Поделиться через

Как получить доступ к журналам действий в Microsoft Entra ID

  • Статья

Данные, собранные в журналах Microsoft Entra, позволяют оценить множество аспектов клиента Microsoft Entra. Чтобы охватывать широкий спектр сценариев, идентификатор Microsoft Entra предоставляет несколько вариантов доступа к данным журнала действий. Как ИТ-администратору вам нужно понимать случаи использования этих вариантов, чтобы выбрать подходящий метод доступа для вашей ситуации.

Вы можете получить доступ к журналам действий и отчетам Microsoft Entra с помощью следующих методов:

Каждый из этих методов предоставляет возможности, которые могут соответствовать определенным сценариям. В этой статье описываются эти сценарии, включая рекомендации и сведения о связанных отчетах, использующих данные в журналах действий. Ознакомьтесь с параметрами, приведенными в этой статье, чтобы узнать об этих сценариях, чтобы выбрать правильный метод.

Предварительные условия

Требуемые лицензии зависят от возможностей мониторинга и состояния системы.

Возможность Microsoft Entra ID Free Идентификатор Microsoft Entra ID P1 или P2 / Пакет Microsoft Entra Suite
Журналы аудита Да Да
Журналы входа Да Да
Журналы конфигурирования Нет Да
Настраиваемые атрибуты безопасности Да Да
Здоровье Нет Да
Журналы действий Microsoft Graph Нет Да
Потребление и аналитические сведения Нет Да

Просмотр журналов через Центр администрирования Microsoft Entra

Для разовых расследований с ограниченной областью центр администрирования Microsoft Entra часто является самым простым способом найти необходимые данные. Пользовательский интерфейс для каждого из этих отчетов предоставляет параметры фильтра, позволяющие найти записи, необходимые для решения вашего сценария.

Данные, захваченные в журналах действий Microsoft Entra, используются во многих отчетах и службах. Вы можете просматривать журналы входа, аудита и подготовки для разовых сценариев или использовать отчеты для просмотра закономерностей и тенденций. Данные из журналов действий помогают заполнить отчеты по защите идентификации, которые обеспечивают данные об обнаружении рисков, связанных с информационной безопасностью, о которых Microsoft Entra ID может обнаруживать и сообщать. Журналы действий Microsoft Entra также заполняют отчеты об использовании и аналитике, которые предоставляют сведения об использовании для приложений клиента.

Отчеты, доступные в портале Azure, предоставляют широкий спектр возможностей для мониторинга действий и использования в клиенте. Следующий список использования и сценариев не является исчерпывающим, поэтому изучите отчеты для ваших потребностей.

  • Изучите действия входа пользователя или отслеживайте использование приложения.
  • Просмотрите в журналах аудита сведения об изменениях имени группы, регистрации устройства и сбросе паролей.
  • Используйте отчеты защиты идентификации для мониторинга пользователей с повышенным риском, учетных записей для рабочих нагрузок и рискованных входов.
  • Просмотрите частоту успешного входа в отчете об активности приложения Microsoft Entra (предварительная версия), полученном из раздела "Использование и аналитика", чтобы убедиться, что пользователи могут получить доступ к приложениям, используемым в вашем клиенте.
  • Сравните различные методы проверки подлинности, которые пользователи предпочитают, с отчетом о методах проверки подлинности из отчета об использовании и аналитике.

Быстрые шаги

Чтобы получить доступ к отчетам в Центре администрирования Microsoft Entra, выполните следующие основные действия.

  1. Войдите в Центр администрирования Microsoft Entra как не менее чем читатель отчетов.
  2. Перейдите к Идентификация>Мониторинг и здоровье>Аудиторские журналы/Журналы входа/Журналы подготовки.
  3. Настройте фильтр в соответствии с вашими потребностями.

Журналы аудита можно получить непосредственно из области Центра администрирования Microsoft Entra, где вы работаете. Например, если вы находитесь в разделе "Группы или лицензии " идентификатора Microsoft Entra ID, вы можете получить доступ к журналам аудита для этих конкретных действий непосредственно из этой области. При доступе к журналам аудита таким образом категории фильтров автоматически задаются. Например, если вы находитесь в группах , для категории фильтра журнала аудита задано значение GroupManagement.

Передача журналов в информационный концентратор для интеграции с инструментами SIEM

Передача ваших журналов активности в центр событий требуется для интеграции журналов активности с средствами управления информацией и событиями безопасности (SIEM), такими как Splunk и SumoLogic. Прежде чем передавать журналы в концентратор событий, необходимо настроить пространство имен Event Hubs и сам концентратор в подписке Azure.

Средства SIEM, которые можно интегрировать с концентратором событий, могут предоставлять возможности анализа и мониторинга. Если вы уже используете эти средства для приема данных из других источников, вы можете передавать идентификационные данные для более полного анализа и мониторинга. Мы рекомендуем потоковую передачу журналов действий в концентратор событий для следующих типов сценариев:

  • Для получения и обработки миллионов событий в секунду требуется платформа потоковой передачи больших данных и служба приема событий.
  • Вы хотите преобразовать и сохранить данные с помощью поставщика аналитики в режиме реального времени или адаптеров пакетной обработки или хранилища.

Быстрые шаги

  1. Войдите в администраторский центр Microsoft Entra как минимум в качестве Администратора безопасности.
  2. Создайте пространство имен для шлюзов событий и шлюз событий.
  3. Перейдите в раздел Удостоверения>Мониторинг и работоспособность>Параметры диагностики.
  4. Выберите журналы, которые вы хотите передавать, выберите опцию Передача в концентратор событий и заполните поля.

Ваш независимый поставщик системы безопасности должен предоставить вам инструкции по приему данных из Центров событий Azure.

Доступ к журналам с помощью API Microsoft Graph

API Microsoft Graph предоставляет единую модель программирования, которую можно использовать для доступа к данным для клиентов Microsoft Entra ID P1 или P2. Не требуется, чтобы администратор или разработчик настроили дополнительную инфраструктуру для поддержки скрипта или приложения.

С помощью обозревателя Microsoft Graph можно выполнять запросы, которые помогут вам выполнить следующие типы сценариев:

  • Просматривайте действия арендатора, например, кто изменил группу и когда.
  • Пометить событие входа Microsoft Entra как безопасное или подтвержденным фактом компрометации.
  • Получение списка входов в приложения за последние 30 дней.

Примечание.

Microsoft Graph позволяет получать доступ к данным из нескольких служб, которые накладывают свои собственные ограничения регулирования. Дополнительные сведения о регулировании журнала действий см. в разделе об ограничениях регулирования для конкретной службы Microsoft Graph.

Быстрые шаги

  1. Настройте предварительные требования.
  2. Войдите в Graph Explorer.
  3. Задайте метод HTTP и версию API.
  4. Добавьте запрос и нажмите кнопку "Выполнить запрос ".

Интеграция журналов с журналами Azure Monitor

Интеграция журналов Azure Monitor позволяет включить широкие возможности визуализаций, мониторинга и оповещений о подключенных данных. Log Analytics предоставляет расширенные возможности запросов и анализа для журналов действий Microsoft Entra. Чтобы интегрировать журналы действий Microsoft Entra с журналами Azure Monitor, вам потребуется рабочая область Log Analytics. Оттуда можно выполнять запросы с помощью Log Analytics.

Интеграция журналов Microsoft Entra с журналами Azure Monitor предоставляет централизованное расположение для запросов журналов. Мы рекомендуем интегрировать журналы с Azure Monitor для следующих типов сценариев:

  • Сравнение журналов входа Microsoft Entra с журналами, опубликованными другими службами Azure.
  • Сопоставляйте журналы входа с Azure Application Insights.
  • Журналы запросов с помощью определенных параметров поиска.

Быстрые шаги

  1. Войдите в Центр администрирования Microsoft Entra как минимум в роли Администратора безопасности.
  2. Создание рабочей области Log Analytics.
  3. Перейдите в раздел Удостоверение>Мониторинг и состояние>Настройки диагностики.
  4. Выберите журналы, которые вы хотите передавать, выберите параметр "Отправить в рабочую область Log Analytics" и заполните поля.
  5. Перейдите к Идентификация>Мониторинг и состояние>Аналитика журналов и начните запрашивать данные.

Мониторинг событий с помощью Microsoft Sentinel

Отправка журналов входа и аудита в Microsoft Sentinel позволяет вашему центру управления безопасностью почти в режиме реального времени обнаруживать угрозы и искать их. Термин поиск угроз означает профилактический подход к повышению безопасности среды. В отличие от классической защиты, охота на угрозы пытается заранее определить потенциальные угрозы, которые могут повредить вашей системе. Данные журнала действий могут включаться в решение по поиску угроз.

Мы рекомендуем использовать возможности обнаружения безопасности в режиме реального времени Microsoft Sentinel, если вашей организации требуется аналитика безопасности и аналитика угроз. Используйте Microsoft Sentinel, если вам нужно:

  • Сбор данных безопасности в вашей организации.
  • Обнаружение угроз с помощью обширной аналитики угроз.
  • Изучите критические инциденты, управляемые ИИ.
  • Быстрое реагирование и автоматизация защиты.

Быстрые шаги

  1. Сведения о предварительных требованиях, ролях и разрешениях.
  2. Оцените потенциальные затраты.
  3. Подключение к Microsoft Sentinel.
  4. Сбор данных Microsoft Entra.
  5. Начните поиск угроз.

Экспорт журналов для хранения и обработки запросов

Правильное решение для долгосрочного хранения зависит от бюджета и того, что вы планируете делать с данными. У вас есть три варианта:

  • Архивирование журналов в службу Azure для хранения
  • Скачивание журналов для ручного хранения
  • Интеграция журналов с журналами Azure Monitor

служба хранилища Azure является правильным решением, если вы не планируете часто запрашивать данные. Дополнительные сведения см. в журналах архивации каталогов в учетной записи для хранения.

Если вы планируете запрашивать журналы часто для выполнения отчетов или выполнения анализа сохраненных журналов, следует интегрировать данные с журналами Azure Monitor.

Если бюджет является жестким, и вам нужен дешевый метод для создания долгосрочной резервной копии журналов действий, вы можете скачать журналы вручную. Пользовательский интерфейс журналов действий на портале предоставляет возможность скачивания данных в формате JSON или CSV. Одним из компромиссов с загрузкой вручную является то, что требуется больше ручного взаимодействия. Если вы ищете более профессиональное решение, используйте служба хранилища Azure или Azure Monitor.

Рекомендуется настроить учетную запись хранения для архивации журналов действий для этих сценариев управления и соответствия требованиям, где требуется долгосрочное хранение.

Если вы хотите использовать долгосрочное хранилище и хотите выполнять запросы к данным, ознакомьтесь с разделом об интеграции журналов действий с журналами Azure Monitor.

Мы рекомендуем вручную скачать и сохранить журналы действий, если у вас есть бюджетные ограничения.

Быстрые шаги

Чтобы архивировать или скачать журналы действий, выполните следующие основные действия.

  1. Войдите в центр администрирования Microsoft Entra как минимум Администратор безопасности.
  2. Создание учетной записи хранения.
  3. Перейдите к разделу Учетные данные>Мониторинг и состояние>Параметры диагностики.
  4. Выберите журналы, которые вы хотите передавать, выберите параметр Архивация в учетную запись хранения и заполните поля.

Следующие шаги