Menganalisis log aktivitas Microsoft Entra dengan Analitik Log
Setelah mengintegrasikan log aktivitas Microsoft Entra dengan log Azure Monitor, Anda dapat menggunakan kekuatan log Log Analytics dan Azure Monitor untuk mendapatkan wawasan tentang lingkungan Anda.
Bandingkan log masuk Microsoft Entra Anda dengan log keamanan yang diterbitkan oleh Microsoft Defender untuk Cloud.
Memecahkan masalah penyempitan performa di halaman masuk aplikasi Anda dengan menghubungkan data performa aplikasi dari Azure Application Insights.
Analisis log pengguna berisiko dan deteksi risiko Perlindungan Identitas untuk mendeteksi ancaman di lingkungan Anda.
Artikel ini menjelaskan untuk menganalisis log aktivitas Microsoft Entra di ruang kerja Analitik Log Anda.
Prasyarat
Untuk menganalisis log aktivitas dengan Analitik Log, Anda memerlukan:
- Penyewa Microsoft Entra dengan lisensi Premium P1
- Ruang kerja Log Analytics dan akses ke ruang kerja tersebut
- Peran yang sesuai untuk Azure Monitor dan ID Microsoft Entra
Ruang kerja Analitik Log
Anda harus membuat ruang kerja Analitik Log. Ada beberapa faktor yang menentukan akses ke ruang kerja Analitik Log. Anda memerlukan peran yang tepat untuk ruang kerja dan sumber daya yang mengirim data.
Untuk informasi selengkapnya, lihat Mengelola akses ke ruang kerja Analitik Log.
Peran Azure Monitor
Azure Monitor menyediakan dua peran bawaan untuk melihat data pemantauan dan mengedit pengaturan pemantauan. Kontrol akses berbasis peran Azure (RBAC) juga menyediakan dua peran bawaan Log Analytics yang memberikan akses serupa.
Lihat:
- Pembaca Pemantauan
- Pembaca Analitik Log
Lihat dan ubah pengaturan:
- Kontributor Pemantauan
- Kontributor Analitik Log
Untuk informasi selengkapnya tentang peran bawaan Azure Monitor, lihat Peran, izin, dan keamanan di Azure Monitor.
Untuk informasi selengkapnya tentang peran Analitik Log, lihat Peran bawaan Azure
Peran Microsoft Entra
Akses baca saja memungkinkan Anda menampilkan data log ID Microsoft Entra di dalam buku kerja, mengkueri data dari Analitik Log, atau membaca log di pusat admin Microsoft Entra. Akses pembaruan menambahkan kemampuan untuk membuat dan mengedit pengaturan diagnostik untuk mengirim data Microsoft Entra ke ruang kerja Analitik Log.
Baca:
- Pembaca Laporan
- Pembaca Keamanan
- Pembaca Global
Perbarui:
- Administrator Keamanan
Untuk informasi selengkapnya tentang peran bawaan Microsoft Entra, lihat Peran bawaan Microsoft Entra.
Mengakses Analitik Log
Untuk melihat Analitik Log ID Microsoft Entra, Anda harus sudah mengirim log aktivitas dari ID Microsoft Entra ke ruang kerja Analitik Log. Proses ini tercakup dalam artikel Cara mengintegrasikan log aktivitas dengan Azure Monitor .
Tip
Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Pembaca Laporan.
Telusuri Pemantauan Identitas>& Analitik Log kesehatan.> Kueri pencarian default berjalan.
Perluas kategori LogManagement untuk melihat daftar kueri terkait log.
Pilih atau arahkan mouse ke atas nama kueri untuk menampilkan deskripsi dan detail berguna lainnya.
Perluas kueri dari daftar untuk menampilkan skema.
Mengkueri log aktivitas
Anda dapat menjalankan kueri terhadap log aktivitas yang dirutekan ke ruang kerja Analitik Log. Misalnya, untuk mendapatkan daftar aplikasi dengan rincian masuk terbanyak dari minggu lalu, masukkan kueri berikut dan pilih tombol Jalankan .
SigninLogs
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName
| sort by signInCount desc
Untuk menemukan peristiwa masuk berisiko, gunakan kueri berikut:
SigninLogs
| where RiskState contains "atRisk"
Untuk mendapatkan peristiwa audit teratas selama seminggu terakhir, gunakan kueri berikut:
AuditLogs
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName
| sort by auditCount desc