Analýza protokolů aktivit Microsoft Entra pomocí Log Analytics

Po integraci protokolů aktivit Microsoft Entra s protokoly Azure Monitoru můžete využít výkon protokolů Log Analytics a Azure Monitoru k získání přehledu o vašem prostředí.

  • Porovnejte protokoly přihlášení Microsoft Entra s protokoly zabezpečení publikovanými službou Microsoft Defender for Cloud.

  • Řešení potíží s kritickými body výkonu na přihlašovací stránce vaší aplikace tím, že data o výkonu aplikace z Aplikace Azure Insights korelují.

  • Analyzujte protokoly rizikových uživatelů a detekcí rizik služby Identity Protection a detekujte hrozby ve vašem prostředí.

Tento článek popisuje analýzu protokolů aktivit Microsoft Entra v pracovním prostoru služby Log Analytics.

Role a licence

K analýze protokolů aktivit pomocí Log Analytics potřebujete:

  • Tenant Microsoft Entra s licencí Premium P1
  • Pracovní prostor služby Log Analytics a přístup k ho
  • Příslušné role pro Azure Monitor a ID Microsoft Entra

Pracovní prostor služby Log Analytics

Musíte vytvořit pracovní prostor služby Log Analytics. Existuje kombinace faktorů, které určují přístup k pracovním prostorům služby Log Analytics. Potřebujete správné role pro pracovní prostor a prostředky odesílající data.

Další informace najdete v tématu Správa přístupu k pracovním prostorům služby Log Analytics.

Role Azure Monitoru

Azure Monitor poskytuje dvě předdefinované role pro zobrazení dat monitorování a úpravu nastavení monitorování. Řízení přístupu na základě role (RBAC) v Azure také poskytuje dvě předdefinované role Log Analytics, které uděluje podobný přístup.

  • Zobrazit:

    • Čtenář monitorování
    • Čtenář Log Analytics
  • Zobrazení a úprava nastavení:

    • Přispěvatel monitorování
    • Přispěvatel Log Analytics

Další informace o předdefinovaných rolích služby Azure Monitor najdete v tématu Role, oprávnění a zabezpečení ve službě Azure Monitor.

Další informace o rolích RBAC služby Log Analytics najdete v tématu Předdefinované role Azure.

Microsoft Entra rolí

Přístup jen pro čtení umožňuje zobrazit data protokolu MICROSOFT ENTRA ID v sešitu, dotazovat se na data z Log Analytics nebo číst protokoly v Centru pro správu Microsoft Entra. Aktualizace přístupu přidává možnost vytvářet a upravovat nastavení diagnostiky pro odesílání Microsoft Entra dat do pracovního prostoru služby Log Analytics.

  • Přečtěte si:

    • Čtenář sestav
    • Čtenář zabezpečení
    • Globální čtenář
  • Aktualizace:

    • Správce zabezpečení

Další informace o Microsoft Entra předdefinovaných rolích najdete v tématu Microsoft Entra předdefinovaných rolí.

Přístup k Log Analytics

Pokud chcete zobrazit id Microsoft Entra Log Analytics, musíte už odesílat protokoly aktivit z Microsoft Entra ID do pracovního prostoru služby Log Analytics. Tento proces je popsaný v článku Integrace protokolů aktivit se službou Azure Monitor .

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, ze který začínáte.

  1. Přihlaste se k Centru pro správu Microsoft Entra alespoň jako čtenář sestav.

  2. Přejděte na LogAnalyticso stavu monitorování & identit>.> Spustí se výchozí vyhledávací dotaz.

    Výchozí dotaz

  3. Rozbalte kategorii LogManagement a zobrazte seznam dotazů souvisejících s protokoly.

  4. Výběrem nebo najetím myší na název dotazu zobrazíte popis a další užitečné podrobnosti.

    Snímek obrazovky s podrobnostmi dotazu

  5. Rozbalením dotazu ze seznamu zobrazíte schéma.

    Snímek obrazovky se schématem dotazu

Dotazování protokolů aktivity

Můžete spouštět dotazy na protokoly aktivit směrované do pracovního prostoru služby Log Analytics. Pokud například chcete získat seznam aplikací s nejvíce přihlášeními od minulého týdne, zadejte následující dotaz a vyberte tlačítko Spustit .

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

Pokud chcete získat nejvyšší počet událostí auditu za poslední týden, použijte následující dotaz:

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Nastavení výstrah

Můžete také nastavit upozornění na dotaz. Po spuštění dotazu se tlačítko + Nové pravidlo upozornění aktivuje.

  1. V Log Analytics vyberte tlačítko + Nové pravidlo upozornění .

    • Proces Vytvoření pravidla zahrnuje několik částí, které přizpůsobí kritéria pravidla.
    • Další informace o vytváření pravidel upozornění najdete v tématu Vytvoření nového pravidla upozornění z dokumentace ke službě Azure Monitor, počínaje kroky podmínky .

    Snímek obrazovky s tlačítkem + Nové pravidlo upozornění v Log Analytics

  2. Na kartě Akce vyberte skupinu akcí , která obdrží výstrahu při výskytu signálu.

  3. Na kartě Podrobnosti pojmenujte pravidlo upozornění a přidružte ho k předplatnému a skupině prostředků.

  4. Po konfiguraci všech potřebných podrobností vyberte tlačítko Zkontrolovat a vytvořit .

Použití sešitů k analýze protokolů

Microsoft Entra sešity poskytují několik sestav souvisejících s běžnými scénáři zahrnujícími události auditu, přihlášení a zřizování. Můžete také upozornit na jakákoli data uvedená v sestavách pomocí postupu popsaného v předchozí části.

  • Analýza zřizování: Tento sešit zobrazuje sestavy související s aktivitou zřizování auditování. Aktivity můžou zahrnovat počet nově zřízených uživatelů, selhání zřizování, počet aktualizovaných uživatelů, selhání aktualizací, počet zrušených zřízení uživatelů a odpovídající selhání. Další informace najdete v tématu Vysvětlení toho, jak se zřizování integruje s protokoly Azure Monitoru.

  • Události přihlášení: Tento sešit zobrazuje nejrelevantní sestavy související s monitorováním aktivit přihlašování, jako jsou přihlášení podle aplikace, uživatele, zařízení a souhrnné zobrazení, které sleduje počet přihlášení v průběhu času.

  • Přehledy podmíněného přístupu: Sešit přehledů podmíněného přístupu a vytváření sestav umožňuje pochopit vliv zásad podmíněného přístupu ve vaší organizaci v průběhu času. Další informace najdete v tématu Přehledy a vytváření sestav podmíněného přístupu.

Další kroky