Azure AD 安全和審核日誌用於監控和分析活動登錄 日誌、 審核 日誌、設置日誌和“使用情況和見解”報告。
Azure Active Directory 提供了四種日誌,其中包含組織需要監控並分析系統中用戶活動的各種數據。這些包括登錄日誌、審計日誌、配置日誌和“使用和洞察”報告。
了解 Azure AD 登錄和登錄(預覽)日誌
Azure AD 登錄日誌為組織提供了強大的洞察,了解用戶如何訪問和使用應用程序和服務。這種日誌類型是三種活動日誌之一。
IT 管理員通過登錄日誌中記錄的信息來確定用戶的登錄模式。此外,該日誌還顯示了在特定時間段內登錄的用戶數量。同時它顯示了登錄的狀態。
截至 2023 年 6 月,Microsoft 發布了一個名為“登錄日誌(預覽)”的預覽版本。傳統的登錄日誌記錄互動用戶活動,而預覽版本則跟踪這一點以及其他 3 種類型的登錄(非互動用戶、服務主體和托管身份)以進行 Azure 資源登錄。
互動式登錄發生在用戶使用使用者名稱和密碼或MFA訪問 Azure AD 時。另一方面,非互動式登錄是由應用程式代表用戶登錄的。
此外,服務主體代表他們進行登錄,而管理身份登錄記錄了應用程式從安全存儲在Azure Key Vault中的密鑰登錄的情況。
除了“用戶”組件外,登錄記錄了用戶或應用程式訪問 Azure 資源時的 3 個基本組件。第一個關鍵元素是“誰”。
此記錄顯示了進行登錄的身份(用戶)。日誌還記錄了“如何”,指示用於登錄的客戶端或應用程式。
最後,你還會得到「什麼」——它記錄了身份所訪問的目標資源。
因此,每當您使用登入日誌監視和審核 Azure AD 安全性活動時,請留意記錄的「誰」、「如何」和「什麼」,分別表示「使用者」、「資源」和「應用程式」或「用戶端應用程式」。
另請閱讀 使用 InfraSOS Azure AD 訪客報告和審核工具
了解 Azure Active Directory 審核日誌
審核日誌是另一種可幫助監視和分析使用者動作的 Azure AD 活動日誌。審核日誌會記錄目錄內的活動。
具體來說,Azure AD 審核日誌會記錄目錄中對 使用者、群組或 應用程式所做的變更。這些活動日誌通常用於 合規性目的。
當組織監視 Azure AD 審核日誌時,可能會發現安全性漏洞或合規性問題,需要進行修正。
稽核日誌的主題(用戶、組或應用程序)被註冊為“活動類型”。除了活動類型外,它還記錄了“類別”,“狀態”以及發起活動的人,記錄為“發起者(操作者)”。
當打開稽核日誌時,它有三個標籤:“活動”,“目標”,和“修改的屬性”。
了解 Azure AD「使用情況和洞察」報告
“使用情況和見解”報告是Azure AD紀錄其他Microsoft 365應用程式的登入活動的中央存儲庫。這是一個單一位置,用於查看登入活動。
該頁面記錄了成功和失敗的登入次數,以及成功率。除此之外,它還顯示了查看每個應用程式登入活動的連結。
如上面的截圖所示,“使用情況和見解”頁面提供了有關組織中最常用應用程式、登入成功率最低的應用程式和頂級登入錯誤的信息。
點擊應用程式的“查看登入活動”連結將顯示登入錯誤。此外,詳細頁面顯示錯誤代碼、發生次數和錯誤發生的最後日期。
在從“使用情況和見解”繼續之前,我想在這裡強調其他重要的報告。之前,我提到過登入記錄追踪服務主體的登入。
這些信息在“使用情況和見解”中是可用的,名為“服務主體登入活動(預覽)”。點擊此處將顯示Azure Active Directory已驗證的服務主體。
此報告包括服務主體的名稱、其上次登入時間以及“查看更多詳細信息”的連結。
在繼續之前,我想提及“使用情況和見解”頁面上的其他有價值的日誌,開始於“身份驗證方法活動”。
“驗證方法活動”記錄組織中的用戶使用的驗證方法來註冊 Azure AD。
該頁面有 2 個選項卡:註冊和使用。註冊選項卡記錄了已註冊可用驗證方法的用戶。
另一方面,使用選項卡詳細說明了驗證方法的使用情況。
您工具箱中需要的最後一個日誌是“應用程式憑證活動 (預覽)”報告。此報告提供了應用程式憑證最後使用日期。
此外,此報告記錄了應用程式 ID、憑證類型和查看記錄詳細信息的鏈接。
監控並分析 Azure AD 活動與 Azure AD 安全性和審計日誌
在此部分通過portal.azure.com登錄 Azure 閘道。然後,搜索並打開“Azure Active Directory”。
使用登錄日誌來監控和分析用戶活動
要访问登录日志,请从 Azure Active Directory 门户的监视菜单中打开它。
打开 Azure AD 登录日志后,自定义列以满足您的需求。
然后,在“列”弹出窗口中选中您需要的列,取消您不需要的列。我们建议检查下面我截图中的列。
在设置列以符合您的偏好后,向日志添加筛选器以显示您想要分析的信息。
要添加筛选器,请单击“添加筛选器”,选择一个筛选器,然后单击应用。根据需要重复此操作以添加尽可能多的筛选器。
接下来,单击一个筛选器并添加条件。在下面的截图中,我已将我的登录日志筛选为仅返回包含“victor”用户的日志。
此筛选已将日志数量减少到我想要查看的内容。根据我们的故障排除需求,我们添加额外的筛选器。
使用 Azure AD 審計日誌分析使用者活動
要打開審計日誌,請在 Azure Active Directory 選單中點擊它。
然後,按照最後一個小節中描述的步驟自定義列。
與登錄日誌類似,審核日誌具有篩選功能。幸運的是,Microsoft 添加了您最需要的篩選條件 – 服務,活動和類別。
但是,審核日誌提供了添加自定義篩選器的選項。要添加篩選器,請點擊“添加篩選器”,選擇一個篩選器,然後點擊應用。
添加篩選器後,它將顯示,並用於確定審核日誌顯示的結果。在下面的屏幕截圖中,我已通過日期和發起者(操作者)篩選了日誌。
下一步是通過點擊條目進行深入研究。一旦打開日誌條目,請查看活動、目標(目標)和“修改的屬性”選項卡中的信息。
按照最後兩個小節中的步驟以及前幾節中的信息來配置、分析和監控供應日誌和“使用和見解”報告。
分析 Azure AD 安全日誌:審核和監控 Azure AD 活動結論
Source:
https://infrasos.com/analyze-azure-ad-security-logs-audit-monitor-azure-ad-activity/