Activiteitenlogboeken van Microsoft Entra analyseren met Log Analytics

Nadat u Microsoft Entra-activiteitenlogboeken hebt geïntegreerd met Azure Monitor-logboeken, kunt u de kracht van Log Analytics- en Azure Monitor-logboeken gebruiken om inzicht te krijgen in uw omgeving.

• Vergelijk uw Microsoft Entra-aanmeldingslogboeken met beveiligingslogboeken die zijn gepubliceerd door Microsoft Defender voor Cloud.

• Prestatieknelpunten op de aanmeldingspagina van uw toepassing oplossen door prestatiegegevens van de toepassing te correleren vanuit Azure Application Insights.

• Analyseer de identiteitsbeveiligingslogboeken voor riskante gebruikers en risicodetectielogboeken om bedreigingen in uw omgeving te detecteren.

In dit artikel wordt beschreven hoe u de activiteitenlogboeken van Microsoft Entra in uw Log Analytics-werkruimte analyseert.

Vereisten

Als u activiteitenlogboeken wilt analyseren met Log Analytics, hebt u het volgende nodig:

• Een Microsoft Entra-tenant met een Premium P1-licentie
• Een Log Analytics-werkruimte en toegang tot die werkruimte
• De juiste rollen voor Azure Monitor en Microsoft Entra-id

Log Analytics-werkruimte

U moet een Log Analytics-werkruimte maken. Er zijn verschillende factoren die de toegang tot Log Analytics-werkruimten bepalen. U hebt de juiste rollen nodig voor de werkruimte en de resources die de gegevens verzenden.

Zie Toegang tot Log Analytics-werkruimten beheren voor meer informatie.

Azure Monitor-rollen

Azure Monitor biedt twee ingebouwde rollen voor het weergeven van bewakingsgegevens en het bewerken van bewakingsinstellingen. Op rollen gebaseerd toegangsbeheer van Azure (RBAC) biedt ook twee ingebouwde Log Analytics-rollen die vergelijkbare toegang verlenen.

• Weergave:

  • Lezer voor bewaking
  • Lezer van Log Analytics

• Instellingen weergeven en wijzigen:

  • Bijdrager voor bewaking
  • Inzender van Log Analytics

Zie Rollen, machtigingen en beveiliging in Azure Monitor voor meer informatie over de ingebouwde Rollen van Azure Monitor.

Zie ingebouwde Azure-rollen voor meer informatie over de Log Analytics RBAC-rollen

Microsoft Entra-rollen

Met alleen-lezentoegang kunt u logboekgegevens van Microsoft Entra ID weergeven in een werkmap, gegevens opvragen uit Log Analytics of logboeken lezen in het Microsoft Entra-beheercentrum. Met updatetoegang kunt u diagnostische instellingen maken en bewerken om Microsoft Entra-gegevens naar een Log Analytics-werkruimte te verzenden.

• Lezen:

  • Rapportenlezer
  • Beveiligingslezer
  • Algemene lezer

• Bijwerken:

  • Beveiligingsbeheer

Zie Ingebouwde Microsoft Entra-rollen voor meer informatie over ingebouwde Microsoft Entra-rollen.

Toegang tot Log Analytics

Als u de Microsoft Entra ID Log Analytics wilt weergeven, moet u uw activiteitenlogboeken van Microsoft Entra-id al verzenden naar een Log Analytics-werkruimte. Dit proces wordt behandeld in het artikel Activiteitenlogboeken integreren met Azure Monitor .

1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een rapportlezer.

2. Blader naar Log Analytics voor identiteitsbewaking>en -status>. Een standaardzoekquery wordt uitgevoerd.

   

3. Vouw de categorie LogManagement uit om de lijst met logboekquery's weer te geven.

4. Selecteer of beweeg de muisaanwijzer over de naam van een query om een beschrijving en andere nuttige details weer te geven.

   

5. Vouw een query uit vanuit de lijst om het schema weer te geven.

   

Query-activiteitenlogboeken

U kunt query's uitvoeren op de activiteitenlogboeken die worden gerouteerd naar een Log Analytics-werkruimte. Als u bijvoorbeeld een lijst met toepassingen met de meeste aanmeldingen van vorige week wilt ophalen, voert u de volgende query in en selecteert u de knop Uitvoeren .

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

Gebruik de volgende query om de belangrijkste auditgebeurtenissen in de afgelopen week op te halen:

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Waarschuwingen instellen

U kunt ook waarschuwingen instellen voor een query. Nadat u een query hebt uitgevoerd, wordt de knop + Nieuwe waarschuwingsregel actief.

1. Selecteer in Log Analytics de knop + Nieuwe waarschuwingsregel .

   • Het proces Een regel maken omvat verschillende secties om de criteria voor de regel aan te passen.
   • Zie Een nieuwe waarschuwingsregel maken vanuit de Documentatie van Azure Monitor, te beginnen met de stappen voorwaarde voor meer informatie over het maken van waarschuwingsregels.

   

2. Selecteer op het tabblad Acties de actiegroep die de waarschuwing moet ontvangen wanneer het signaal zich voordoet.

   • U kunt ervoor kiezen uw team via e-mail of sms op de hoogte te stellen, of u kunt de actie automatiseren met behulp van webhooks, Azure-functies of logische apps.
   • Meer informatie over het maken en beheren van waarschuwingsgroepen in de Azure Portal.

3. Geef op het tabblad Details een naam op voor de waarschuwingsregel en koppel deze aan een abonnement en resourcegroep.

4. Nadat u alle benodigde gegevens hebt geconfigureerd, selecteert u de knop Beoordelen en maken .

Werkmappen gebruiken om logboeken te analyseren

Microsoft Entra-werkmappen bieden verschillende rapporten met betrekking tot veelvoorkomende scenario's met betrekking tot audit-, aanmeldings- en inrichtingsgebeurtenissen. U kunt ook een waarschuwing geven over alle gegevens die in de rapporten worden verstrekt, met behulp van de stappen die in de vorige sectie zijn beschreven.

• Inrichtingsanalyse: Deze werkmap bevat rapporten met betrekking tot de controle van de inrichtingsactiviteit. Activiteiten kunnen bestaan uit het aantal nieuwe gebruikers dat is ingericht, inrichtingsfouten, het aantal bijgewerkte gebruikers, updatefouten, het aantal ongedaan gemaakt gebruikers en de bijbehorende fouten. Zie Begrijpen hoe inrichting wordt geïntegreerd met Azure Monitor-logboeken voor meer informatie.

• Aanmeldingsgebeurtenissen: deze werkmap toont de meest relevante rapporten met betrekking tot het bewaken van aanmeldingsactiviteiten, zoals aanmeldingen per toepassing, gebruiker, apparaat en een overzichtsweergave die het aantal aanmeldingen in de loop van de tijd bijhoudt.

• Inzichten in voorwaardelijke toegang: Met de werkmap voor inzichten en rapportage voor voorwaardelijke toegang kunt u het effect van beleid voor voorwaardelijke toegang in uw organisatie in de loop van de tijd begrijpen. Zie Inzichten en rapportage voor voorwaardelijke toegang voor meer informatie.

Volgende stappen

• Aan de slag met query’s in Azure Monitor-logboeken
• Waarschuwingsgroepen maken en beheren in Azure Portal