Co je monitorování a stav Microsoft Entra?

Funkce monitorování a stavu Microsoft Entra poskytují komplexní přehled aktivit souvisejících s identitou ve vašem prostředí. Tato data umožňují:

• Určete, jak vaši uživatelé využívají vaše aplikace a služby.
• Detekujte potenciální rizika ovlivňující stav vašeho prostředí.
• Vyřešte problémy, které uživatelům brání v práci.
• Získejte přehled o událostech auditu změn v adresáři Microsoft Entra.

Protokoly přihlašování a auditu obsahují protokoly aktivit za mnoha sestavy Microsoft Entra, které je možné použít k analýze, monitorování a odstraňování potíží s aktivitami ve vašem tenantovi. Směrování protokolů aktivit do řešení analýzy a monitorování poskytuje lepší přehled o stavu a zabezpečení vašeho tenanta.

Tento článek popisuje typy protokolů aktivit dostupné v Microsoft Entra ID, sestavy, které používají protokoly, a monitorovací služby, které vám pomůžou analyzovat data.

Protokoly aktivit identit

Protokoly aktivit pomáhají pochopit chování uživatelů ve vaší organizaci. V MICROSOFT Entra ID existují tři typy protokolů aktivit:

• Protokoly auditu zahrnují historii všech úloh provedených ve vašem tenantovi.

• Protokoly přihlášení zaznamenávají pokusy o přihlášení uživatelů a klientských aplikací.

• Protokoly zřizování poskytují informace o uživatelích zřízených ve vašem tenantovi prostřednictvím služby třetí strany.

Protokoly aktivit můžete zobrazit na webu Azure Portal nebo pomocí rozhraní Microsoft Graph API. Protokoly aktivit je také možné směrovat do různých koncových bodů pro úložiště nebo analýzu. Další informace o všech možnostech zobrazení protokolů aktivit najdete v tématu Jak získat přístup k protokolům aktivit.

Protokoly auditu

Protokoly auditu poskytují záznamy systémových aktivit pro dodržování předpisů. Tato data umožňují řešit běžné scénáře, jako jsou:

• Někdo v mém tenantovi získal přístup ke skupině správců. Kdo jim dal přístup?
• Chci znát seznam uživatelů, kteří se přihlašují k určité aplikaci, protože jsem nedávno aplikaci onboardoval a chtěl vědět, jestli to funguje dobře.
• Chci vědět, kolik resetování hesel probíhá v mém tenantovi.

Protokoly přihlašování

Protokoly přihlašování umožňují najít odpovědi na otázky, jako jsou:

• Jaký je vzor přihlašování uživatele?
• Kolikuživatelůch
• Jaký je stav těchto přihlášení?

Protokoly zřizování

Pomocí protokolů zřizování můžete najít odpovědi na otázky, jako jsou:

• Jaké skupiny byly úspěšně vytvořeny ve službě ServiceNow?
• Kteří uživatelé byli úspěšně odebráni z Adobe?
• Kteří uživatelé z Workday byli úspěšně vytvořeni ve službě Active Directory?

Sestavy identit

Kontrola dat v protokolech aktivit Microsoft Entra může poskytnout užitečné informace pro správce IT. Abychom zjednodušili proces kontroly dat v klíčových scénářích, vytvořili jsme několik sestav o běžných scénářích, které používají protokoly aktivit.

• Služba Identity Protection používá přihlašovací data k vytváření sestav o rizikových uživatelích a aktivitách přihlašování.
• Aktivity související s vašimi aplikacemi, jako je instanční objekt nebo aktivita přihlašovacích údajů aplikace, se používají k vytváření sestav v části Využití a přehledy.
• Sešity Microsoft Entra poskytují přizpůsobitelný způsob zobrazení a analýzy protokolů aktivit.
• Pomocí doporučení Microsoft Entra můžete monitorovat a zlepšovat zabezpečení tenanta.
• Microsoft Entra Health zachytává globální dosažení smlouvy o úrovni služeb a signály stavu pro několik klíčových scénářů.

Monitorování identit a stav tenanta

Kontrola protokolů aktivit Microsoft Entra je prvním krokem při údržbě a vylepšení stavu a zabezpečení vašeho tenanta. Potřebujete analyzovat data, monitorovat rizikové scénáře a určit, kde můžete provádět vylepšení. Monitorování Microsoft Entra poskytuje nezbytné nástroje, které vám pomůžou činit informovaná rozhodnutí.

Monitorování protokolů aktivit Microsoft Entra vyžaduje směrování dat protokolu do řešení monitorování a analýzy. Mezi koncové body patří protokoly služby Azure Monitor, Microsoft Sentinel nebo nástroj pro správu událostí (SIEM) jiného řešení třetí strany.

• Streamování protokolů do centra událostí pro integraci s nástroji SIEM třetích stran
• Integrace protokolů s protokoly azure Monitoru
• Analyzujte protokoly pomocí protokolů služby Azure Monitor a Log Analytics.

Případy použití

Způsob použití dostupných protokolů, sestav a monitorovacích služeb závisí na potřebách vaší organizace. Pokud chcete lépe určit prioritu případů použití a řešení, může vám pomoct zjistit, jak spolu tato řešení souvisí, jak se liší a jak se dají používat společně.

Úvahy

• Uchovávání – uchovávání protokolů: ukládání protokolů auditu a přihlašování protokolů Microsoft Entra déle než 30 dnů
• Analýza – Protokoly se dají prohledávat pomocí analytických nástrojů
• Přehledy provozu a zabezpečení – Poskytují přístup k využití aplikací, chybám přihlášení, samoobslužným používáním, trendům atd.
• Integrace SIEM – Integrace a streamování protokolů přihlašování Microsoft Entra a protokolů auditu do systémů SIEM

Pomocí monitorování Microsoft Entra můžete směrovat protokoly aktivit Microsoft Entra a uchovávat je pro dlouhodobé generování sestav a analýzu, abyste získali přehledy o prostředí a integrovali je s nástroji SIEM. Následující vývojový diagram rozhodování vám pomůže vybrat architekturu.

Přehled přístupu k protokolům aktivit, jejich ukládání a analýze najdete v tématu Přístup k protokolům aktivit.