Analysieren von Microsoft Entra-Aktivitätsprotokollen mit Log Analytics

Nachdem Sie Microsoft Entra-Aktivitätsprotokolle mit Azure Monitor-Protokollen integriert haben, können Sie die Leistungsfähigkeit von Log Analytics und Azure Monitor-Protokollen nutzen, um Einblicke in Ihre Umgebung zu erhalten.

  • Vergleichen Ihrer Microsoft Entra-Anmeldeprotokolle mit von Microsoft Defender für Cloud veröffentlichten Sicherheitsprotokollen.

  • Behandeln von Leistungsengpässen auf der Anmeldeseite Ihrer Anwendung durch Korrelieren von Anwendungsleistungsdaten aus Azure Application Insights

  • Analysieren von Benutzern, die von Identity Protection als Risikobenutzer eingestuft werden, und Risikoerkennungsprotokollen, um Bedrohungen in Ihrer Umgebung zu erkennen

In diesem Artikel erfahren Sie, wie Sie die Microsoft Entra-Aktivitätsprotokolle in Ihrem Log Analytics-Arbeitsbereich analysieren.

Voraussetzungen

Zum Analysieren von Aktivitätsprotokollen mit Log Analytics benötigen Sie Folgendes:

  • Ein Microsoft Entra-Mandant mit einer Premium P1-Lizenz
  • Log Analytics-Arbeitsbereich und Zugriff auf diesen Arbeitsbereich
  • Die geeigneten Rollen für Azure Monitor und Microsoft Entra ID

Log Analytics-Arbeitsbereich

Sie müssen einen Log Analytics-Arbeitsbereich erstellen. Es gibt mehrere Faktoren, die den Zugriff auf Log Analytics-Arbeitsbereiche bestimmen. Sie benötigen die richtigen Rollen für den Arbeitsbereich und die Ressourcen, die die Daten senden.

Weitere Informationen finden Sie unter Verwalten des Zugriffs auf Log Analytics-Arbeitsbereiche.

Azure Monitor-Rollen

Azure Monitor bietet zwei integrierte Rollen zum Anzeigen von Überwachungsdaten und zum Bearbeiten von Überwachungseinstellungen. Die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure bietet außerdem zwei integrierte Log Analytics-Rollen, die ähnlichen Zugriff gewähren.

  • Anzeigen:

    • Überwachungsleser
    • Log Analytics-Leser
  • Anzeigen und Ändern von Einstellungen:

    • Überwachungsmitwirkender
    • Log Analytics-Mitwirkender

Weitere Informationen zu den integrierten Azure Monitor-Rollen finden Sie unter Rollen, Berechtigungen und Sicherheit in Azure Monitor.

Weitere Informationen zu den RBAC-Rollen von Log Analytics finden Sie unter Integrierte Azure-Rollen.

Microsoft Entra-Rollen

Mit dem schreibgeschützten Zugriff können Sie Microsoft Entra ID-Protokolldaten in einer Arbeitsmappe anzeigen, Daten aus Log Analytics abfragen oder Protokolle im Microsoft Entra Admin Center lesen. Der Updatezugriff bietet die Möglichkeit, Diagnoseeinstellungen zu erstellen und zu bearbeiten, um Microsoft Entra-Daten an einen Log Analytics-Arbeitsbereich zu senden.

  • Read (Lesen):

    • Berichtleseberechtigter
    • Sicherheitsleseberechtigter
    • Globaler Leser
  • Update (Aktualisieren):

    • Sicherheitsadministrator

Weitere Informationen zu in Microsoft Entra integrierten Rollen finden Sie unter integrierte Rollen in Microsoft Entra.

Zugreifen auf Log Analytics

Zum Anzeigen von Microsoft Entra ID Log Analytics müssen Sie bereits Ihre Aktivitätsprotokolle aus Microsoft Entra ID an einen Log Analytics-Arbeitsbereich senden. Dieser Prozess wird im Artikel Integrieren von Azure AD-Protokollen in Azure Monitor-Protokolle behandelt.

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.

  2. Browsen Sie zu Identität>Überwachung und Integrität>Log Analytics. Eine Standardsuchabfrage wird ausgeführt.

    Default query

  3. Erweitern Sie die Kategorie LogManagement, um die Liste der protokollbezogenen Abfragen anzuzeigen.

  4. Wählen Sie den Namen einer Abfrage aus, oder zeigen Sie darauf, um eine Beschreibung und andere nützliche Details anzuzeigen.

    Screenshot of the details of a query.

  5. Erweitern Sie eine Abfrage aus der Liste, um das Schema anzuzeigen.

    Screenshot of the schema of a query.

Abfragen von Aktivitätsprotokollen

Sie können Abfragen für die Aktivitätsprotokolle ausführen, die an einen Log Analytics-Arbeitsbereich weitergeleitet werden. Um beispielsweise eine Liste von Anwendungen mit den meisten Anmeldungen der letzten Woche abzurufen, geben Sie die folgende Abfrage ein, und wählen Sie die Schaltfläche Ausführen aus.

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

Um die häufigsten Überwachungsereignisse in der letzten Woche abzurufen, verwenden Sie die folgende Abfrage:

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Einrichten von Warnungen

Sie können auch Benachrichtigungen für eine Abfrage einrichten. Nach dem Ausführen einer Abfrage wird die Schaltfläche + Neue Warnungsregel aktiv.

  1. Wählen Sie in Log Analytics die Schaltfläche + Neue Warnungsregel aus.

    • Der Prozess Regel erstellen umfasst mehrere Abschnitte, um die Kriterien für die Regel anzupassen.
    • Weitere Informationen zum Erstellen von Warnungsregeln finden Sie unter Erstellen einer neuen Warnungsregel in der Azure Monitor-Dokumentation (ab den Schritten zu Bedingung).

    Screenshot of the

  2. Wählen Sie auf der Registerkarte Aktionen die Aktionsgruppe aus, die die Warnung empfangen sollte, wenn das Signal ausgelöst wird.

  3. Geben Sie auf der Registerkarte Details der Warnungsregel einen Namen, und ordnen Sie sie einem Abonnement und einer Ressourcengruppe zu.

  4. Nachdem Sie alle erforderlichen Details konfiguriert haben, wählen Sie die Schaltfläche Überprüfen und erstellen aus.

Verwenden von Arbeitsmappen zum Analysieren von Protokollen

Microsoft Entra-Arbeitsmappen bieten mehrere Berichte, die im Zusammenhang mit allgemeinen Szenarien mit Überwachungs-, Anmelde- und Bereitstellungsereignissen stehen. Sie können mithilfe der im vorherigen Abschnitt beschriebenen Schritte auch Warnungen zu beliebigen Daten in den Berichten erstellen.

  • Bereitstellungsanalyse: In dieser Arbeitsmappe werden Berichte im Zusammenhang mit der Überwachung der Bereitstellungsaktivität angezeigt. Zu den Aktivitäten können die Anzahl neuer bereitgestellter Benutzer*innen, Bereitstellungsfehler, die Anzahl aktualisierter Benutzer*innen, Aktualisierungsfehler, die Anzahl aufgehobener Benutzerbereitstellungen und entsprechende Fehler gehören. Weitere Informationen finden Sie unter Grundlegendes zur Integration der Bereitstellung in Azure Monitor-Protokolle.

  • Anmeldeereignisse: In dieser Arbeitsmappe werden die relevantesten Berichte zur Überwachung von Anmeldeaktivitäten angezeigt, z. B. Anmeldungen nach Anwendungen, Benutzern, Geräten und eine Zusammenfassungsansicht, in der die Anzahl der Anmeldungen im Laufe der Zeit nachverfolgt wird.

  • Erkenntnisse zum bedingten Zugriff: Mithilfe der Arbeitsmappe für Erkenntnisse und Berichterstellung für den bedingten Zugriff können Sie die Auswirkungen von Richtlinien für den bedingten Zugriff in Ihrer Organisation im zeitlichen Verlauf nachvollziehen. Weitere Informationen finden Sie unter Erkenntnisse und Berichterstellung zum bedingten Zugriff.

Nächste Schritte