Menganalisis log aktivitas Microsoft Entra dengan Analitik Log
Setelah mengintegrasikan log aktivitas Microsoft Entra dengan log Azure Monitor, Anda dapat menggunakan kekuatan log Log Analytics dan Azure Monitor untuk mendapatkan wawasan tentang lingkungan Anda.
Bandingkan log masuk Microsoft Entra Anda dengan log keamanan yang diterbitkan oleh Microsoft Defender untuk Cloud.
Memecahkan masalah penyempitan performa di halaman masuk aplikasi Anda dengan menghubungkan data performa aplikasi dari Azure Application Insights.
Analisis log pengguna berisiko dan deteksi risiko Perlindungan Identitas untuk mendeteksi ancaman di lingkungan Anda.
Artikel ini menjelaskan untuk menganalisis log aktivitas Microsoft Entra di ruang kerja Analitik Log Anda.
Prasyarat
Untuk menganalisis log aktivitas dengan Analitik Log, Anda memerlukan:
- Penyewa Microsoft Entra dengan lisensi Premium P1
- Ruang kerja Log Analytics dan akses ke ruang kerja tersebut
- Peran yang sesuai untuk Azure Monitor dan ID Microsoft Entra
Ruang kerja Analitik Log
Anda harus membuat ruang kerja Analitik Log. Ada beberapa faktor yang menentukan akses ke ruang kerja Analitik Log. Anda memerlukan peran yang tepat untuk ruang kerja dan sumber daya yang mengirim data.
Untuk informasi selengkapnya, lihat Mengelola akses ke ruang kerja Analitik Log.
Peran Azure Monitor
Azure Monitor menyediakan dua peran bawaan untuk melihat data pemantauan dan mengedit pengaturan pemantauan. Kontrol akses berbasis peran Azure (RBAC) juga menyediakan dua peran bawaan Log Analytics yang memberikan akses serupa.
Lihat:
- Pembaca Pemantauan
- Pembaca Analitik Log
Lihat dan ubah pengaturan:
- Kontributor Pemantauan
- Kontributor Analitik Log
Untuk informasi selengkapnya tentang peran bawaan Azure Monitor, lihat Peran, izin, dan keamanan di Azure Monitor.
Untuk informasi selengkapnya tentang peran RBAC Analitik Log, lihat Peran bawaan Azure
Peran Microsoft Entra
Akses baca saja memungkinkan Anda menampilkan data log ID Microsoft Entra di dalam buku kerja, mengkueri data dari Analitik Log, atau membaca log di pusat admin Microsoft Entra. Akses pembaruan menambahkan kemampuan untuk membuat dan mengedit pengaturan diagnostik untuk mengirim data Microsoft Entra ke ruang kerja Analitik Log.
Baca:
- Pembaca Laporan
- Pembaca Keamanan
- Pembaca Global
Perbarui:
- Administrator Keamanan
Untuk informasi selengkapnya tentang peran bawaan Microsoft Entra, lihat Peran bawaan Microsoft Entra.
Mengakses Analitik Log
Untuk melihat Analitik Log ID Microsoft Entra, Anda harus sudah mengirim log aktivitas dari ID Microsoft Entra ke ruang kerja Analitik Log. Proses ini tercakup dalam artikel Cara mengintegrasikan log aktivitas dengan Azure Monitor .
Tip
Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Pembaca Laporan.
Telusuri Pemantauan Identitas>& Analitik Log kesehatan.> Kueri pencarian default berjalan.
Perluas kategori LogManagement untuk melihat daftar kueri terkait log.
Pilih atau arahkan mouse ke atas nama kueri untuk menampilkan deskripsi dan detail berguna lainnya.
Perluas kueri dari daftar untuk menampilkan skema.
Mengkueri log aktivitas
Anda dapat menjalankan kueri terhadap log aktivitas yang dirutekan ke ruang kerja Analitik Log. Misalnya, untuk mendapatkan daftar aplikasi dengan rincian masuk terbanyak dari minggu lalu, masukkan kueri berikut dan pilih tombol Jalankan .
SigninLogs
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName
| sort by signInCount desc
Untuk mendapatkan peristiwa audit teratas selama seminggu terakhir, gunakan kueri berikut:
AuditLogs
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName
| sort by auditCount desc
Menyiapkan pemberitahuan
Anda juga bisa menyiapkan pemberitahuan pada kueri. Setelah Anda menjalankan kueri, tombol + Aturan pemberitahuan baru menjadi aktif.
Dari Analitik Log, pilih tombol + Aturan pemberitahuan baru.
- Proses Buat aturan melibatkan beberapa bagian untuk menyesuaikan kriteria aturan.
- Untuk informasi selengkapnya tentang membuat aturan pemberitahuan, lihat Membuat aturan pemberitahuan baru dari dokumentasi Azure Monitor, dimulai dengan langkah-langkah Kondisi .
Pada tab Tindakan , pilih Grup Tindakan yang akan menerima pemberitahuan saat sinyal terjadi.
- Anda dapat memilih untuk memberi tahu tim Anda melalui email atau pesan teks, atau Anda dapat mengotomatisasi tindakan menggunakan webhook, fungsi Azure, atau aplikasi logika.
- Pelajari selengkapnya cara membuat dan mengelola grup pemberitahuan di portal Microsoft Azure.
Pada tab Detail , beri nama aturan pemberitahuan dan kaitkan dengan langganan dan grup sumber daya.
Setelah mengonfigurasi semua detail yang diperlukan, pilih tombol Tinjau + Buat .
Menggunakan buku kerja untuk menganalisis log
Buku kerja Microsoft Entra menyediakan beberapa laporan yang terkait dengan skenario umum yang melibatkan peristiwa audit, masuk, dan provisi. Anda juga dapat memberi tahu tentang salah satu data yang disediakan dalam laporan, menggunakan langkah-langkah yang dijelaskan di bagian sebelumnya.
Analisis provisi: Buku kerja ini memperlihatkan laporan yang terkait dengan aktivitas provisi audit. Aktivitas dapat mencakup jumlah pengguna baru yang disediakan, kegagalan provisi, jumlah pengguna yang diperbarui, kegagalan pembaruan, jumlah pengguna yang dibatalkan provisinya, dan kegagalan yang sesuai. Untuk informasi selengkapnya, lihat Memahami bagaimana provisi terintegrasi dengan log Azure Monitor.
Peristiwa Masuk: Buku kerja ini memperlihatkan laporan yang paling relevan yang terkait dengan pemantauan aktivitas masuk, seperti masuk menurut aplikasi, pengguna, perangkat, dan tampilan ringkasan yang melacak jumlah rincian masuk dari waktu ke waktu.
Wawasan Akses Bersyar: Wawasan Akses Bersyar dan buku kerja pelaporan memungkinkan Anda memahami efek kebijakan Akses Bersyar di organisasi Anda dari waktu ke waktu. Untuk informasi selengkapnya, lihat Wawasan Akses Bersyarat dan pelaporan.