Integration von Microsoft Entra ID-Protokollen in Azure Monitor-Protokolle

Mithilfe von Diagnoseeinstellungen in Microsoft Entra ID können Sie Protokolle in Azure Monitor integrieren, damit Ihre Anmeldeaktivität und der Überwachungspfad der Änderungen innerhalb Ihres Mandanten zusammen mit anderen Azure-Daten analysiert werden können.

Führen Sie die Schritte in diesem Artikel aus, um Microsoft Entra-Protokolle in Azure Monitor zu integrieren.

Durch Integration von Microsoft Entra-Aktivitätsprotokollen in Azure Monitor können Sie folgende Aufgaben ausführen:

• Vergleichen Ihrer Microsoft Entra-Anmeldeprotokolle mit von Microsoft Defender für Cloud veröffentlichten Sicherheitsprotokollen.
• Behandeln von Leistungsengpässen auf der Anmeldeseite Ihrer Anwendung durch Korrelieren von Anwendungsleistungsdaten aus Azure Application Insights
• Analysieren von Benutzern, die von Identity Protection als Risikobenutzer eingestuft werden, und Risikoerkennungsprotokollen, um Bedrohungen in Ihrer Umgebung zu erkennen
• Bestimmen von Anmeldungen über Anwendungen, die zur Authentifizierung weiterhin die Active Directory-Authentifizierungsbibliothek (Active Directory Authentication Library, ADAL) verwenden Erfahren Sie mehr über den ADAL-End-of-Support-Plan.

Hinweis

Durch die Integration von Microsoft Entra-Protokollen in Azure Monitor wird der Microsoft Entra-Datenconnector in Microsoft Sentinel automatisch aktiviert.

Voraussetzungen

Sie benötigen Folgendes, um dieses Feature verwenden zu können:

• Ein Azure-Abonnement. Wenn Sie nicht über ein Azure-Abonnement verfügen, können Sie sich für eine kostenlose Testversion registrieren.

• Ein Microsoft Entra ID P1- oder P2-Mandant.

• Mindestens die Rolle "Sicherheitsadministrator " im Microsoft Entra-Mandanten.

• Ein Log Analytics-Arbeitsbereich in Ihrem Azure-Abonnement. Erfahren Sie, wie Sie einen Log Analytics-Arbeitsbereich erstellen.

• Berechtigung zum Zugriff auf Daten in einem Log Analytics-Arbeitsbereich Informationen zu den verschiedenen Berechtigungsoptionen und zum Konfigurieren von Berechtigungen finden Sie unter Verwalten des Zugriffs auf Protokolldaten und Arbeitsbereiche in Azure Monitor .

Erstellen eines Log Analytics-Arbeitsbereichs

Mit einem Log Analytics-Arbeitsbereich können Sie Daten basierend auf verschiedenen Anforderungen sammeln, z. B. geografischer Standort der Daten, Abonnementgrenzen oder Zugriff auf Ressourcen. Erfahren Sie, wie Sie einen Log Analytics-Arbeitsbereich erstellen.

Informationen zum Einrichten eines Log Analytics-Arbeitsbereichs für Azure-Ressourcen außerhalb der Microsoft Entra-ID finden Sie unter Sammeln und Anzeigen von Ressourcenprotokollen für Azure Monitor.

Senden von Protokollen an Azure Monitor

Verwenden Sie die folgenden Schritte, um Protokolle aus Microsoft Entra ID an Azure Monitor-Protokolle zu senden.

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

1. Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra ID>Monitoring & Health>Diagnostic Settings. Sie können auch " Exporteinstellungen" auf der Seite " Überwachungsprotokolle " oder " Anmeldeinformationen" auswählen.

3. Wählen Sie +Diagnoseeinstellung hinzufügen , um eine neue Integration zu erstellen, oder wählen Sie "Bearbeiten"-Einstellung für eine vorhandene Integration aus.

4. Geben Sie einen Namen für die Diagnoseeinstellung ein. Wenn Sie eine vorhandene Integration bearbeiten, können Sie den Namen nicht ändern.

5. Wählen Sie die Protokollkategorien aus, die Sie streamen möchten. Eine Beschreibung jeder Protokollkategorie finden Sie in den Identitätsprotokollen, die Sie an einen Endpunkt streamen können.

6. Aktivieren Sie unter "Zieldetails " das Kontrollkästchen "An Log Analytics-Arbeitsbereich senden ".

7. Wählen Sie in den Menüs den entsprechenden Arbeitsbereich "Abonnement " und "Log Analytics " aus.

8. Wählen Sie die Schaltfläche " Speichern" aus .

   

   Weitere Informationen dazu, wann Protokolle im Log Analytics-Arbeitsbereich angezeigt werden, finden Sie unter Diagnoseeinstellungen in Azure Monitor.

Zugehöriger Inhalt

• Analysieren von Microsoft Entra-Aktivitätsprotokolle mit Azure Monitor-Protokollen
• Weitere Informationen zu den Datenquellen, die Sie mit Azure Monitor analysieren können
• Automatisieren der Erstellung von Diagnoseeinstellungen mit Azure Policy

Mithilfe von Diagnoseeinstellungen in Microsoft Entra ID können Sie Protokolle in Azure Monitor integrieren, damit Ihre Anmeldeaktivität und der Überwachungspfad der Änderungen innerhalb Ihres Mandanten zusammen mit anderen Azure-Daten analysiert werden können.

Führen Sie die Schritte in diesem Artikel aus, um Microsoft Entra-Protokolle in Azure Monitor zu integrieren.

Durch Integration von Microsoft Entra-Aktivitätsprotokollen in Azure Monitor können Sie folgende Aufgaben ausführen:

• Vergleichen Ihrer Microsoft Entra-Anmeldeprotokolle mit von Microsoft Defender für Cloud veröffentlichten Sicherheitsprotokollen.
• Behandeln von Leistungsengpässen auf der Anmeldeseite Ihrer Anwendung durch Korrelieren von Anwendungsleistungsdaten aus Azure Application Insights
• Analysieren von Benutzern, die von Identity Protection als Risikobenutzer eingestuft werden, und Risikoerkennungsprotokollen, um Bedrohungen in Ihrer Umgebung zu erkennen
• Bestimmen von Anmeldungen über Anwendungen, die zur Authentifizierung weiterhin die Active Directory-Authentifizierungsbibliothek (Active Directory Authentication Library, ADAL) verwenden Erfahren Sie mehr über den ADAL-End-of-Support-Plan.

Hinweis

Durch die Integration von Microsoft Entra-Protokollen in Azure Monitor wird der Microsoft Entra-Datenconnector in Microsoft Sentinel automatisch aktiviert.

Sie benötigen Folgendes, um dieses Feature verwenden zu können:

• Ein Azure-Abonnement. Wenn Sie nicht über ein Azure-Abonnement verfügen, können Sie sich für eine kostenlose Testversion registrieren.

• Ein Microsoft Entra ID P1- oder P2-Mandant.

• Mindestens die Rolle "Sicherheitsadministrator " im Microsoft Entra-Mandanten.

• Ein Log Analytics-Arbeitsbereich in Ihrem Azure-Abonnement. Erfahren Sie, wie Sie einen Log Analytics-Arbeitsbereich erstellen.

• Berechtigung zum Zugriff auf Daten in einem Log Analytics-Arbeitsbereich Informationen zu den verschiedenen Berechtigungsoptionen und zum Konfigurieren von Berechtigungen finden Sie unter Verwalten des Zugriffs auf Protokolldaten und Arbeitsbereiche in Azure Monitor .

Mit einem Log Analytics-Arbeitsbereich können Sie Daten basierend auf verschiedenen Anforderungen sammeln, z. B. geografischer Standort der Daten, Abonnementgrenzen oder Zugriff auf Ressourcen. Erfahren Sie, wie Sie einen Log Analytics-Arbeitsbereich erstellen.

Informationen zum Einrichten eines Log Analytics-Arbeitsbereichs für Azure-Ressourcen außerhalb der Microsoft Entra-ID finden Sie unter Sammeln und Anzeigen von Ressourcenprotokollen für Azure Monitor.

Senden von Protokollen an Azure Monitor

Verwenden Sie die folgenden Schritte, um Protokolle aus Microsoft Entra ID an Azure Monitor-Protokolle zu senden.

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

1. Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra ID>Monitoring & Health>Diagnostic Settings. Sie können auch " Exporteinstellungen" auf der Seite " Überwachungsprotokolle " oder " Anmeldeinformationen" auswählen.

3. Wählen Sie +Diagnoseeinstellung hinzufügen , um eine neue Integration zu erstellen, oder wählen Sie "Bearbeiten"-Einstellung für eine vorhandene Integration aus.

4. Geben Sie einen Namen für die Diagnoseeinstellung ein. Wenn Sie eine vorhandene Integration bearbeiten, können Sie den Namen nicht ändern.

5. Wählen Sie die Protokollkategorien aus, die Sie streamen möchten. Eine Beschreibung jeder Protokollkategorie finden Sie in den Identitätsprotokollen, die Sie an einen Endpunkt streamen können.

6. Aktivieren Sie unter "Zieldetails " das Kontrollkästchen "An Log Analytics-Arbeitsbereich senden ".

7. Wählen Sie in den Menüs den entsprechenden Arbeitsbereich "Abonnement " und "Log Analytics " aus.

8. Wählen Sie die Schaltfläche " Speichern" aus .

   

   Weitere Informationen dazu, wann Protokolle im Log Analytics-Arbeitsbereich angezeigt werden, finden Sie unter Diagnoseeinstellungen in Azure Monitor.