Analysera Microsoft Entra-aktivitetsloggar med Log Analytics

När du har integrerat Microsoft Entra-aktivitetsloggar med Azure Monitor-loggar kan du använda kraften i Log Analytics- och Azure Monitor-loggar för att få insikter om din miljö.

  • Jämför dina Inloggningsloggar för Microsoft Entra med säkerhetsloggar som publicerats av Microsoft Defender för molnet.

  • Felsöka flaskhalsar i prestanda på programmets inloggningssida genom att korrelera programprestandadata från Azure Application Insights.

  • Analysera loggarna Identity Protection-riskfyllda användare och riskidentifieringar för att identifiera hot i din miljö.

I den här artikeln beskrivs hur du analyserar Microsoft Entra-aktivitetsloggarna på din Log Analytics-arbetsyta.

Förutsättningar

Om du vill analysera aktivitetsloggar med Log Analytics behöver du:

  • En Microsoft Entra-klientorganisation med en Premium P1-licens
  • En Log Analytics-arbetsyta och åtkomst till den arbetsytan
  • Lämpliga roller för Azure Monitor och Microsoft Entra ID

Log Analytics-arbetsyta

Du måste skapa en Log Analytics-arbetsyta. Det finns flera faktorer som avgör åtkomsten till Log Analytics-arbetsytor. Du behöver rätt roller för arbetsytan och de resurser som skickar data.

Mer information finns i Hantera åtkomst till Log Analytics-arbetsytor.

Azure Monitor-roller

Azure Monitor innehåller två inbyggda roller för att visa övervakningsdata och redigera övervakningsinställningar. Rollbaserad åtkomstkontroll i Azure (RBAC) innehåller också två inbyggda Log Analytics-roller som ger liknande åtkomst.

  • Vy:

    • Övervakningsläsare
    • Log Analytics Reader
  • Visa och ändra inställningar:

    • Övervakningsdeltagare
    • Log Analytics Contributor

Mer information om inbyggda Roller i Azure Monitor finns i Roller, behörigheter och säkerhet i Azure Monitor.

Mer information om RBAC-rollerna för Log Analytics finns i Inbyggda Azure-roller

Microsoft Entra-roller

Med skrivskyddad åtkomst kan du visa Microsoft Entra ID-loggdata i en arbetsbok, fråga efter data från Log Analytics eller läsa loggar i administrationscentret för Microsoft Entra. Uppdateringsåtkomst ger möjlighet att skapa och redigera diagnostikinställningar för att skicka Microsoft Entra-data till en Log Analytics-arbetsyta.

  • Read (läs):

    • Rapportläsare
    • Säkerhetsläsare
    • Global läsare
  • Uppdatering:

    • Säkerhetsadministratör

Mer information om inbyggda Microsoft Entra-roller finns i Inbyggda Microsoft Entra-roller.

Få åtkomst till Log Analytics

Om du vill visa Microsoft Entra ID Log Analytics måste du redan skicka dina aktivitetsloggar från Microsoft Entra ID till en Log Analytics-arbetsyta. Den här processen beskrivs i artikeln Så här integrerar du aktivitetsloggar med Azure Monitor .

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

  1. Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.

  2. Bläddra till Identitetsövervakning>och hälsologganalys.> En standardsökfråga körs.

    Default query

  3. Expandera kategorin LogManagement för att visa listan över loggrelaterade frågor.

  4. Välj eller hovra över namnet på en fråga för att visa en beskrivning och annan användbar information.

    Screenshot of the details of a query.

  5. Expandera en fråga från listan för att visa schemat.

    Screenshot of the schema of a query.

Köra frågor mot aktivitetsloggar

Du kan köra frågor mot aktivitetsloggarna som dirigeras till en Log Analytics-arbetsyta. Om du till exempel vill hämta en lista över program med flest inloggningar från förra veckan anger du följande fråga och väljer knappen Kör .

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

Använd följande fråga för att hämta de viktigaste granskningshändelserna under den senaste veckan:

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Konfigurera aviseringar

Du kan också konfigurera aviseringar för en fråga. När du har kört en fråga blir knappen + Ny aviseringsregel aktiv.

  1. I Log Analytics väljer du knappen + Ny aviseringsregel .

    • Processen Skapa en regel omfattar flera avsnitt för att anpassa villkoren för regeln.
    • Mer information om hur du skapar aviseringsregler finns i Skapa en ny aviseringsregel från Azure Monitor-dokumentationen, med början i villkorsstegen.

    Screenshot of the

  2. På fliken Åtgärder väljer du den åtgärdsgrupp som ska ta emot aviseringen när signalen inträffar.

  3. På fliken Information ger du aviseringsregeln ett namn och associerar den med en prenumeration och resursgrupp.

  4. När du har konfigurerat all nödvändig information väljer du knappen Granska + skapa .

Använda arbetsböcker för att analysera loggar

Microsoft Entra-arbetsböcker innehåller flera rapporter som rör vanliga scenarier som omfattar gransknings-, inloggnings- och etableringshändelser. Du kan också avisera om någon av de data som anges i rapporterna med hjälp av stegen som beskrivs i föregående avsnitt.

  • Etableringsanalys: Den här arbetsboken visar rapporter som rör granskningsetableringsaktivitet. Aktiviteter kan omfatta antalet nya användare som etablerats, etableringsfel, antalet uppdaterade användare, uppdateringsfel, antalet användare som avetableras och motsvarande fel. Mer information finns i Förstå hur etablering integreras med Azure Monitor-loggar.

  • Inloggningshändelser: Den här arbetsboken visar de mest relevanta rapporterna som rör övervakning av inloggningsaktivitet, till exempel inloggningar efter program, användare, enhet och en sammanfattningsvy som spårar antalet inloggningar över tid.

  • Insikter om villkorsstyrd åtkomst: Med insikts- och rapporteringsarbetsboken för villkorsstyrd åtkomst kan du förstå effekten av principer för villkorsstyrd åtkomst i din organisation över tid. Mer information finns i Insikter och rapportering om villkorsstyrd åtkomst.

Nästa steg