Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure

Usando le impostazioni di diagnostica in Microsoft Entra ID, è possibile integrare i log con Monitoraggio di Azure in modo che l'attività di accesso e il audit trail delle modifiche all'interno del tenant possano essere analizzati insieme ad altri dati di Azure.

Questo articolo illustra la procedura per integrare i log di Microsoft Entra con Monitoraggio di Azure.

Usare l'integrazione dei log attività di Microsoft Entra e Monitoraggio di Azure per eseguire le attività seguenti:

• Confrontare i log di accesso di Microsoft Entra con i log di sicurezza pubblicati da Microsoft Defender per il cloud.
• Risolvere i colli di bottiglia delle prestazioni nella pagina di accesso dell'applicazione correlando i dati sulle prestazioni dell'applicazione da app Azure lication Insights.
• Analizzare i log degli utenti a rischio e dei rilevamenti dei rischi di protezione dell’identità per rilevare le minacce nell'ambiente in uso.
• Identificare gli accessi dalle applicazioni che usano ancora Active Directory Authentication Library (ADAL) per l'autenticazione. Informazioni sul piano di fine supporto di ADAL.

Nota

L'integrazione dei log di Microsoft Entra con Monitoraggio di Azure abilita automaticamente il connettore dati Microsoft Entra in Microsoft Sentinel.

Prerequisiti

Per usare questa funzionalità, sono necessari:

• Una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, è possibile iscriversi per ottenere una versione di valutazione gratuita.

• Un tenant Microsoft Entra ID P1 o P2.

• Almeno il ruolo Amministratore della sicurezza nel tenant di Microsoft Entra.

• Un'area di lavoro Log Analytics nella sottoscrizione di Azure. Informazioni su come creare un'area di lavoro Log Analytics.

• Autorizzazione per accedere ai dati in un'area di lavoro Log Analytics. Vedere Gestire l'accesso ai dati di log e alle aree di lavoro in Monitoraggio di Azure per informazioni sulle diverse opzioni di autorizzazione e su come configurare le autorizzazioni.

Creare un'area di lavoro Log Analytics

Un'area di lavoro Log Analytics consente di raccogliere dati in base a diversi requisiti, ad esempio la posizione geografica dei dati, i limiti delle sottoscrizioni o l'accesso alle risorse. Informazioni su come creare un'area di lavoro Log Analytics.

Per informazioni su come configurare un'area di lavoro Log Analytics per le risorse di Azure all'esterno di Microsoft Entra ID, vedere Raccogliere e visualizzare i log delle risorse per Monitoraggio di Azure.

Inviare log a Monitoraggio di Azure

Usare la procedura seguente per inviare i log da Microsoft Entra ID ai log di Monitoraggio di Azure.

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore della sicurezza.

2. Passare a Entra IDMonitoring and health Diagnostic settings (Monitoraggio e integrità>impostazioni di diagnostica di >). È anche possibile selezionare Esporta impostazioni nella pagina Log di controllo o Accessi .

3. Selezionare + Aggiungi impostazione di diagnostica per creare una nuova integrazione o selezionare Modifica impostazione per un'integrazione esistente.

4. Immettere un nome di impostazione di diagnostica. Se si modifica un'integrazione esistente, non è possibile modificare il nome.

5. Selezionare le categorie di log da trasmettere. Per una descrizione di ogni categoria di log, vedere Informazioni sui log delle identità che è possibile trasmettere a un endpoint.

6. In Dettagli destinazione selezionare la casella di controllo Invia all'area di lavoro Log Analytics .

7. Selezionare l'area di lavoroSottoscrizione e Log Analytics appropriata dai menu.

8. Selezionare il pulsante Salva .

   

   Per altre informazioni sull'avvio dei log nell'area di lavoro Log Analytics, vedere Impostazioni di diagnostica in Monitoraggio di Azure.

Contenuto correlato

• integrare i log attività di Microsoft Entra con i log di Monitoraggio di Azure
• Informazioni sulle origini dati che è possibile analizzare con Monitoraggio di Azure
• Automatizzare la creazione di impostazioni di diagnostica con Criteri di Azure

Usando le impostazioni di diagnostica in Microsoft Entra ID, è possibile integrare i log con Monitoraggio di Azure in modo che l'attività di accesso e il audit trail delle modifiche all'interno del tenant possano essere analizzati insieme ad altri dati di Azure.

Questo articolo illustra la procedura per integrare i log di Microsoft Entra con Monitoraggio di Azure.

Usare l'integrazione dei log attività di Microsoft Entra e Monitoraggio di Azure per eseguire le attività seguenti:

• Confrontare i log di accesso di Microsoft Entra con i log di sicurezza pubblicati da Microsoft Defender per il cloud.
• Risolvere i colli di bottiglia delle prestazioni nella pagina di accesso dell'applicazione correlando i dati sulle prestazioni dell'applicazione da app Azure lication Insights.
• Analizzare i log degli utenti a rischio e dei rilevamenti dei rischi di protezione dell’identità per rilevare le minacce nell'ambiente in uso.
• Identificare gli accessi dalle applicazioni che usano ancora Active Directory Authentication Library (ADAL) per l'autenticazione. Informazioni sul piano di fine supporto di ADAL.

Nota

L'integrazione dei log di Microsoft Entra con Monitoraggio di Azure abilita automaticamente il connettore dati Microsoft Entra in Microsoft Sentinel.

Per usare questa funzionalità, sono necessari:

• Una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, è possibile iscriversi per ottenere una versione di valutazione gratuita.

• Un tenant Microsoft Entra ID P1 o P2.

• Almeno il ruolo Amministratore della sicurezza nel tenant di Microsoft Entra.

• Un'area di lavoro Log Analytics nella sottoscrizione di Azure. Informazioni su come creare un'area di lavoro Log Analytics.

• Autorizzazione per accedere ai dati in un'area di lavoro Log Analytics. Vedere Gestire l'accesso ai dati di log e alle aree di lavoro in Monitoraggio di Azure per informazioni sulle diverse opzioni di autorizzazione e su come configurare le autorizzazioni.

Un'area di lavoro Log Analytics consente di raccogliere dati in base a diversi requisiti, ad esempio la posizione geografica dei dati, i limiti delle sottoscrizioni o l'accesso alle risorse. Informazioni su come creare un'area di lavoro Log Analytics.

Per informazioni su come configurare un'area di lavoro Log Analytics per le risorse di Azure all'esterno di Microsoft Entra ID, vedere Raccogliere e visualizzare i log delle risorse per Monitoraggio di Azure.

Inviare log a Monitoraggio di Azure

Usare la procedura seguente per inviare i log da Microsoft Entra ID ai log di Monitoraggio di Azure.

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore della sicurezza.

2. Passare a Entra IDMonitoring and health Diagnostic settings (Monitoraggio e integrità>impostazioni di diagnostica di >). È anche possibile selezionare Esporta impostazioni nella pagina Log di controllo o Accessi .

3. Selezionare + Aggiungi impostazione di diagnostica per creare una nuova integrazione o selezionare Modifica impostazione per un'integrazione esistente.

4. Immettere un nome di impostazione di diagnostica. Se si modifica un'integrazione esistente, non è possibile modificare il nome.

5. Selezionare le categorie di log da trasmettere. Per una descrizione di ogni categoria di log, vedere Informazioni sui log delle identità che è possibile trasmettere a un endpoint.

6. In Dettagli destinazione selezionare la casella di controllo Invia all'area di lavoro Log Analytics .

7. Selezionare l'area di lavoroSottoscrizione e Log Analytics appropriata dai menu.

8. Selezionare il pulsante Salva .

   

   Per altre informazioni sull'avvio dei log nell'area di lavoro Log Analytics, vedere Impostazioni di diagnostica in Monitoraggio di Azure.