Bearbeiten

Teilen über

Integration von Microsoft Entra ID-Protokollen in Azure Monitor-Protokolle

  • Anleitung

Mithilfe der Diagnoseeinstellungen in Microsoft Entra ID können Sie Protokolle in Azure Monitor integrieren, damit Ihre Anmeldeaktivität und das Überwachungsprotokoll von Änderungen in Ihrem Mandanten zusammen mit anderen Azure-Daten analysiert werden können.

Führen Sie die Schritte in diesem Artikel aus, um Microsoft Entra-Protokolle in Azure Monitor zu integrieren.

Durch Integration von Microsoft Entra-Aktivitätsprotokollen in Azure Monitor können Sie folgende Aufgaben ausführen:

  • Vergleichen Ihrer Microsoft Entra-Anmeldeprotokolle mit von Microsoft Defender für Cloud veröffentlichten Sicherheitsprotokollen.
  • Behandeln von Leistungsengpässen auf der Anmeldeseite Ihrer Anwendung durch Korrelieren von Anwendungsleistungsdaten aus Azure Application Insights
  • Analysieren von Benutzern, die von Identity Protection als Risikobenutzer eingestuft werden, und Risikoerkennungsprotokollen, um Bedrohungen in Ihrer Umgebung zu erkennen
  • Bestimmen von Anmeldungen über Anwendungen, die zur Authentifizierung weiterhin die Active Directory-Authentifizierungsbibliothek (Active Directory Authentication Library, ADAL) verwenden Erfahren Sie mehr über zum Plan für das Ende des Supports für ADAL.

Hinweis

Durch die Integration von Microsoft Entra-Protokollen in Azure Monitor wird der Microsoft Entra-Datenconnector in Microsoft Sentinel automatisch aktiviert.

Voraussetzungen

Sie benötigen Folgendes, um dieses Feature verwenden zu können:

  • Ein Microsoft Entra ID P1- oder P2-Mandant.

  • Mindestens die Rolle Sicherheitsadministrator im Microsoft Entra-Mandanten.

  • Einen Log Analytics-Arbeitsbereich in Ihrem Azure-Abonnement. Informationen zum Erstellen eines Log Analytics-Arbeitsbereichs finden Sie hier.

Erstellen eines Log Analytics-Arbeitsbereichs

Mit einem Log Analytics-Arbeitsbereich können Sie Daten basierend auf verschiedenen Anforderungen sammeln, z. B. geografischer Standort der Daten, Abonnementgrenzen oder Zugriff auf Ressourcen. Informationen zum Erstellen eines Log Analytics-Arbeitsbereichs finden Sie hier.

Möchten Sie wissen, wie Sie einen Log Analytics-Arbeitsbereich für Azure-Ressourcen außerhalb von Microsoft Entra ID einrichten können? Lesen Sie den Artikel Sammeln und Anzeigen von Ressourcenprotokollen für Azure Monitor.

Senden von Protokollen an Azure Monitor

Verwenden Sie die folgenden Schritte, um Protokolle aus Microsoft Entra ID an Azure Monitor-Protokolle zu senden. Möchten Sie wissen, wie Sie einen Log Analytics-Arbeitsbereich für Azure-Ressourcen außerhalb von Azure AD einrichten können? Lesen Sie den Artikel Sammeln und Anzeigen von Ressourcenprotokollen für Azure Monitor.

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

  2. Navigieren Sie zu Identität>Überwachung und Integrität>Diagnoseeinstellungen. Sie können auch der Seite Überwachungsprotokolle oder Anmeldungen die Option Exporteinstellungen auswählen.

  3. Wählen Sie + Diagnoseeinstellung hinzufügen aus, um eine neue Integration zu erstellen, oder wählen Sie für eine vorhandene Integration Einstellung bearbeiten aus.

  4. Geben Sie unter Name der Diagnoseeinstellung einen Namen ein. Wenn Sie eine vorhandene Integration bearbeiten, können Sie den Namen nicht ändern.

  5. Wählen Sie die Protokollkategorien aus, die Sie streamen möchten. Eine Beschreibung jeder Protokollkategorie finden Sie in den Identitätsprotokollen, die Sie an einen Endpunkt streamen können.

  6. Aktivieren Sie unter Zieldetails das Kontrollkästchen An Log Analytics-Arbeitsbereich senden.

  7. Wählen Sie in den Menüs das entsprechende Abonnement- und den Log Analytics-Arbeitsbereich aus.

  8. Wählen Sie die Schaltfläche Speichern aus.

    Screenshot der Diagnoseeinstellungen mit einigen angezeigten Zieldetails.

    Wenn im ausgewählten Zielort nach 15 Minuten keine Protokolle zu sehen sind, melden Sie sich von Azure ab und wieder an, um die Protokolle zu aktualisieren.

Zugehöriger Inhalt