Integrace protokolů Azure AD do protokolů Azure Monitoru

Postupujte podle kroků v tomto článku a integrujte protokoly Azure Active Directory (Azure AD) se službou Azure Monitor.

Pomocí integrace protokolů aktivit Azure AD v protokolech Služby Azure Monitor můžete provádět úlohy jako:

  • Porovnejte své protokoly přihlášení Azure AD s protokoly zabezpečení publikovanými v programu Microsoft Defender for Cloud.

  • Řešení potíží s kritickými body výkonu na přihlašovací stránce vaší aplikace pomocí korelace dat o výkonu aplikací z Aplikace Azure Insights

  • Analýza rizikových uživatelů služby Identity Protection a protokolů detekce rizik za účelem detekce hrozeb ve vašem prostředí (Public Preview)

  • Identifikujte přihlášení z aplikací, které k ověřování používají knihovnu ADAL (Active Directory Authentication Library). ADAL se blíží ukončení podpory.

Toto video relace Microsoft Ignite ukazuje výhody používání protokolů Služby Azure Monitor pro Azure AD protokoly v praktických scénářích:

Podporované sestavy

K další analýze můžete směrovat protokoly aktivit auditu a protokoly aktivit přihlašování do protokolů služby Azure Monitor.

  • Protokoly auditu:Sestava aktivit protokolů auditu poskytuje přístup k historii každé úlohy provedené ve vašem tenantovi.
  • Protokoly přihlašování: Se sestavou aktivit přihlašování můžete určit, kdo provedl úlohy hlášené v protokolech auditu.
  • Protokoly zřizování: Pomocí protokolů zřizování můžete monitorovat, které uživatele byly vytvořeny, aktualizovány a odstraněny ve všech vašich aplikacích třetích stran.
  • Protokoly rizikových uživatelů (Public Preview): S rizikovými protokoly uživatelů můžete monitorovat změny na úrovni rizik uživatelů a nápravné činnosti.
  • Protokoly detekce rizik (Public Preview):: Pomocí protokolů detekce rizik můžete monitorovat detekce rizik uživatelů a analyzovat trendy v aktivitě rizik zjištěné ve vaší organizaci.

Požadavky

Pokud chcete používat tuto funkci, potřebujete tyto položky:

Licenční požadavky

Použití této funkce vyžaduje Azure AD Premium P1 nebo tenanta P2. Typ licence vašeho tenanta najdete na stránce Přehled v Azure Active Directory.

Informace o tenantovi

Pokud chcete zjistit, jak dlouho se data aktivit ukládají v tenantovi Premium, přečtěte si: Jak dlouho Azure AD data ukládat?

Odesílání protokolů do služby Azure Monitor

  1. Přihlaste se k webu Azure Portal.

  2. VyberteNastavení diagnostikySlužby Azure Active Directory> –>Přidání nastavení diagnostiky. Nastavení exportu můžete také vybrat na stránce Protokoly auditu nebo přihlašovacích údajů, abyste se dostali na stránku konfigurace nastavení diagnostiky .

  3. V nabídce Nastavení diagnostiky zaškrtněte políčko Odeslat do pracovního prostoru služby Log Analytics a pak vyberte Konfigurovat.

  4. Vyberte pracovní prostor služby Log Analytics, do kterého chcete protokoly odeslat, nebo vytvořte nový pracovní prostor v poskytnutém dialogovém okně.

  5. Udělejte některou z následujících věcí:

    • Pokud chcete odesílat protokoly auditu do pracovního prostoru služby Log Analytics, zaškrtněte políčko AuditLogs .
    • Pokud chcete odesílat protokoly přihlášení do pracovního prostoru služby Log Analytics, zaškrtněte políčko SignInLogs .
    • Pokud chcete do pracovního prostoru Služby Log Analytics odesílat neinteraktivní protokoly přihlašování uživatelů, zaškrtněte políčko NonInteractiveUserSignInLogs .
    • Pokud chcete odesílat protokoly přihlášení instančního objektu do pracovního prostoru služby Log Analytics, zaškrtněte políčko ServicePrincipalSignInLogs .
    • Pokud chcete odesílat protokoly přihlašování spravované identity do pracovního prostoru služby Log Analytics, zaškrtněte políčko ManagedIdentitySignInLogs .
    • Pokud chcete odesílat protokoly zřizování do pracovního prostoru služby Log Analytics, zaškrtněte políčko ProvisioningLogs .
    • Pokud chcete odesílat protokoly přihlášení Active Directory Federation Services (AD FS) (ADFS) do pracovního prostoru služby Log Analytics, vyberte ADFSSignInLogs.
    • Pokud chcete do pracovního prostoru Služby Log Analytics odesílat protokoly rizikových uživatelů, zaškrtněte políčko RiskyUsers . (Public Preview)
    • Pokud chcete odesílat protokoly detekce rizik do pracovního prostoru služby Log Analytics, zaškrtněte políčko UserRiskEvents . (Public Preview)
  6. Vyberte Uložit a nastavení se uloží.

    Nastavení diagnostiky

  7. Po přibližně 15 minutách ověřte, že se události streamují do pracovního prostoru služby Log Analytics.

Další kroky