Tutoriel : Configurer un espace de travail Log Analytics

Article
02/20/2024

Dans ce tutoriel, vous allez apprendre à :

Configurer un espace de travail Log Analytics pour vos journaux d’audit et de connexion
exécuter des requêtes à l’aide du langage de requête Kusto (Kusto Query Language, KQL) ;
créer un classeur personnalisé à l’aide du modèle de démarrage rapide ;
ajouter une requête à un modèle de classeur existant.

Prérequis

Pour analyser les journaux d’activité avec Log Analytics, vous avez besoin des rôles et exigences suivants :

Gestion des licences de surveillance et d’intégrité Microsoft Entra
Un espace de travail Log Analytics et accède à cet espace de travail
Rôle approprié pour Azure Monitor :
- Lecteur d’analyse
- Lecteur Log Analytics
- Contributeur d’analyse
- Contributeur Log Analytics
Rôle approprié pour Microsoft Entra ID :
- Lecteur de rapports
- Lecteur de sécurité
- Lecteur général
- Administrateur de la sécurité

Familiarisez-vous avec les articles suivants :

Configurer Log Analytics

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

Cette procédure décrit comment configurer un espace de travail Log Analytics pour vos journaux d’audit et de connexion. Pour configurer un espace de travail Log Analytics, vous devez créer l’espace de travail, puis configurer les paramètres de diagnostic.

Créer l’espace de travail

Connectez-vous au Portail Azure au moins en tant qu’administrateur de sécurité ou contributeur Log Analytics.
Accédez à Espaces de travail Log Analytics.
Sélectionnez Créer.
Dans la page Espace de travail Log Analytics, procédez comme suit :
1. Sélectionnez votre abonnement.
2. Sélectionnez un groupe de ressources.
3. Donnez un nom à votre espace de travail.
4. Sélectionnez votre région.
Sélectionnez Vérifier + créer.
Sélectionnez Créer et attendez le déploiement. Il se peut que vous deviez actualiser la page pour afficher le nouvel espace de travail.

Configurer les paramètres de diagnostic

Pour configurer les paramètres de diagnostic, vous devez basculer vers le centre d’administration Microsoft Entra afin d’envoyer vos informations de journal d’identité à votre nouvel espace de travail.

Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.
Accédez à Identité>Surveillance et intégrité>Paramètres de diagnostic.
Sélectionnez Ajouter le paramètre de diagnostic.
Dans la page Paramètres de diagnostic, procédez comme suit :
1. Sous Détails de la catégorie, sélectionnez AuditLogs, puis SigninLogs.
2. Sous Détails de la destination, sélectionnez Envoyer à Log Analytics, puis votre nouvel espace de travail Log Analytics.
3. Cliquez sur Enregistrer.

Vos journaux peuvent désormais être interrogés à l’aide du langage de requête Kusto (KQL) dans Log Analytics. Vous devrez peut-être attendre environ 15 minutes pour que les journaux soient remplis.

Exécuter les requêtes dans Log Analytics

Cette procédure montre comment exécuter des requêtes à l’aide du langage de requête Kusto (Kusto Query Language, KQL).

Exécuter une requête

Connectez-vous au centre d’administration Microsoft Entra en tant que Lecteur de rapports.
Accédez à Identité>Surveillance et intégrité>Log Analytics.
Dans la zone de texte Rechercher, tapez votre requête et sélectionnez Exécuter.

Exemples de requêtes KQL

Prendre 10 entrées au hasard parmi les données d’entrée :

SigninLogs | take 10

Examiner les connexions où l’accès conditionnel a réussi :

SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Nombre de réussites :

SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Agréger le nombre de connexions réussies par utilisateur et par jour :

SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

afficher le nombre de fois qu’un utilisateur a effectué une opération donnée au cours d’une période spécifique :

AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Afficher un tableau croisé dynamique des résultats sur le nom de l’opération :

AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

Fusionner les journaux d’audit et de connexion à l’aide d’une jointure interne :

AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

Afficher le nombre de connexions par type d’application cliente :

SigninLogs | summarize count() by ClientAppUsed

Compter les connexions par jour :

SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Prendre 5 entrées au hasard et projeter les colonnes à afficher dans les résultats :

SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Prendre les 5 premières entrées en ordre décroissant et projeter les colonnes à afficher :

SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Créer une colonne en combinant les valeurs de deux autres colonnes :

SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Créer un classeur personnalisé

Cette procédure montre comment créer un classeur à l’aide du modèle de démarrage rapide.

Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.
Accédez à Identité>Surveillance et intégrité>Classeurs.
Dans la section Démarrage rapide, cliquez sur Vide.
Dans le menu Ajouter , sélectionnez Ajouter du texte.
Dans la zone de texte, entrez # Client apps used in the past week et sélectionnez Modification terminée.
Sous la fenêtre de texte, ouvrez le menu Ajouter et sélectionnez Ajouter une requête.
Dans la zone de texte de la requête, entrez : SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed
Sélectionnez Run Query (Exécuter la requête).
Dans le menu Visualisation de la barre d’outils, sélectionnez Graphique à secteurs.
En haut de la page, sélectionnez Modification terminée.
Cliquez sur l’icône Enregistrer pour enregistrer votre classeur.
Dans la boîte de dialogue qui s’affiche, entrez un titre, sélectionnez un groupe de ressources, puis sélectionnez Appliquer.

Ajouter une requête à un modèle de classeur

Cette procédure montre comment ajouter une requête à un modèle de classeur. L’exemple est basé sur une requête qui montre la répartition des accès conditionnel réussis par rapport aux échecs.

Connectez-vous au centre d’administration Microsoft Entra en tant que Lecteur de rapports.
Accédez à Identité>Surveillance et intégrité>Classeurs.
Dans la section Accès conditionnel, sélectionnez Rapports et insights sur l’accès conditionnel.
Dans la barre d’outils, sélectionnez Modifier.
Dans la barre d’outils, sélectionnez les trois points en regard du bouton Modifier, puis Ajouter, puis Ajouter une requête.
Dans la zone de texte de la requête, entrez : SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus
Sélectionnez Run Query (Exécuter la requête).
Dans le menu Intervalle de temps, sélectionnez Définir dans la requête.
Dans le menu Visualisation, sélectionnez Graphique à barres.
Ouvrez les paramètres avancés.
Dans le champ Titre du graphique , entrez Conditional Access status over the last 20 days et sélectionnez Modification terminée.