Microsoft Entra tevékenységnaplók elemzése a Log Analytics használatával

Miután integrálta Microsoft Entra tevékenységnaplókat az Azure Monitor-naplókkal, a Log Analytics és az Azure Monitor-naplók segítségével betekintést nyerhet a környezetébe.

• Hasonlítsa össze a Microsoft Entra bejelentkezési naplóit a felhőhöz készült Microsoft Defender által közzétett biztonsági naplókkal.

• Az alkalmazás bejelentkezési oldalán fellépő teljesítménybeli szűk keresztmetszeteket az alkalmazás teljesítményadatainak Azure-alkalmazás Insightsból való korrelálásával háríthatja el.

• Elemezze az Identity Protection kockázatos felhasználóit és kockázatészlelési naplóit a környezetében lévő fenyegetések észleléséhez.

Ez a cikk a Log Analytics-munkaterület Microsoft Entra tevékenységnaplóinak elemzését ismerteti.

Szerepkörök és licencek

A tevékenységnaplók Log Analyticsszel való elemzéséhez a következőkre van szükség:

• Prémium P1 licenccel rendelkező Microsoft Entra-bérlő
• Log Analytics-munkaterület és hozzáférés ehhez a munkaterülethez
• Az Azure Monitor és Microsoft Entra-azonosító megfelelő szerepkörei

Log Analytics-munkaterület

Létre kell hoznia egy Log Analytics-munkaterületet. A Log Analytics-munkaterületekhez való hozzáférést számos tényező határozza meg. Szüksége van a megfelelő szerepkörökre a munkaterülethez és az adatokat küldő erőforrásokhoz.

További információ: Log Analytics-munkaterületekhez való hozzáférés kezelése.

Azure Monitor-szerepkörök

Az Azure Monitor két beépített szerepkört biztosít a figyelési adatok megtekintéséhez és a figyelési beállítások szerkesztéséhez. Az Azure szerepköralapú hozzáférés-vezérlés (RBAC) két beépített Log Analytics-szerepkört is biztosít, amelyek hasonló hozzáférést biztosítanak.

• Nézet:

  • Figyelési olvasó
  • Log Analytics olvasó

• Beállítások megtekintése és módosítása:

  • Figyelési közreműködő
  • Log Analytics közreműködő

További információ az Azure Monitor beépített szerepköreiről: Szerepkörök, engedélyek és biztonság az Azure Monitorban.

További információ a Log Analytics RBAC-szerepköreiről: Beépített Azure-szerepkörök

Microsoft Entra szerepkörök

Az írásvédett hozzáféréssel megtekintheti Microsoft Entra azonosító naplóadatait egy munkafüzetben, adatokat kérdezhet le a Log Analyticsből, vagy olvashatja a naplókat a Microsoft Entra Felügyeleti központban. A frissítési hozzáférés lehetővé teszi diagnosztikai beállítások létrehozását és szerkesztését, hogy Microsoft Entra adatokat küldjön egy Log Analytics-munkaterületre.

• Olvasás:

  • Jelentésolvasó
  • Biztonsági olvasó
  • Globális olvasó

• Frissítés:

  • Biztonsági rendszergazda

A beépített szerepkörök Microsoft Entra további információkért lásd: Microsoft Entra beépített szerepkörök.

Hozzáférés a Log Analyticshez

A Log Analytics Microsoft Entra-azonosító megtekintéséhez már el kell küldenie a tevékenységnaplókat Microsoft Entra azonosítóból egy Log Analytics-munkaterületre. Ezt a folyamatot a Tevékenységnaplók integrálása az Azure Monitorral című cikk ismerteti.

1. Jelentkezzen be legalább jelentésolvasóként a Microsoft Entra Felügyeleti központba.

2. Keresse meg az Identitásmonitorozás>& állapota>Log Analytics elemet. Fut egy alapértelmezett keresési lekérdezés.

   

3. Bontsa ki a LogManagement kategóriát a naplóval kapcsolatos lekérdezések listájának megtekintéséhez.

4. Válassza ki vagy vigye az egérmutatót a lekérdezés nevére a leírás és egyéb hasznos részletek megtekintéséhez.

   

5. Bontsa ki a listából a lekérdezést a séma megtekintéséhez.

   

Tevékenységnaplók lekérdezése

Lekérdezéseket futtathat a Log Analytics-munkaterületre átirányított tevékenységnaplókon. Ha például le szeretné kérdezni a múlt heti legtöbb bejelentkezést tartalmazó alkalmazások listáját, írja be a következő lekérdezést, és válassza a Futtatás gombot.

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

Az elmúlt hét legfontosabb naplózási eseményeinek lekéréséhez használja a következő lekérdezést:

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Riasztások beállítása

Riasztásokat is beállíthat egy lekérdezéshez. A lekérdezés futtatása után az + Új riasztási szabály gomb aktívvá válik.

1. A Log Analyticsben válassza az + Új riasztási szabály gombot.

   • A Szabály létrehozása folyamat több szakaszból áll a szabály feltételeinek testreszabásához.
   • További információ a riasztási szabályok létrehozásáról: Új riasztási szabály létrehozása az Azure Monitor dokumentációjából, a Feltétel lépésekkel kezdve.

   

2. A Műveletek lapon válassza ki azt a műveletcsoportot , amely a riasztást a jel bekövetkezésekor kapja meg.

   • Dönthet úgy, hogy e-mailben vagy SMS-ben értesíti a csapatot, vagy webhookok, Azure-függvények vagy logikai alkalmazások használatával automatizálhatja a műveletet.
   • További információ a riasztási csoportok létrehozásáról és kezeléséről a Azure Portal.

3. A Részletek lapon adjon nevet a riasztási szabálynak, és társítsa egy előfizetéshez és egy erőforráscsoporthoz.

4. Miután konfigurálta az összes szükséges részletet, válassza a Felülvizsgálat + Létrehozás gombot.

Munkafüzetek használata naplók elemzéséhez

Microsoft Entra munkafüzetek számos jelentést nyújtanak a gyakori forgatókönyvekhez kapcsolódóan, beleértve a naplózási, bejelentkezési és kiépítési eseményeket. A jelentésekben megadott adatok bármelyikéről is riasztást készíthet az előző szakaszban leírt lépésekkel.

• Kiépítési elemzés: Ez a munkafüzet a naplózási kiépítési tevékenységgel kapcsolatos jelentéseket jeleníti meg. A tevékenységek közé tartozhat a kiépített új felhasználók száma, a kiépítési hibák, a frissített felhasználók száma, a frissítési hibák, a megszüntetett felhasználók száma és a kapcsolódó hibák. További információ: A kiépítés integrálása az Azure Monitor-naplókkal.

• Bejelentkezési események: Ez a munkafüzet a bejelentkezési tevékenységek figyelésével kapcsolatos legfontosabb jelentéseket jeleníti meg, például alkalmazás, felhasználó, eszköz szerinti bejelentkezéseket, valamint egy összegző nézetet, amely nyomon követi a bejelentkezések számát az idő múlásával.

• Feltételes hozzáférési megállapítások: A feltételes hozzáférési megállapítások és jelentéskészítési munkafüzet lehetővé teszi a feltételes hozzáférési szabályzatok időbeli hatásának megértését a szervezetben. További információ: Feltételes hozzáférési megállapítások és jelentéskészítés.

Következő lépések

• Ismerkedés a lekérdezésekkel az Azure Monitor-naplókban
• Riasztási csoportok létrehozása és kezelése a Azure Portal