Wat is Microsoft Entra-bewaking en -status?

De functies van Microsoft Entra-bewaking en -status bieden een uitgebreid overzicht van identiteitsgerelateerde activiteiten in uw omgeving. Met deze gegevens kunt u het volgende doen:

• Bepaal hoe uw gebruikers uw apps en services gebruiken.
• Potentiële risico's detecteren die van invloed zijn op de status van uw omgeving.
• Problemen oplossen waardoor uw gebruikers hun werk niet kunnen doen.

Aanmeldings- en auditlogboeken omvatten de activiteitenlogboeken achter veel Microsoft Entra-rapporten, die kunnen worden gebruikt voor het analyseren, bewaken en oplossen van problemen met activiteiten in uw tenant. Het routeren van uw activiteitenlogboeken naar een analyse- en bewakingsoplossing biedt meer inzicht in de status en beveiliging van uw tenant.

In dit artikel worden de typen activiteitenlogboeken beschreven die beschikbaar zijn in Microsoft Entra ID, de rapporten die gebruikmaken van de logboeken en de bewakingsservices die beschikbaar zijn om u te helpen bij het analyseren van de gegevens.

Activiteitenlogboeken voor identiteiten

Activiteitenlogboeken helpen u inzicht te hebben in het gedrag van gebruikers in uw organisatie. Er zijn drie soorten activiteitenlogboeken in Microsoft Entra-id:

• Auditlogboeken bevatten de geschiedenis van elke taak die in uw tenant wordt uitgevoerd.

• Aanmeldingslogboeken leggen de aanmeldingspogingen van uw gebruikers en clienttoepassingen vast.

• Inrichtingslogboeken bieden informatie over gebruikers die in uw tenant zijn ingericht via een service van derden.

De activiteitenlogboeken kunnen worden weergegeven in Azure Portal of met behulp van de Microsoft Graph API. Activiteitenlogboeken kunnen ook worden gerouteerd naar verschillende eindpunten voor opslag of analyse. Zie Activiteitenlogboeken openen voor meer informatie over alle opties voor het weergeven van de activiteitenlogboeken.

Auditlogboeken

Auditlogboeken bieden u records van systeemactiviteiten voor naleving. Met deze gegevens kunt u algemene scenario's aanpakken zoals:

• Iemand in mijn tenant heeft toegang gekregen tot een beheerdersgroep. Wie heeft diegene toegang verleend?
• Ik wil weten welke lijst gebruikers zich aanmelden bij een specifieke app, omdat ik onlangs de app heb toegevoegd en wil weten of de app goed gaat.
• Ik wil weten hoeveel wachtwoorden opnieuw worden ingesteld in mijn tenant.

Aanmeldingslogboeken

Met de aanmeldingslogboeken kunt u antwoorden vinden op vragen zoals:

• Wat is het aanmeldingspatroon van een gebruiker?
• Hoeveel keer hebben gebruikers zich aangemeld gedurende een week?
• Wat is de status van deze aanmeldingen?

Inrichtingslogboeken

U kunt de inrichtingslogboeken gebruiken om antwoorden te vinden op vragen zoals:

• Welke groepen zijn gemaakt in ServiceNow?
• Welke gebruikers zijn verwijderd uit Adobe?
• Welke gebruikers van Workday zijn gemaakt in Active Directory?

Identiteitsrapporten

Het controleren van de gegevens in de activiteitenlogboeken van Microsoft Entra kan nuttige informatie bieden voor IT-beheerders. Om het proces van het controleren van gegevens over belangrijke scenario's te stroomlijnen, hebben we verschillende rapporten gemaakt over veelvoorkomende scenario's die gebruikmaken van de activiteitenlogboeken.

• Identity Protection maakt gebruik van aanmeldingsgegevens om rapporten te maken over riskante gebruikers en aanmeldingsactiviteiten.
• Activiteiten met betrekking tot uw toepassingen, zoals service-principal en app-referentieactiviteit, worden gebruikt om rapporten te maken in Gebruik en inzichten.
• Microsoft Entra-werkmappen bieden een aanpasbare manier om de activiteitenlogboeken weer te geven en te analyseren.
• Controleer de status van Microsoft Entra-aanbevelingen om de beveiliging van uw tenant te verbeteren.

Identiteitsbewaking en tenantstatus

Het controleren van Microsoft Entra-activiteitenlogboeken is de eerste stap bij het onderhouden en verbeteren van de status en beveiliging van uw tenant. U moet de gegevens analyseren, controleren op riskante scenario's en bepalen waar u verbeteringen kunt aanbrengen. Microsoft Entra-bewaking biedt de benodigde hulpprogramma's om u te helpen weloverwogen beslissingen te nemen.

Voor het bewaken van Microsoft Entra-activiteitenlogboeken moet u de logboekgegevens routeren naar een bewakings- en analyseoplossing. Eindpunten zijn onder andere Azure Monitor-logboeken, Microsoft Sentinel of een siem-hulpprogramma (Security Information and Event Management) van derden.

• Stream logboeken naar een Event Hub om te integreren met SIEM-hulpprogramma's van derden.
• Integreer logboeken met Azure Monitor-logboeken.
• Analyseer logboeken met Azure Monitor-logboeken en Log Analytics.

Zie Activiteitenlogboeken openen, opslaan en analyseren voor een overzicht van het openen, opslaan en analyseren van activiteitenlogboeken.