Log Analytics を使用して Microsoft Entra アクティビティ ログを分析する

Microsoft Entra アクティビティ ログを Azure Monitor ログに統合した後は、Log Analytics と Azure Monitor ログを活用して、お使いの環境についての分析情報を得ることができます。

• 自分の Microsoft Entra サインイン ログと、Microsoft Defender for Cloud が発行したセキュリティ ログを比較します。

• Azure Application Insights からのアプリケーション パフォーマンス データを相関させることによって、アプリケーションのサインイン ページでのパフォーマンス ボトルネックのトラブルシューティングを行います。

• Identity Protection の危険なユーザーとリスク検出ログを分析して、環境内の脅威を検出します。

この記事では、Log Analytics ワークスペースでの Microsoft Entra アクティビティ ログの分析について説明します。

前提条件

Log Analytics を使ってアクティビティ ログを分析するには、次のものが必要です。

• Premium P1 ライセンスがある Microsoft Entra テナント
• Log Analytics ワークスペース および そのワークスペースへのアクセス
• Azure Monitor と Microsoft Entra ID の適切なロール

Log Analytics ワークスペース

Log Analytics ワークスペースを作成する必要があります。 Log Analytics ワークスペースへのアクセスを決定するいくつかの要因があります。 ワークスペース と データを送信するリソースに適したロールが必要です。

詳細については、「Log Analytics ワークスペースへのアクセスを管理する」を参照してください。

Azure Monitor ロール

Azure Monitor には、監視データを表示し、監視設定を編集するための 2 つの組み込みロール が用意されています。 Azure ロールベースのアクセス制御 (RBAC) には、同様のアクセス権を付与する 2 つの Log Analytics 組み込みロールも用意されています。

• [表示]:

  • Monitoring Reader
  • Log Analytics 閲覧者

• 設定を表示および変更する:

  • Monitoring Contributor
  • Log Analytics 共同作成者

Azure Monitor の組み込みロールの詳細については、「Azure Monitor のロール、アクセス許可、セキュリティ」を参照してください。

Log Analytics RBAC ロールの詳細については、「Azure 組み込みロール」を参照してください

Microsoft Entra ロール

読み取り専用アクセスを使用すると、ブック内の Microsoft Entra ID ログ データの表示、Log Analytics からのデータのクエリ、または Microsoft Entra 管理センターでのログの読み取りを行うことができます。 更新アクセスにより、診断設定を作成および編集して、Microsoft Entra データを Log Analytics ワークスペースに送信する機能が追加されます。

• [読み取り]:

  • レポート閲覧者
  • セキュリティ閲覧者
  • グローバル閲覧者

• 更新:

  • セキュリティ管理者

Microsoft Entra の組み込みロールの詳細については、「Microsoft Entra 組み込みロール」を参照してください。

Log Analytics にアクセスする

Microsoft Entra ID Log Analytics を表示するには、Microsoft Entra ID から Log Analytics ワークスペースへのアクティビティ ログ送信が既に動作している必要があります。 これを実現するプロセスについては、記事「Azure アクティビティ ログを Azure Monitor と統合する方法」を参照してください。

1. Microsoft Entra 管理センターにレポート閲覧者以上でサインインしてください。

2. [ID]>[監視と正常性]>[Log Analytics] に移動します。 既定の検索クエリが実行されます。

   

3. LogManagement カテゴリを展開して、ログ関連クエリの一覧を表示します。

4. クエリの名前を選択またはポイントすると、説明や、その他の有用な詳細情報が表示されます。

   

5. 一覧からクエリの 1 つを展開表示し、スキーマを表示します。

   

アクティビティ ログのクエリを実行する

Log Analytics ワークスペースに配信されたアクティビティ ログに対しては、クエリを実行できます。 たとえば、前週にサインイン回数が多かった上位アプリケーションの一覧を取得するには、次のクエリを入力し、[実行] ボタンを選択します。

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

過去 1 週間にわたる最上位の監査イベントを取得するには、次のクエリを使用します。

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

アラートを設定する

また、クエリに対してアラートを設定することもできます。 クエリを実行すると、[+ 新しいアラート ルール] ボタンがアクティブになります。

1. Log Analytics で、[+ 新しいアラート ルール] ボタンを選択します。

   • ルールの作成プロセスには、ルールの条件をカスタマイズするいくつかのセクションが含まれます。
   • アラート ルールの作成の詳細については、Azure Monitor ドキュメントの「新しいアラート ルールを作成する」で、「条件」の手順以降を参照してください。

   

2. [アクション] タブで、シグナルが発生したときにアラートを受信する必要がある [アクション グループ] を選択します。

   • 電子メールまたはテキスト メッセージを使用してチームに通知することも、Webhook、Azure Functions、または Logic Apps を使用してアクションを自動化することもできます。
   • Azure portal でのアラート グループの作成および管理の詳細を理解します。

3. [詳細] タブで、アラート ルールに名前を付け、サブスクリプションとリソース グループに関連付けます。

4. 必要な詳細設定をすべて構成したら、[確認と作成] ボタンを選択します。

ブックを使用してログを分析する

Microsoft Entra ブックには、監査、サインイン、プロビジョニングの各イベントに関する一般的なシナリオに関連した複数のレポートが表示されます。 前のセクションで説明されている手順を使用して、レポートに表示されるデータのいずれかについてアラートすることもできます。

• プロビジョニング分析: このブックには、監査のプロビジョニング アクティビティに関連するレポートが表示されます。 アクティビティには、新しくプロビジョニングされたユーザーの数、プロビジョニング エラーの数、更新されたユーザーの数、更新エラーの数、プロビジョニング解除されたユーザーの数、対応するエラーの数などが含まれる場合があります。 詳細については、「プロビジョニングを Azure Monitor ログと統合する方法の概要」をご覧ください。

• Sign-ins Events (サインイン イベント): このブックでは、アプリケーション、ユーザー、デバイス別のサインイン数や、経時的にサインイン数を追跡する概要ビューなど、サインイン アクティビティの監視に関連する最も重要なレポートが表示されます。

• 条件付きアクセスの分析情報: 条件付きアクセスに関する分析情報とレポートのブックを使うと、組織での条件付きアクセス ポリシーの影響を経時的に把握できます。 詳細については、「条件付きアクセスに関する分析情報とレポート」をご覧ください。

次のステップ

• Azure Monitor ログでクエリの使用を開始する
• Create and manage alert groups in the Azure portal