Analizzare i log attività di Microsoft Entra con Log Analytics

Dopo aver integrato i log attività di Microsoft Entra con i log di Monitoraggio di Azure, è possibile usare la potenza dei log di Log Analytics e monitoraggio di Azure per ottenere informazioni dettagliate sull'ambiente.

• Confrontare i log di accesso di Microsoft Entra con i log di sicurezza pubblicati da Microsoft Defender per il cloud.

• Risolvere i problemi di colli di bottiglia delle prestazioni nella pagina di accesso dell'applicazione tramite la correlazione dei dati sulle prestazioni delle applicazioni da Azure Application Insights.

• Analizzare i log degli utenti rischiosi di Identity Protection e dei rilevamenti dei rischi per rilevare le minacce nell'ambiente in uso.

Questo articolo descrive come analizzare i log attività di Microsoft Entra nell'area di lavoro Log Analytics.

Prerequisiti

Per analizzare i log attività con Log Analytics, è necessario:

• Un tenant di Microsoft Entra con una licenza Premium P1
• Un'area di lavoro Log Analytics e l'accesso a tale area di lavoro
• Ruoli appropriati per Monitoraggio di Azure e Microsoft Entra ID

Area di lavoro Log Analytics

È necessario creare un'area di lavoro Log Analytics. Esistono diversi fattori che determinano l'accesso alle aree di lavoro Log Analytics. Sono necessari i ruoli appropriati per l'area di lavoro e le risorse che inviano i dati.

Per altre informazioni, vedere Gestire l'accesso alle aree di lavoro Log Analytics.

Ruoli di Monitoraggio di Azure

Monitoraggio di Azure offre due ruoli predefiniti per la visualizzazione dei dati di monitoraggio e la modifica delle impostazioni di monitoraggio. Il controllo degli accessi in base al ruolo di Azure offre anche due ruoli predefiniti di Log Analytics che concedono un accesso simile.

• Visualizza:

  • Lettore di monitoraggio
  • Lettore di Log Analytics

• Visualizzare e modificare le impostazioni:

  • Collaboratore al monitoraggio
  • Collaboratore di Log Analytics

Per altre informazioni sui ruoli predefiniti di Monitoraggio di Azure, vedere Ruoli, autorizzazioni e sicurezza in Monitoraggio di Azure.

Per altre informazioni sui ruoli controllo degli accessi in base al ruolo di Log Analytics, vedere Ruoli predefiniti di Azure

Ruoli di Microsoft Entra

L'accesso in sola lettura consente di visualizzare i dati di log di Microsoft Entra ID all'interno di una cartella di lavoro, eseguire query sui dati da Log Analytics o leggere i log nell'interfaccia di amministrazione di Microsoft Entra. L'accesso agli aggiornamenti consente di creare e modificare le impostazioni di diagnostica per inviare i dati di Microsoft Entra a un'area di lavoro Log Analytics.

• Read:

  • Amministratore che legge i report
  • Ruolo con autorizzazioni di lettura per la sicurezza
  • Ruolo con autorizzazioni di lettura globali

• Aggiornamento:

  • Amministratore della sicurezza

Per altre informazioni sui ruoli predefiniti di Microsoft Entra, vedere Ruoli predefiniti di Microsoft Entra.

Accedere a Log Analytics

Per visualizzare Microsoft Entra ID Log Analytics, è necessario inviare già i log attività da Microsoft Entra ID a un'area di lavoro Log Analytics. Questo processo è illustrato nell'articolo Come integrare i log attività con Monitoraggio di Azure.

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.

2. Passare a Monitoraggio delle identità>e integrità>di Log Analytics. Viene eseguita una query di ricerca predefinita.

   

3. Espandere la categoria LogManagement per visualizzare l'elenco delle query correlate al log.

4. Selezionare o passare il puntatore del mouse sul nome di una query per visualizzare una descrizione e altri dettagli utili.

   

5. Espandere una query dall'elenco per visualizzare lo schema.

   

Eseguire query nei log attività

È possibile eseguire query sui log attività indirizzati a un'area di lavoro Log Analytics. Ad esempio, per ottenere un elenco di applicazioni con il maggior numero di accessi della settimana scorsa, immettere la query seguente e selezionare il pulsante Esegui .

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

Per ottenere i principali eventi di controllo nell'ultima settimana, usare la query seguente:

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Impostare gli avvisi

È anche possibile configurare avvisi in una query. Dopo aver eseguito una query, il pulsante + Nuova regola di avviso diventa attivo.

1. In Log Analytics selezionare il pulsante + Nuova regola di avviso.

   • Il processo Crea una regola include diverse sezioni per personalizzare i criteri per la regola.
   • Per altre informazioni sulla creazione di regole di avviso, vedere Creare una nuova regola di avviso dalla documentazione di Monitoraggio di Azure, a partire dalla procedura Condizione .

   

2. Nella scheda Azioni selezionare il gruppo di azioni che deve ricevere l'avviso quando si verifica il segnale.

   • È possibile scegliere di inviare notifiche al team tramite posta elettronica o SMS oppure è possibile automatizzare l'azione con webhook, funzioni di Azure o app per la logica.
   • Vedere altre informazioni sulla creazione e gestione di gruppi di azioni nel portale di Azure.

3. Nella scheda Dettagli assegnare alla regola di avviso un nome e associarlo a una sottoscrizione e a un gruppo di risorse.

4. Dopo aver configurato tutti i dettagli necessari, selezionare il pulsante Rivedi e crea .

Usare le cartelle di lavoro per analizzare i log

Le cartelle di lavoro di Microsoft Entra forniscono diversi report correlati a scenari comuni che coinvolgono eventi di controllo, accesso e provisioning. È anche possibile inviare avvisi su uno dei dati forniti nei report, seguendo la procedura descritta nella sezione precedente.

• Analisi del provisioning: questa cartella di lavoro mostra i report correlati all'attività di provisioning del controllo. Le attività possono includere il numero di nuovi utenti di cui è stato effettuato il provisioning, gli errori di provisioning, il numero di utenti aggiornati, gli errori di aggiornamento, il numero di utenti di cui è stato eseguito il deprovisioning e gli errori corrispondenti. Per altre informazioni, vedere Informazioni sull'integrazione del provisioning con i log di Monitoraggio di Azure.

• Eventi di accesso: questa cartella di lavoro mostra i report più rilevanti relativi al monitoraggio dell'attività di accesso, ad esempio accessi per applicazione, utente, dispositivo e visualizzazione riepilogativa che monitora il numero di accessi nel tempo.

• Informazioni dettagliate sull'accesso condizionale: la cartella di lavoro informazioni dettagliate e report sull'accesso condizionale consente di comprendere l'effetto dei criteri di accesso condizionale nell'organizzazione nel tempo. Per altre informazioni, vedere Informazioni dettagliate e creazione di report per l'accesso condizionale.

Passaggi successivi

• Introduzione alle query nei log di Monitoraggio di Azure
• Creare e gestire gruppi di azione nel portale di Azure