Integrare i log di Azure AD con i log di Monitoraggio di Azure

Usando le impostazioni di diagnostica in Azure Active Directory (Azure AD), è possibile integrare i log con Monitoraggio di Azure in modo che l'attività di accesso e l'audit trail delle modifiche all'interno del tenant possano essere analizzati insieme ad altri dati di Azure.

Questo articolo illustra la procedura per integrare i log di Azure Active Directory (Azure AD) con Monitoraggio di Azure.

Usare l'integrazione dei log attività di Azure AD e Monitoraggio di Azure per eseguire le attività seguenti:

  • Confrontare i log di accesso di Azure AD con i log di sicurezza pubblicati da Microsoft Defender per il cloud.

  • Risolvere i problemi di colli di bottiglia delle prestazioni nella pagina di accesso dell'applicazione tramite la correlazione dei dati sulle prestazioni delle applicazioni da Azure Application Insights.

  • Analizzare i log di rilevamento dei rischi e degli utenti a rischio di Identity Protection per rilevare le minacce nell'ambiente.

  • Identificare gli accessi dalle applicazioni che usano ancora Active Directory Authentication Library (ADAL) per l'autenticazione. Informazioni sul piano di fine supporto di ADAL.

Nota

L'integrazione dei log di Azure Active Directory con Monitoraggio di Azure abiliterà automaticamente il connettore dati di Azure Active Directory in Microsoft Sentinel.

Questo video della sessione di Microsoft Ignite 2018 illustra i vantaggi dell'integrazione dei log di Azure AD e di Monitoraggio di Azure in scenari pratici:

Ricerca per categorie accedervi?

Per usare questa funzionalità, sono necessari:

Inviare log a Monitoraggio di Azure

Seguire questa procedura per inviare i log da Azure Active Directory a Monitoraggio di Azure. Per informazioni su come configurare l'area di lavoro Log Analytics per le risorse di Azure all'esterno di Azure AD? Vedere l'articolo Raccogliere e visualizzare i log delle risorse per Monitoraggio di Azure .

  1. Accedere al portale di Azure come amministratore della sicurezza o amministratore globale.

  2. Passare ad Impostazionidi diagnostica di Azure Active Directory>. È anche possibile selezionare Esporta impostazioni nella pagina Log di controllo o Accessi .

  3. Selezionare + Aggiungi impostazione di diagnostica per creare una nuova integrazione o selezionare Modifica impostazione per un'integrazione esistente.

  4. Immettere il nome di un'impostazione di diagnostica. Se si modifica un'integrazione esistente, non è possibile modificare il nome.

  5. Qualsiasi o tutti i log seguenti possono essere inviati all'area di lavoro Log Analytics. Alcuni log possono essere in anteprima pubblica, ma ancora visibili nel portale.

    • AuditLogs
    • SignInLogs
    • NonInteractiveUserSignInLogs
    • ServicePrincipalSignInLogs
    • ManagedIdentitySignInLogs
    • ProvisioningLogs
    • ADFSSignInLogsActive Directory Federation Services (ADFS)
    • RiskyUsers
    • UserRiskEvents
    • AADServicePrincipalRiskEvents

    I log seguenti sono in anteprima, ma sono ancora visibili in Azure AD. Al momento, la selezione di queste opzioni non aggiungerà nuovi log all'area di lavoro, a meno che l'organizzazione non sia stata inclusa nell'anteprima.

    • NetworkAccessTrafficLogs
    • RiskyServicePrincipals
  6. Selezionare i dettagli di destinazione per il percorso in cui si desidera inviare i log. Scegliere una o tutte le destinazioni seguenti. Vengono visualizzati campi aggiuntivi, a seconda della selezione.

    • Inviare all'area di lavoro Log Analytics: Selezionare i dettagli appropriati dai menu visualizzati.
    • Archiviare in un account di archiviazione: Specificare il numero di giorni in cui si desidera conservare i dati nelle caselle Giorni di conservazione visualizzate accanto alle categorie di log. Selezionare i dettagli appropriati dai menu visualizzati.
    • Trasmettere a un hub eventi: Selezionare i dettagli appropriati dai menu visualizzati.
    • Invia alla soluzione partner: Selezionare i dettagli appropriati dai menu visualizzati.
  7. Selezionare Salva per salvare l'impostazione.

    Screenshot delle impostazioni di diagnostica con alcuni dettagli di destinazione visualizzati.

Se non vengono visualizzati log nella destinazione selezionata dopo 15 minuti, disconnettersi e tornare ad Azure per aggiornare i log.

Passaggi successivi