Попытки входа из неизвестных расположений

Следующие отчеты Azure AD об аномальных действиях не включены как события риска на портале Azure.

  • "Операции входа после нескольких неудачных попыток";
  • "Операции входа из нескольких географических регионов".

Обнаруженные обнаружения рисков

Вы можете воспользоваться отчетами об обнаруженных событиях риска в разделе Безопасность (Security) колонки Azure Active Directory на портале Azure. Обнаруженные события риска отслеживаются в следующих отчетах:

Устранение неполадок отчетов действий

Отсутствие данных в скачанных журналах действий

Симптомы

В скачанных журналах действий (аудита или входа) нет всех записей за выбранный период времени. Почему?

Screenshot shows the Download button in the activity report.

Причина

К журналам действий, скачиваемым на портале Azure, применяется ограничение в 250 000 записей, отсортированных в хронологическом порядке (начиная с самых новых).

Решение

Вы можете в любой момент использовать интерфейсы API отчетов Azure AD, чтобы извлечь до миллиона записей.

Отсутствие данных аудита для последних действий на портале Azure

Симптомы

Действия, выполненные на портале Azure, не отображаются в журналах аудита в колонке Activity logs > Audit Logs.

Screenshot shows the activity report.

Причина

Действия отображаются в журналах действий спустя некоторое время. В таблице ниже приводятся наши показатели задержки для журналов действий.

Report Задержка (P95) Задержка (P99)
Аудит каталогов 2 мин 5 мин
Действия при входе 2 мин 5 мин

Решение

Подождите от 15 минут до двух часов и проверьте, появились ли действия в журнале. Если журналы не появились даже спустя два часа, отправьте запрос в службу поддержки и мы рассмотрим вашу проблему.

Отсутствие журналов для входа пользователя в систему в журнале действий входа Azure Active Directory

Симптомы

После входа на портал Azure я ожидал увидеть журналы входа для этих действий в колонке Activity logs > Sign-ins, но не могу их найти.

Screenshot shows Sign-ins for Azure Active Directory.

Причина

Действия отображаются в журналах действий спустя некоторое время. В таблице ниже приводятся наши показатели задержки для журналов действий.

Report Задержка (P95) Задержка (P99)
Аудит каталогов 2 мин 5 мин
Действия при входе 2 мин 5 мин

Решение

Подождите от 15 минут до двух часов и проверьте, появились ли действия в журнале. Если журналы не появились даже спустя два часа, отправьте запрос в службу поддержки и мы рассмотрим вашу проблему.

Я не могу просмотреть на портале Azure данные отчета, полученные более чем за более 30 дней

Симптомы

Я не могу просмотреть на портале Azure данные входа и аудита, полученные более чем за 30 дней. Почему?

Screenshot shows the Date menu.

Причина

В зависимости от типа лицензии Azure Active Directory сохраняет отчеты о действиях за такие периоды времени:

Report Azure AD уровня "Бесплатный" Azure AD Premium P1 Azure AD Premium P2
Аудит каталога 7 дней 30 дней 30 дней
Действия при входе Недоступно. Доступ к данным собственного входа в систему можно получить в течение 7 дней в колонке профиля пользователя 30 дней 30 дней

Дополнительные сведения см. в статье Политики хранения отчетов Azure Active Directory.

Решение

У вас есть два варианта сохранения данных дольше чем в течение 30 дней. Вы можете использовать API отчетов Azure AD, чтобы программным способом извлекать данные и хранить их в базе данных. Кроме того, вы можете интегрировать журналы аудита в стороннюю систему SIEM, такую как Splunk или SumoLogic.

Дальнейшие действия