Что такое мониторинг и работоспособности Microsoft Entra?

Функции мониторинга и работоспособности Microsoft Entra обеспечивают комплексное представление действий, связанных с удостоверениями в вашей среде. Эти данные позволяют:

  • Определите, как пользователи используют приложения и службы.
  • Обнаружение потенциальных рисков, влияющих на работоспособность вашей среды.
  • Устранение неполадок, которые препятствуют работе пользователей.
  • Получите аналитические сведения, просмотрив события аудита изменений в каталоге Microsoft Entra.

Журналы входа и аудита включают журналы действий, лежащие в основе многих отчетов Microsoft Entra, которые можно использовать для анализа, отслеживания и устранения неполадок действий в клиенте. Маршрутизация журналов действий в решение для анализа и мониторинга обеспечивает более подробные сведения о работоспособности и безопасности клиента.

В этой статье описываются типы журналов действий, доступные в идентификаторе Microsoft Entra, отчеты, использующие журналы, и службы мониторинга, доступные для анализа данных.

Журналы действий удостоверений

Журналы действий помогают понять поведение пользователей в организации. Существует три типа журналов действий в идентификаторе Microsoft Entra:

Журналы действий можно просматривать в портал Azure или с помощью API Microsoft Graph. Журналы действий также можно направлять в различные конечные точки для хранения или анализа. Дополнительные сведения обо всех параметрах просмотра журналов действий см. в статье "Как получить доступ к журналам действий".

Журналы аудита

Журналы аудита предоставляют записи системных действий для соответствия требованиям. Эти данные позволяют решать распространенные сценарии, такие как:

  • У кого-то в моем клиенте есть доступ к группе администрирования. Кто дал им доступ?
  • Я хочу узнать список пользователей, войдите в определенное приложение, потому что недавно я подключен к приложению и хочу знать, хорошо ли это делается.
  • Я хочу знать, сколько сбросов паролей происходит в моем клиенте.

Журналы входа

Журналы входа позволяют найти ответы на такие вопросы, как:

  • Что такое шаблон входа пользователя?
  • Сколько пользователей вошли в систему более недели?
  • Что такое состояние этих входов?

Журналы подготовки

Журналы подготовки можно использовать для поиска ответов на такие вопросы:

  • Какие группы были успешно созданы в ServiceNow?
  • Какие пользователи успешно удалены из Adobe?
  • Какие пользователи из Workday успешно созданы в Active Directory?

Отчеты об удостоверениях

Просмотр данных в журналах действий Microsoft Entra может предоставить полезные сведения для ИТ-администраторов. Чтобы упростить процесс проверки данных по ключевым сценариям, мы создали несколько отчетов о распространенных сценариях, использующих журналы действий.

  • Защита идентификации использует данные входа для создания отчетов о рискованных пользователях и действиях входа.
  • Действия, связанные с приложениями, такими как действие учетных данных субъекта-службы и приложения, используются для создания отчетов в службе "Использование и аналитика".
  • Книги Microsoft Entra предоставляют настраиваемый способ просмотра и анализа журналов действий.
  • Используйте рекомендации Microsoft Entra для мониторинга и улучшения безопасности клиента.
  • Microsoft Entra Health захватывает глобальный уровень обслуживания соглашения о достижении и работоспособности для нескольких ключевых сценариев.

Мониторинг удостоверений и работоспособности клиента

Просмотр журналов действий Microsoft Entra — это первый шаг в обслуживании и улучшении работоспособности и безопасности вашего клиента. Необходимо проанализировать данные, отслеживать рискованные сценарии и определять, где можно улучшить. Мониторинг Microsoft Entra предоставляет необходимые средства для принятия обоснованных решений.

Для мониторинга журналов действий Microsoft Entra требуется маршрутизация данных журнала в решение для мониторинга и анализа. Конечные точки включают журналы Azure Monitor, Microsoft Sentinel или стороннее средство управления сведениями о безопасности и событиями (SIEM) стороннего решения.

Варианты использования

Использование журналов, отчетов и служб мониторинга зависит от потребностей вашей организации. Чтобы лучше определить приоритеты вариантов использования и решений, это может помочь увидеть, как эти решения связаны друг с другом, как они отличаются и как они могут использоваться вместе.

Соображения

  • Хранение — хранение журналов: хранение журналов аудита и вход журналов Microsoft Entra дольше 30 дней
  • Аналитика. Журналы доступны для поиска с помощью средств аналитики
  • Аналитика операционной и безопасности . Предоставление доступа к использованию приложений, ошибкам входа, самостоятельному использованию, тенденциям и т. д.
  • Интеграция SIEM . Интеграция и потоковая передача журналов входа Microsoft Entra и журналов аудита в системы SIEM

С помощью мониторинга Microsoft Entra можно направлять журналы действий Microsoft Entra и сохранять их для долгосрочного создания отчетов и анализа для получения аналитических сведений об среде и интеграции с средствами SIEM. Используйте следующую блок-диаграмму принятия решений, чтобы помочь выбрать архитектуру.

Рисунок матрицы принятия решений для архитектуры, необходимой для бизнеса.

Общие сведения о доступе, хранении и анализе журналов действий см. в статье "Как получить доступ к журналам действий".