Analizowanie dzienników aktywności Microsoft Entra za pomocą usługi Log Analytics

Po zintegrowaniu dzienników aktywności Microsoft Entra z dziennikami usługi Azure Monitor możesz użyć możliwości dzienników usługi Log Analytics i usługi Azure Monitor, aby uzyskać wgląd w środowisko.

• Porównaj dzienniki logowania Microsoft Entra z dziennikami zabezpieczeń opublikowanymi przez Microsoft Defender for Cloud.

• Rozwiąż problemy z wąskimi gardłami wydajności na stronie logowania aplikacji, korelując dane wydajności aplikacji z usługi aplikacja systemu Azure Insights.

• Przeanalizuj dzienniki ryzykownych użytkowników i wykryć ryzyka w usłudze Identity Protection, aby wykrywać zagrożenia w danym środowisku.

W tym artykule opisano analizowanie dzienników aktywności Microsoft Entra w obszarze roboczym usługi Log Analytics.

Role i licencje

Do analizowania dzienników aktywności za pomocą usługi Log Analytics potrzebne są następujące elementy:

• Dzierżawa Microsoft Entra z licencją Premium P1
• Obszar roboczy usługi Log Analytics i dostęp do tego obszaru roboczego
• Odpowiednie role dla usługi Azure Monitor i identyfikatora Microsoft Entra

Obszar roboczy usługi Log Analytics

Musisz utworzyć obszar roboczy usługi Log Analytics. Istnieje kombinacja czynników, które określają dostęp do obszarów roboczych usługi Log Analytics. Potrzebujesz odpowiednich ról dla obszaru roboczego i zasobów wysyłających dane.

Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do obszarów roboczych usługi Log Analytics.

Role usługi Azure Monitor

Usługa Azure Monitor udostępnia dwie wbudowane role do wyświetlania danych monitorowania i edytowania ustawień monitorowania. Kontrola dostępu oparta na rolach (RBAC) na platformie Azure udostępnia również dwie wbudowane role usługi Log Analytics, które udzielają podobnego dostępu.

• Wyświetl:

  • Czytelnik monitorowania
  • Czytelnik usługi Log Analytics

• Wyświetlanie i modyfikowanie ustawień:

  • Współautor monitorowania
  • Współautor usługi Log Analytics

Aby uzyskać więcej informacji na temat wbudowanych ról usługi Azure Monitor, zobacz Role, uprawnienia i zabezpieczenia w usłudze Azure Monitor.

Aby uzyskać więcej informacji na temat ról RBAC usługi Log Analytics, zobacz Role wbudowane platformy Azure

role Microsoft Entra

Dostęp tylko do odczytu umożliwia wyświetlanie danych dziennika identyfikatorów Microsoft Entra w skoroszycie, wykonywanie zapytań o dane z usługi Log Analytics lub odczytywanie dzienników w centrum administracyjnym Microsoft Entra. Dostęp do aktualizacji umożliwia tworzenie i edytowanie ustawień diagnostycznych w celu wysyłania Microsoft Entra danych do obszaru roboczego usługi Log Analytics.

• Przeczytaj:

  • Czytelnik raportów
  • Czytelnik zabezpieczeń
  • Czytelnik globalny

• Aktualizacja:

  • Administrator zabezpieczeń

Aby uzyskać więcej informacji na temat Microsoft Entra wbudowanych ról, zobacz Microsoft Entra wbudowane role.

Uzyskiwanie dostępu do usługi Log Analytics

Aby wyświetlić identyfikator Microsoft Entra Log Analytics, musisz już wysyłać dzienniki aktywności z identyfikatora Microsoft Entra do obszaru roboczego usługi Log Analytics. Ten proces został omówiony w artykule Jak zintegrować dzienniki aktywności z usługą Azure Monitor .

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej czytelnik raportów.

2. Przejdź do usługiLog Analyticsmonitorowania &>tożsamości>. Zostanie uruchomione domyślne zapytanie wyszukiwania.

   

3. Rozwiń kategorię LogManagement , aby wyświetlić listę zapytań związanych z dziennikami.

4. Wybierz lub umieść kursor nad nazwą zapytania, aby wyświetlić opis i inne przydatne szczegóły.

   

5. Rozwiń zapytanie z listy, aby wyświetlić schemat.

   

Dzienniki aktywności zapytań

Zapytania można uruchamiać względem dzienników aktywności kierowanych do obszaru roboczego usługi Log Analytics. Aby na przykład uzyskać listę aplikacji z największą częścią logowania z ostatniego tygodnia, wprowadź następujące zapytanie i wybierz przycisk Uruchom .

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

Aby uzyskać najważniejsze zdarzenia inspekcji w ciągu ostatniego tygodnia, użyj następującego zapytania:

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Konfigurowanie alertów

Możesz również skonfigurować alerty dotyczące zapytania. Po uruchomieniu zapytania przycisk + Nowa reguła alertu staje się aktywny.

1. W usłudze Log Analytics wybierz przycisk + Nowa reguła alertu .

   • Proces tworzenia reguły obejmuje kilka sekcji w celu dostosowania kryteriów reguły.
   • Aby uzyskać więcej informacji na temat tworzenia reguł alertów, zobacz Tworzenie nowej reguły alertu z dokumentacji usługi Azure Monitor, począwszy od kroków Warunek .

   

2. Na karcie Akcje wybierz grupę akcji , która otrzyma alert po wystąpieniu sygnału.

   • Możesz powiadomić zespół za pośrednictwem poczty e-mail lub wiadomości SMS albo zautomatyzować akcję przy użyciu elementów webhook, funkcji platformy Azure lub aplikacji logiki.
   • Dowiedz się więcej o tworzeniu grup alertów i zarządzaniu nimi w Azure Portal.

3. Na karcie Szczegóły nadaj regule alertu nazwę i skojarz ją z subskrypcją i grupą zasobów.

4. Po skonfigurowaniu wszystkich niezbędnych szczegółów wybierz przycisk Przejrzyj i utwórz .

Analizowanie dzienników za pomocą skoroszytów

Microsoft Entra skoroszyty zawierają kilka raportów związanych z typowymi scenariuszami obejmującymi inspekcję, logowanie i zdarzenia aprowizacji. Możesz również otrzymywać alerty dotyczące dowolnego z danych podanych w raportach, wykonując kroki opisane w poprzedniej sekcji.

• Analiza aprowizacji: Ten skoroszyt przedstawia raporty związane z aprowizowaniem inspekcji. Działania mogą obejmować liczbę aprowizowania nowych użytkowników, niepowodzenia aprowizacji, liczbę zaktualizowanych użytkowników, niepowodzenia aktualizacji, liczbę użytkowników co do anulowania aprowizacji i odpowiednie niepowodzenia. Aby uzyskać więcej informacji, zobacz Omówienie sposobu integrowania aprowizacji z dziennikami usługi Azure Monitor.

• Zdarzenia logowania: ten skoroszyt przedstawia najbardziej odpowiednie raporty związane z monitorowaniem aktywności logowania, takie jak logowania według aplikacji, użytkownika, urządzenia i widoku podsumowania śledzenia liczby logowań w czasie.

• Szczegółowe informacje o dostępie warunkowym: skoroszyt szczegółowych informacji o dostępie warunkowym i raportowania umożliwia zrozumienie wpływu zasad dostępu warunkowego w organizacji w czasie. Aby uzyskać więcej informacji, zobacz Szczegółowe informacje i raportowanie dostępu warunkowego.

Następne kroki

• Rozpoczynanie pracy z zapytaniami w dziennikach usługi Azure Monitor
• Tworzenie grup alertów i zarządzanie nimi w Azure Portal