分析Azure AD安全日志:审计和监控Azure AD活动

教程

分析Azure AD安全日志:审计与监控Azure AD活动。您是否希望增强使用Azure AD安全和审计日志监控和分析Azure AD活动的知识?

本文解释了如何利用每个日志来监控和审查Azure AD中的用户活动。

文章首先探讨了4种日志并解释了它们提供的信息。然后,它讨论了使用这些日志所需的许可和角色先决条件。

最后,提供了使用日志进行监控和分析用户活动的分步说明。

另请阅读远程工作的Azure AD安全最佳实践

Azure AD安全和审计日志用于监控和分析活动

Azure Active Directory提供了四种日志,其中包含组织在系统中监视和分析用户活动所需的各种数据。这些日志包括登录日志,审计日志,配置日志以及“使用情况和见解”报告。

了解Azure AD登录和登录(预览)日志

Azure AD登录日志为组织提供了强大的见解,了解用户如何访问和使用应用程序和服务。这种日志类型是三种活动日志之一。

IT管理员通过登录日志上记录的信息来确定用户登录模式。此外,此日志显示了在特定时间段登录的用户数量。还显示了登录的状态。

截止到2023年6月,Microsoft发布了一个名为“登录日志(预览)”的预览版本。虽然经典的登录日志记录交互式用户活动,但预览版本还跟踪这一并且还有3种额外类型的登录(非交互式用户,服务主体和托管标识)用于Azure资源登录。

互动登录发生在用户使用用户名和密码MFA访问Azure AD时。另一方面,非互动登录是指应用程序代表用户登录。

此外,服务主体代表它们进行登录,而托管标识记录了使用在Azure Key Vault中安全存储的密钥的应用程序的登录。

除了“用户”组件外,登录日志记录了用户或应用程序访问Azure资源时的3个基本组件。第一个关键元素是“”。

此记录显示了进行登录的身份(用户)。日志还记录了“如何”,指示用于登录的客户端或应用程序。

最后,您还会得到“what,” – 记录了身份访问的目标资源。

因此,每当您监视和审计Azure AD安全活动时,要注意“who”,“how”和“what”记录为“user”,“resource”和“application”或“client app”。

还阅读使用InfraSOS Azure AD访客报告和审计工具

了解Azure活动目录审计日志

审计日志是另一个Azure AD活动日志,可帮助监视和分析用户操作。审计日志记录目录内的活动。

具体来说,Azure AD审计日志记录目录中对用户应用程序所做的更改。这些活动日志通常用于合规目的。

当组织监视Azure AD审计日志时,可能会揭示需要修复的安全漏洞或合规问题。

审计日志的主题(用户、组或应用程序)注册为“活动类型”。除了活动类型外,它还记录了“类别”、“状态”以及发起活动的人,记录为“由谁发起(操作者)”。

打开审计日志时,有三个标签页:“活动”、“目标”和“修改的属性”。

活动标签显示“活动类型”,记录更改是针对组、用户还是应用程序。此外,该标签还记录日志的类别和状态。还记录了“由谁发起(操作者)”的信息,包括进行更改的用户、IP地址和用户的UPN。“目标”标签记录修改对象的详细信息。如果可用,它记录对象的名称、显示名称、ID和UPN。

最后,“修改的属性”标签显示修改对象的属性,包括旧值和新值。

还可阅读检查Azure AD审计日志以查看用户登录(成功失败)

理解Azure活动目录的配置日志

Azure Active Directory 与第三方应用程序集成,用于在目录中为用户提供。它记录他们在配置日志中的活动,供 IT 管理员进行故障排除或跟踪这些应用程序所做的更改。

关于记录,配置日志跟踪信息,如由像 ServiceNow 这样的第三方服务成功创建或修改的用户。此外,它还跟踪组更改以及进行更改的服务。

这些记录有助于安全审计合规信息。

还阅读Get-AzureADAuditSignInLogs – 查找最近 30 天的登录日志 PowerShell

了解 Azure AD“使用和见解”报告

“使用情况和见解”报告是Azure AD记录其他Microsoft 365应用程序的登录活动的中央存储库。这是一个单一的位置,用于查看登录活动。

该页面记录了成功和失败的登录次数,以及成功率。除此之外,它还显示了每个应用程序的登录活动链接。

如上面的屏幕截图所示,“使用情况和见解”页面提供了关于组织中最常用应用程序、登录成功率最低的应用程序以及顶级登录错误的信息。

点击应用程序的“查看登录活动”链接会显示登录错误。此外,详情页面显示了错误代码、发生次数以及错误发生的最后日期。

在从“使用情况和见解”继续之前,我想在这里强调其他关键报告。早些时候,我提到了登录日志跟踪服务主体的登录。

这些信息在“使用情况和见解”中作为“服务主体登录活动(预览)”提供。点击此处显示Azure Active Directory已经验证的服务主体。

该报告包括服务主体的名称、其上次登录时间以及“查看更多详情”的链接。

在我们继续之前,我想提到“使用情况和见解”页面上的其他有价值的日志,以“身份验证方法活动”为开端。

还可以阅读设置 Azure 有条件访问 + 多重身份验证 MFA

“身份验证方法活动”记录身份验证方法组织中用户用于在 Azure AD 中注册的使用情况。

页面有 2 个选项卡:注册和使用。注册选项卡记录了已注册可用身份验证方法的用户。

另一方面,使用选项卡详细说明了身份验证方法的使用情况。

您工具箱中需要的最后一份日志是“应用凭据活动 (预览)”报告。该报告提供了应用凭据最后使用日期。

此外,该报告记录了应用程序 ID、证书类型以及查看记录详细信息的链接。


image credit: Microsoft

还可以阅读使用 Office 365 用户报告

使用 Azure AD 安全性和审计日志监视和分析 Azure AD 活动

在此部分,通过portal.azure.com登录 Azure 门户。然后,搜索并打开“Azure Active Directory”。

使用登录日志来监视和分析用户活动

要访问登录日志,请从Azure活动目录门户的监视菜单中打开它。

打开Azure AD登录日志后,自定义列以满足您的需求。

然后,在“列”弹出窗口中选中您需要的列,并取消选中您不需要的列。我们建议勾选下面我截图中的列。

在设置好列以符合您的偏好后,向日志添加过滤器以显示您想要分析的信息。

要添加过滤器,请单击“添加过滤器”,选择一个过滤器,然后单击应用。根据需要重复此操作添加多个过滤器。

此外阅读检查Azure AD审核日志以查看用户登录(成功失败)

接下来,单击一个过滤器并添加条件。在下面的截图中,我已将我的登录日志筛选为仅返回包含“victor”的用户的日志。

这种过滤已将日志数量减少到我想要查看的内容。根据我们的故障排除需求,我们添加额外的过滤器。

打开日志条目可提供有关其详细报告。 “基本信息”选项卡显示有关登录的关键信息,如日期、“身份验证要求”、有关用户的信息、访问的应用程序和登录诊断工具。

登录诊断工具用于执行有关登录的额外故障排除,并获取推荐的解决问题操作。

日志条目有其他选项卡。

“位置”选项卡记录用户尝试身份验证的位置和IP地址。

“设备信息”选项卡还记录用户的操作系统、浏览器以及设备是否符合要求

最后,使用“有条件访问”和“仅报告”选项卡中的信息查看可能应用于登录的有条件访问和其他策略。

另请阅读如何监视Office 365活动日志以提高安全性

使用Azure AD审计日志分析用户活动

要打开审计日志,请在Azure Active Directory菜单中点击它。

然后,按照最后一小节中描述的步骤自定义列以符合您的需求。

与登录日志类似,审计日志具有过滤功能。幸运的是,微软添加了您最需要的过滤条件 – 服务活动类别。 

但是,审计日志提供了添加自定义过滤器的选项。要添加过滤器,请单击“添加过滤器”,选择一个过滤器,然后单击应用。 

添加过滤器后,它会显示,并用于确定审计日志显示的结果。在下面的屏幕截图中,我已通过日期发起者(操作者)筛选了日志。 

下一步是点击条目进行详细查看。一旦日志条目打开,可在“活动”,“目标(们)”和“修改属性”选项卡中查看信息。 

按照最后两个小节中的步骤和前几节中的信息来配置、分析和监视配置日志以及“使用和见解”报告。 

另请阅读 如何配置Azure AD活动日志以进行有效监控

分析Azure AD安全日志:审计和监视Azure AD活动 结论

监控和分析审计日志与配置Azure 身份保护条件访问、特权身份管理和其他安全功能一样重要。通过分析Azure Active Directory中的日志,IT管理员可以主动检测和缓解潜在安全事件

幸运的是,Azure AD拥有实现此目标所需的所有日志。具体而言,它提供组织的登录、登录(预览)和审计日志。

此外,这个强大的云身份管理工具还具有配置日志和“使用和见解”报告。这些日志提供了各种数据记录,以帮助确定Azure AD基础架构的安全健康状况。

为了帮助组织有效利用这些日志,本文解释了Azure AD日志提供的数据以及如何使用它们来监控和分析Azure AD的安全状况。

Source:
https://infrasos.com/analyze-azure-ad-security-logs-audit-monitor-azure-ad-activity/