Esaminare gli eventi di controllo di sicurezza in Microsoft Entra Domain Services usando cartelle di lavoro di Monitoraggio di Azure

Per comprendere lo stato del dominio gestito di Microsoft Entra Domain Services, è possibile abilitare gli eventi di controllo di sicurezza. Questi eventi di controllo della sicurezza possono quindi essere esaminati usando cartelle di lavoro di Monitoraggio di Azure che combinano testo, query di analisi e parametri in report interattivi avanzati. Servizi di dominio include modelli di cartella di lavoro per la panoramica della sicurezza e attività dell'account che consentono di esaminare gli eventi di controllo e gestire l'ambiente.

Questo articolo illustra come usare cartelle di lavoro di Monitoraggio di Azure per esaminare gli eventi di controllo della sicurezza in Servizi di dominio.

Prima di iniziare

Per completare questo articolo, sono necessari i privilegi e le risorse seguenti:

• Una sottoscrizione di Azure attiva.
  • Se non hai un abbonamento Azure, crea un account.
• Un tenant di Microsoft Entra associato alla tua sottoscrizione, sincronizzato con una directory locale o solo cloud.
  • Se necessario, creare un tenant di Microsoft Entra o associare una sottoscrizione di Azure al proprio account.
• Un dominio gestito di Microsoft Entra Domain Services abilitato e configurato nel tenant di Microsoft Entra.
  • Se necessario, completa l'esercitazione per creare e configurare un dominio gestito utilizzando Microsoft Entra Domain Services.
• Eventi di controllo di sicurezza abilitati per il dominio gestito che trasmette i dati a un'area di lavoro Log Analytics.
  • Se necessario, abilitare i controlli di sicurezza per i Servizi di dominio.

Panoramica delle cartelle di lavoro di Azure Monitor

Quando gli eventi di controllo della sicurezza sono attivati in Servizi di dominio, può essere difficile analizzare e identificare i problemi nel dominio gestito. Monitoraggio di Azure consente di aggregare questi eventi di controllo di sicurezza ed eseguire query sui dati. Con Azure Monitor Workbooks, è possibile visualizzare questi dati per rendere più rapida e semplice l'identificazione dei problemi.

I modelli di cartella di lavoro sono report curati progettati per un riutilizzo flessibile da parte di più utenti e team. Quando si apre un modello di cartella di lavoro, vengono caricati i dati dell'ambiente di Monitoraggio di Azure. È possibile usare i modelli senza alcun impatto sugli altri utenti dell'organizzazione e salvare cartelle di lavoro personalizzate in base al modello.

Domain Services include i due modelli di cartella di lavoro seguenti:

• Rapporto sulla panoramica della sicurezza
• Rapporto delle attività dell'account

Per ulteriori informazioni su come modificare e gestire le cartelle di lavoro, vedere Panoramica delle cartelle di lavoro di Azure Monitor.

Usare la cartella di lavoro del report di panoramica della sicurezza

Per comprendere meglio l'utilizzo e identificare le potenziali minacce alla sicurezza, il report di panoramica della sicurezza riepiloga i dati di accesso e identifica gli account su cui si vuole controllare. È possibile visualizzare gli eventi in un intervallo di date specifico ed eseguire il drill-down in eventi di accesso specifici, ad esempio tentativi di password non validi o in cui l'account è stato disabilitato.

Per accedere al modello di cartella di lavoro per il report di panoramica della sicurezza, seguire questa procedura:

1. Cercare e selezionare Microsoft Entra Domain Services nel portale di Azure.

2. Selezionare il dominio gestito, ad esempio aaddscontoso.com

3. Dal menu a sinistra, scegliere Monitoraggio > Cartelle di lavoro

   

4. Scegliere il rapporto Panoramica della Sicurezza.

5. Nella parte superiore della cartella di lavoro, nei menu a discesa, selezionare la sottoscrizione di Azure e quindi un'area di lavoro Azure Monitor.

   Scegliere un intervallo di tempo , ad esempio Ultimi 7 giorni, come illustrato nello screenshot di esempio seguente:

   

   Le opzioni visualizzazione Riquadro e visualizzazione Grafico possono essere modificate anche per analizzare e visualizzare i dati in base alle esigenze.

6. Per approfondire un tipo di evento specifico, selezionare una delle schede del risultato dell'accesso , come account bloccato, come mostrato nell'esempio seguente:

   

7. La parte inferiore del report di panoramica della sicurezza sotto il grafico suddivide quindi il tipo di attività selezionato. È possibile filtrare in base ai nomi utente coinvolti sul lato destro, come illustrato nel report di esempio seguente:

   

Usare la cartella di lavoro del report sull'attività dell'account

Per aiutarvi a risolvere i problemi relativi a un account utente specifico, il report delle attività dell'account fornisce una suddivisione delle informazioni dettagliate del registro degli eventi di controllo. È possibile esaminare quando è stato specificato un nome utente o una password non valida durante l'accesso e l'origine del tentativo di accesso.

Per accedere al modello di cartella di lavoro per il report attività dell'account, completare la procedura seguente:

1. Cercare e selezionare Microsoft Entra Domain Services nel portale di Azure.

2. Selezionare il dominio gestito, ad esempio aaddscontoso.com

3. Dal menu a sinistra scegliere Monitoraggio > cartelle di lavoro

4. Scegliere il rapporto sull'attività dell'account .

5. Nei menu a discesa nella parte superiore della cartella di lavoro selezionare la sottoscrizione di Azure e quindi un'area di lavoro di Monitoraggio di Azure.

   Scegliere un intervallo di tempo , ad esempio Ultimi 30 giorni, quindi come si desidera che la visualizzazione riquadro rappresenti i dati.

   È possibile filtrare in base nome utente del conto, ad esempio felix, come mostrato nel report di esempio seguente.

   

   L'area sotto il grafico mostra i singoli eventi di accesso insieme a informazioni quali il risultato dell'attività e la workstation di origine. Queste informazioni consentono di determinare origini ripetute di eventi di accesso che possono causare blocchi dell'account o indicare un potenziale attacco.

Come per il report di panoramica della sicurezza, è possibile eseguire il drill-down nei diversi riquadri nella parte superiore del report per visualizzare e analizzare i dati in base alle esigenze.

Salvare e modificare cartelle di lavoro

Le due cartelle di lavoro modello fornite da Servizi di dominio sono un buon punto di partenza per iniziare con l'analisi dei dati personalizzata. Se è necessario ottenere una maggiore granularità nelle query e nelle indagini sui dati, è possibile salvare cartelle di lavoro personalizzate e modificare le query.

1. Per salvare una copia di uno dei modelli di cartella di lavoro, selezionare Modifica > Salva con nome > Report condivisi, quindi specificare un nome e salvarlo.
2. Nella tua copia del modello, selezionare Modifica per accedere alla modalità di modifica. È possibile scegliere il pulsante blu Modifica accanto a qualsiasi parte del report e modificarlo.

Tutti i grafici e le tabelle nelle cartelle di lavoro di Monitoraggio di Azure vengono generati usando query Kusto. Per ulteriori informazioni sulla creazione di query personalizzate, consultare Query log di Azure Monitor e Kusto queries tutorial.

Passaggi successivi

Se è necessario modificare i criteri di password e blocco, vedere Criteri di blocco delle password e degli account nei domini gestiti.

Per problemi con gli utenti, informazioni su come risolvere i problemi di accesso dell'account o problemi di blocco dell'account.