Доступ к журналам действий в идентификаторе Microsoft Entra

Данные, собранные в журналах Microsoft Entra, позволяют оценить множество аспектов клиента Microsoft Entra. Чтобы охватывать широкий спектр сценариев, идентификатор Microsoft Entra предоставляет несколько вариантов доступа к данным журнала действий. В качестве ИТ-администратора необходимо понять предполагаемые варианты использования этих параметров, чтобы выбрать правильный метод доступа для вашего сценария.

Вы можете получить доступ к журналам действий и отчетам Microsoft Entra с помощью следующих методов:

Каждый из этих методов предоставляет возможности, которые могут соответствовать определенным сценариям. В этой статье описываются эти сценарии, включая рекомендации и сведения о связанных отчетах, использующих данные в журналах действий. Ознакомьтесь с параметрами, приведенными в этой статье, чтобы узнать об этих сценариях, чтобы выбрать правильный метод.

Необходимые условия

Требуемые роли и лицензии зависят от отчета. Для доступа к данным мониторинга и работоспособности в Microsoft Graph требуются отдельные разрешения. Мы рекомендуем использовать роль с минимальными привилегиями для согласования с руководством по нулю доверия. Полный список ролей см. в разделе "Наименее привилегированные роли по задачам".

Журнал или отчет Роли Лицензии
Журналы аудита Средство чтения отчетов
Средство чтения безопасности
Администратор безопасности
Все выпуски идентификатора Microsoft Entra
Журналы входа Средство чтения отчетов
Средство чтения безопасности
Администратор безопасности
Все выпуски идентификатора Microsoft Entra
Журналы подготовки Средство чтения отчетов
Средство чтения безопасности
Администратор приложений
Администратор облачных приложений
Идентификатор Microsoft Entra P1 или P2
Журналы аудита настраиваемых атрибутов безопасности* Администратор журнала атрибутов
Читатель журналов атрибутов
Все выпуски идентификатора Microsoft Entra
Здоровье Средство чтения отчетов
Средство чтения безопасности
Администратор службы технической поддержки
Идентификатор Microsoft Entra P1 или P2
Защита идентификации Microsoft Entra** Администратор безопасности
Оператор безопасности
Средство чтения безопасности
Глобальный читатель
Бесплатный идентификатор Microsoft Entra
Приложения Microsoft 365
Идентификатор Microsoft Entra P1 или P2
Журналы действий Microsoft Graph Администратор безопасности
Разрешения на доступ к данным в соответствующем назначении журнала
Идентификатор Microsoft Entra P1 или P2
Использование и аналитические сведения Средство чтения отчетов
Средство чтения безопасности
Администратор безопасности
Идентификатор Microsoft Entra P1 или P2

*Просмотр настраиваемых атрибутов безопасности в журналах аудита или создание параметров диагностики для настраиваемых атрибутов безопасности требует одной из ролей журнала атрибутов. Вам также нужна соответствующая роль для просмотра стандартных журналов аудита.

**Уровень доступа и возможностей для Защита идентификации Microsoft Entra зависит от роли и лицензии. Дополнительные сведения см. в требованиях к лицензии для защиты идентификаторов.

Журналы аудита доступны для функций, лицензированных вами. Чтобы получить доступ к журналам входа с помощью API Microsoft Graph, клиент должен иметь лицензию Microsoft Entra ID P1 или P2.

Просмотр журналов через Центр администрирования Microsoft Entra

Для одноуровневых расследований с ограниченной областью центр администрирования Microsoft Entra часто является самым простым способом найти необходимые данные. Пользовательский интерфейс для каждого из этих отчетов предоставляет параметры фильтра, позволяющие найти записи, необходимые для решения вашего сценария.

Данные, захваченные в журналах действий Microsoft Entra, используются во многих отчетах и службах. Вы можете просматривать журналы входа, аудита и подготовки для сценариев единого отключения или использовать отчеты для просмотра шаблонов и тенденций. Данные из журналов действий помогают заполнить отчеты по защите идентификации, которые обеспечивают обнаружение рисков, связанных с информационной безопасностью, о том, что идентификатор Microsoft Entra может обнаруживать и сообщать о них. Журналы действий Microsoft Entra также заполняют отчеты об использовании и аналитике, которые предоставляют сведения об использовании для приложений клиента.

Отчеты, доступные в портал Azure, предоставляют широкий спектр возможностей для мониторинга действий и использования в клиенте. Следующий список использования и сценариев не является исчерпывающим, поэтому изучите отчеты для ваших потребностей.

  • Изучите действия входа пользователя или отслеживайте использование приложения.
  • Просмотрите сведения об изменениях имени группы, регистрации устройства и сбросе паролей с помощью журналов аудита.
  • Используйте отчеты защиты идентификации для мониторинга пользователей с риском, удостоверений рабочих нагрузок и рискованных входов.
  • Просмотрите частоту успешного входа в отчете об активности приложения Microsoft Entra (предварительная версия) из использования и аналитических сведений, чтобы пользователи могли получить доступ к приложениям, используемым в вашем клиенте.
  • Сравните различные методы проверки подлинности, которые пользователи предпочитают, с отчетом о методах проверки подлинности из отчета об использовании и аналитике.

Быстрые действия

Чтобы получить доступ к отчетам в Центре администрирования Microsoft Entra, выполните следующие основные действия.

  1. Перейдите к журналам мониторинга удостоверений и аудита работоспособности>>журналов/входа в журналы/ подготовки.
  2. Настройте фильтр в соответствии с вашими потребностями.

Журналы аудита можно получить непосредственно из области Центра администрирования Microsoft Entra, где вы работаете. Например, если вы находитесь в разделе "Группы или лицензии " идентификатора Microsoft Entra ID, вы можете получить доступ к журналам аудита для этих конкретных действий непосредственно из этой области. При доступе к журналам аудита таким образом категории фильтров автоматически задаются. Если вы находитесь в группах, для категории фильтра журнала аудита задано значение GroupManagement.

Потоковая передача журналов в концентратор событий для интеграции с инструментами SIEM

Потоковая передача журналов действий в концентратор событий требуется для интеграции журналов действий с средствами управления сведениями о безопасности и событиями (SIEM), такими как Splunk и SumoLogic. Прежде чем выполнять потоковую передачу журналов в концентратор событий, необходимо настроить пространство имен Центров событий и концентратор событий в подписке Azure.

Средства SIEM, которые можно интегрировать с концентратором событий, могут предоставлять возможности анализа и мониторинга. Если вы уже используете эти средства для приема данных из других источников, вы можете передавать данные удостоверений для более полного анализа и мониторинга. Мы рекомендуем потоковую передачу журналов действий в концентратор событий для следующих типов сценариев:

  • Для получения и обработки миллионов событий в секунду требуется платформа потоковой передачи больших данных и служба приема событий.
  • Вы хотите преобразовать и сохранить данные с помощью поставщика аналитики в режиме реального времени или адаптеров пакетной обработки или хранилища.

Быстрые действия

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.
  2. Создайте пространство имен Центров событий и концентратор событий.
  3. Перейдите к параметрам диагностики мониторинга удостоверений и работоспособности>>.
  4. Выберите журналы, которые вы хотите передавать, выберите stream в параметр концентратора событий и заполните поля.

Независимый поставщик безопасности должен предоставить вам инструкции по приему данных из Центры событий Azure в инструмент.

Доступ к журналам с помощью API Microsoft Graph

API Microsoft Graph предоставляет единую модель программирования, которую можно использовать для доступа к данным для клиентов Microsoft Entra ID P1 или P2. Не требуется, чтобы администратор или разработчик настроили дополнительную инфраструктуру для поддержки скрипта или приложения.

Кончик

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

С помощью обозревателя Microsoft Graph можно выполнять запросы, которые помогут вам выполнить следующие типы сценариев:

  • Просмотр действий клиента, таких как изменение группы и когда.
  • Пометить событие входа Microsoft Entra как безопасное или подтвержденное скомпрометированное.
  • Получение списка входов приложений за последние 30 дней.

Заметка

Microsoft Graph позволяет получать доступ к данным из нескольких служб, которые накладывают свои собственные ограничения регулирования. Дополнительные сведения о регулировании журнала действий см. в разделе об ограничениях регулирования для конкретной службы Microsoft Graph.

Быстрые действия

  1. Настройте предварительные требования.
  2. Войдите в обозреватель Graph.
  3. Задайте метод HTTP и версию API.
  4. Добавьте запрос и нажмите кнопку "Выполнить запрос ".

Интеграция журналов с журналами Azure Monitor

Интеграция журналов Azure Monitor позволяет включить широкие возможности визуализаций, мониторинга и оповещений о подключенных данных. Log Analytics предоставляет расширенные возможности запросов и анализа для журналов действий Microsoft Entra. Чтобы интегрировать журналы действий Microsoft Entra с журналами Azure Monitor, вам потребуется рабочая область Log Analytics. Оттуда можно выполнять запросы с помощью Log Analytics.

Интеграция журналов Microsoft Entra с журналами Azure Monitor предоставляет централизованное расположение для запросов журналов. Мы рекомендуем интегрировать журналы с Azure Monitor для следующих типов сценариев:

  • Сравнение журналов входа Microsoft Entra с журналами, опубликованными другими службами Azure.
  • Сопоставляйте журналы входа с приложение Azure аналитическими сведениями.
  • Журналы запросов с помощью определенных параметров поиска.

Быстрые действия

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.
  2. Создайте рабочую область Log Analytics.
  3. Перейдите к параметрам диагностики мониторинга удостоверений и работоспособности>>.
  4. Выберите журналы, которые вы хотите передавать, выберите параметр "Отправить в рабочую область Log Analytics" и заполните поля.
  5. Перейдите к Службе мониторинга удостоверений и работоспособности>>Log Analytics и начните запрашивать данные.

Мониторинг событий с помощью Microsoft Sentinel

Отправка журналов входа и аудита в Microsoft Sentinel предоставляет центр управления безопасностью практически в режиме реального времени для обнаружения безопасности и охоты на угрозы. Термин охоты на угрозы относится к упреждающем подходу к улучшению состояния безопасности вашей среды. В отличие от классической защиты, охота на угрозы пытается заранее определить потенциальные угрозы, которые могут повредить вашей системе. Данные журнала действий могут быть частью решения для поиска угроз.

Мы рекомендуем использовать возможности обнаружения безопасности в режиме реального времени Microsoft Sentinel, если вашей организации требуется аналитика безопасности и аналитика угроз. Используйте Microsoft Sentinel, если вам нужно:

  • Сбор данных безопасности в вашей организации.
  • Обнаружение угроз с помощью обширной аналитики угроз.
  • Изучите критические инциденты, управляемые ИИ.
  • Быстрое реагирование и автоматизация защиты.

Быстрые действия

  1. Сведения о предварительных требованиях, ролях и разрешениях.
  2. Оцените потенциальные затраты.
  3. Подключение к Microsoft Sentinel.
  4. Сбор данных Microsoft Entra.
  5. Начните охоту на угрозы.

Экспорт журналов для хранилища и запросов

Правильное решение для долгосрочного хранения зависит от бюджета и того, что вы планируете делать с данными. У вас есть три варианта:

  • Архивирование журналов в служба хранилища Azure
  • Скачивание журналов для хранилища вручную
  • Интеграция журналов с журналами Azure Monitor

служба хранилища Azure является правильным решением, если вы не планируете часто запрашивать данные. Дополнительные сведения см. в журналах каталогов архива в учетной записи хранения.

Если вы планируете запрашивать журналы часто для выполнения отчетов или выполнения анализа сохраненных журналов, следует интегрировать данные с журналами Azure Monitor.

Если бюджет является жестким, и вам нужен дешевый метод для создания долгосрочной резервной копии журналов действий, вы можете скачать журналы вручную. Пользовательский интерфейс журналов действий на портале предоставляет возможность скачивания данных в формате JSON или CSV. Одним из компромиссов с загрузкой вручную является то, что требуется больше ручного взаимодействия. Если вы ищете более профессиональное решение, используйте служба хранилища Azure или Azure Monitor.

Рекомендуется настроить учетную запись хранения для архивации журналов действий для этих сценариев управления и соответствия требованиям, где требуется долгосрочное хранение.

Если вы хотите использовать долгосрочное хранилище и хотите выполнять запросы к данным, ознакомьтесь с разделом об интеграции журналов действий с журналами Azure Monitor.

Мы рекомендуем вручную скачать и сохранить журналы действий, если у вас есть бюджетные ограничения.

Быстрые действия

Чтобы архивировать или скачать журналы действий, выполните следующие основные действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.
  2. Создайте учетную запись хранения.
  3. Перейдите к параметрам диагностики мониторинга удостоверений и работоспособности>>.
  4. Выберите журналы, которые вы хотите передавать, выберите архив в параметр учетной записи хранения и заполните поля.

Дальнейшие действия