Analysieren von Azure AD-Aktivitätsprotokollen mithilfe von Azure Monitor-Protokollen

Nachdem Sie Azure AD-Aktivitätsprotokolle mit Azure Monitor-Protokollen integriert haben, können Sie die Leistungsfähigkeit von Azure Monitor-Protokollen nutzen, um Einblicke in Ihre Umgebung zu erhalten. Sie können auch die Log Analytics-Ansichten für Azure AD-Aktivitätsprotokolle installieren, um Zugriff auf vorgefertigte Berichte zu Überwachungs- und Anmeldeereignissen in Ihrer Umgebung zu erhalten.

In diesem Artikel erfahren Sie, wie Sie die Azure AD-Aktivitätsprotokolle in Ihrem Log Analytics-Arbeitsbereich analysieren.

Hinweis

Dieser Artikel wurde kürzlich aktualisiert, um den Begriff Azure Monitor-Protokolle anstelle von Log Analytics aufzunehmen. Protokolldaten werden immer noch in einem Log Analytics-Arbeitsbereich gespeichert und weiterhin mit dem gleichen Log Analytics-Dienst erfasst und analysiert. Die Terminologie hat sich geändert, um der Rolle von Protokollen in Azure Monitor besser Rechnung zu tragen. Weitere Informationen finden Sie unter Terminologieänderungen bei Azure Monitor.

Voraussetzungen

Um dies nachvollziehen zu können, benötigen Sie Folgendes:

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie Azure Active Directory aus, und wählen Sie dann Protokolle im Abschnitt Überwachung aus, um Ihren Log Analytics-Arbeitsbereich zu öffnen. Der Arbeitsbereich wird mit einer Standardabfrage geöffnet.

    Default query

Anzeigen des Schemas für Azure AD-Aktivitätsprotokollen

Die Protokolle werden per Push an die Tabellen AuditLogs und SigninLogs im Arbeitsbereich übertragen. So zeigen Sie das Schema für diese Tabellen an

  1. Wählen Sie in der Standardabfrageansicht des vorherigen Abschnitts Schema aus, und erweitern Sie den Arbeitsbereich.

  2. Erweitern Sie den Abschnitt Protokollverwaltung, und erweitern Sie dann entweder AuditLogs oder SigninLogs, um das Protokollschema anzuzeigen.

Abfragen der Azure AD-Aktivitätsprotokolle

Nachdem Sie nun die Protokolle in Ihrem Arbeitsbereich haben, können Sie Abfragen für diese ausführen. Um beispielsweise die in der letzten Woche am häufigsten verwendeten Anwendungen abzurufen, ersetzten Sie die Standardabfrage durch Folgendes, und wählen Sie Ausführen aus.

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

Um die häufigsten Überwachungsereignisse in der letzten Woche abzurufen, verwenden Sie die folgende Abfrage:

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Benachrichtigung bei Azure AD-Aktivitätsprotokolldaten

Sie können auch Benachrichtigungen für Ihre Abfrage einrichten. So konfigurieren Sie beispielsweise eine Benachrichtigung, wenn mehr als 10 Anwendungen in der letzten Woche verwendet wurden:

  1. Wählen Sie im Arbeitsbereich Benachrichtigung festlegen aus, um die Seite Regel erstellen zu öffnen.

    Set alert

  2. Wählen Sie die standardmäßig in der Benachrichtigung erstellten Benachrichtigungskriterien aus, und aktualisieren Sie den Schwellenwert in der Standardmetrik auf 10.

    Alert criteria

  3. Geben Sie einen Namen und eine Beschreibung für die Benachrichtigung ein, und wählen Sie den Schweregrad aus. In unserem Beispiel könnten wir ihn auf Information festlegen.

  4. Wählen Sie die Aktionsgruppe aus, die benachrichtigt wird, wenn das Signal auftritt. Sie können auch auswählen, Ihr Team per E-Mail oder SMS zu benachrichtigen, oder Sie könnten die Aktion mithilfe von Webhooks, Azure-Funktionen oder Logik-Apps automatisieren. Erfahren Sie mehr über das Erstellen und Verwalten von Benachrichtigungen im Azure-Portal.

  5. Nachdem Sie die Benachrichtigung konfiguriert haben, wählen Sie Benachrichtigung erstellenaus, um sie zu aktivieren.

Verwenden von vorgefertigten Arbeitsmappen für Azure AD-Aktivitätsprotokolle

Die Arbeitsmappen bieten mehrere Berichte, die im Zusammenhang mit allgemeinen Szenarien mit Überwachungs-, Anmelde- und Bereitstellungsereignissen stehen. Sie können auch aufgrund jeglicher Daten benachrichtigen, die in den Berichten bereitgestellt werden, indem Sie die im vorherigen Abschnitt beschriebenen Schritte verwenden.

  • Bereitstellungsanalyse: In dieser Arbeitsmappe werden Berichte im Zusammenhang mit der Überwachung von Bereitstellungsaktivitäten angezeigt, also z. B. die Anzahl neuer bereitgestellter Benutzer und die Bereitstellungsfehler, die Anzahl aktualisierter Benutzer und die Aktualisierungsfehler sowie die Anzahl aufgehobener Benutzerbereitstellungen und der entsprechenden Fehler.
  • Anmeldeereignisse: In dieser Arbeitsmappe werden die relevantesten Berichte zur Überwachung von Anmeldeaktivitäten angezeigt, z. B. Anmeldungen nach Anwendungen, Benutzern, Geräten sowie eine Zusammenfassungsansicht, in der die Anzahl der Anmeldungen im Lauf der Zeit nachverfolgt wird.
  • Erkenntnisse zum bedingten Zugriff: Mithilfe der Arbeitsmappe für Erkenntnisse und Berichterstellung für den bedingten Zugriff können Sie die Auswirkungen von Richtlinien für den bedingten Zugriff in Ihrer Organisation im zeitlichen Verlauf nachvollziehen.

Nächste Schritte