Azure Active Directory 監視とは

  • [アーティクル]

Azure Active Directory (Azure AD) 監視を使用すると、Azure AD のアクティビティ ログを別のエンドポイントにルーティングできるようになります。 その後、それを長期的な使用のために保持したり、サードパーティのセキュリティ情報およびイベント管理 (SIEM) ツールと統合して環境の分析情報を取得したりすることができます。

現時点では、以下のものにログをルーティングすることができます。

  • Azure ストレージ アカウント。
  • Azure イベント ハブ。Splunk および Sumologic のインスタンスと統合することができます。
  • Azure Log Analytics ワークスペース。このワークスペースで、データの分析や、特定のイベントのダッシュボードとアラートの作成を行うことができます。

前提条件のロール: グローバル管理者

注意

この記事は最近、Log Analytics ではなく Azure Monitor ログという用語を使うように更新されました。 ログ データは引き続き Log Analytics ワークスペースに格納され、同じ Log Analytics サービスによって収集されて分析されます。 Azure Monitor のログの役割をより適切に反映させるために、用語を更新しています。 詳しくは、Azure Monitor の用語の変更に関するページをご覧ください。

Azure AD のレポートと監視のライセンスと前提条件

Azure AD サインイン ログにアクセスするには、Azure AD プレミアム ライセンスが必要になります。

機能とライセンスの詳細については、Azure Active Directory 料金ガイドを参照してください。

Azure AD の監視とレポートをデプロイするには、Azure AD テナントのグローバル管理者またはセキュリティ管理者であるユーザーが必要になります。

ログ データの最終転送先によっては、次のいずれかが必要になります。

  • ListKeys アクセス許可が付与された Azure ストレージ アカウント。 BLOB ストレージ アカウントではなく、一般的なストレージ アカウントを使用することをお勧めします。 ストレージの料金情報については、Azure Storage の料金計算ツールを参照してください。

  • サードパーティ製の SIEM ソリューションと統合するための Azure Event Hubs の名前空間。

  • Azure Monitor ログにログを送信する Azure Log Analytics ワークスペース。

診断設定を構成する

Azure AD アクティビティ ログの監視設定を構成するには、まず、Azure portal にサインインし、次に Azure Active Directory を選択します。 ここからは、次の 2 つの方法で診断設定の構成のページにアクセスすることができます。

  • [監視] セクションの [診断設定] を選択します。

    診断設定

  • [監査ログ] または [サインイン] を選択し、[設定のエクスポート] を選択します。

    設定のエクスポート

ストレージ アカウントへのログのルーティング

ログを Azure ストレージ アカウントにルーティングすると、保持ポリシーで規定されている既定の保持期間より長くログを保持できます。 データをストレージ アカウントにルーティングする方法については、こちらを参照してください。

ログをイベント ハブにストリーミングする

ログを Azure イベント ハブにルーティングすることで、Sumologic や Splunk などのサードパーティの SIEM ツールと統合することができます。 この統合によって、Azure AD のアクティビティ ログ データと、SIEM によって管理されている他のデータを組み合わせ、より豊富な環境分析情報を提供することができます。 ログをイベント ハブにストリーム配信する方法については、こちらを参照してください。

Azure Monitor ログへのログの送信

Azure Monitor ログは、さまざまなソースからの監視データを統合し、アプリケーションとリソースの操作に関する分析情報を取得するためのクエリ言語と分析エンジンを提供するソリューションです。 Azure AD のアクティビティ ログを Azure Monitor ログに送信することで、収集したデータに対する迅速な取得、監視、およびアラートを行うことができます。 Azure Monitor ログにデータを送信する方法を学習してください。

Azure AD のアクティビティ ログ用の既製のビューをインストールして、サインインと監査イベントを含む一般的なシナリオを監視することもできます。 Azure AD のアクティビティ ログ用の Log Analytics ビューをインストールして使用する方法を学習してください。

次のステップ