Анализ журналов действий Microsoft Entra с помощью Log Analytics
После интеграции журналов действий Microsoft Entra с журналами Azure Monitor можно использовать возможности журналов Log Analytics и Azure Monitor для получения аналитических сведений о вашей среде.
Сравните журналы входа Microsoft Entra с журналами безопасности, опубликованными Microsoft Defender для облака.
устранять узкие места производительности на странице входа в приложение, сопоставляя данные о производительности приложений из Azure Application Insights.
Анализ рискованных пользователей и журналов обнаружения рисков защиты идентификации для обнаружения угроз в вашей среде.
В этой статье описывается анализ журналов действий Microsoft Entra в рабочей области Log Analytics.
Необходимые компоненты
Чтобы проанализировать журналы действий с помощью Log Analytics, вам потребуется:
- Клиент Microsoft Entra с лицензией Premium P1
- Рабочая область Log Analytics и доступ к этой рабочей области
- Соответствующие роли для Azure Monitor и идентификатора Microsoft Entra
Рабочая область Log Analytics
Необходимо создать рабочую область Log Analytics. Существует несколько факторов, определяющих доступ к рабочим областям Log Analytics. Нужные роли для рабочей области и ресурсов, отправляя данные.
Дополнительные сведения см. в статье "Управление доступом к рабочим областям Log Analytics".
Роли Azure Monitor
Azure Monitor предоставляет две встроенные роли для просмотра данных мониторинга и редактирования параметров мониторинга. Управление доступом на основе ролей Azure (RBAC) также предоставляет две встроенные роли Log Analytics, предоставляющие аналогичный доступ.
Просмотр.
- Monitoring Reader (Читатель данных мониторинга)
- Читатель Log Analytics
Просмотр и изменение параметров:
- Monitoring Contributor (Участник мониторинга)
- Участник Log Analytics
Дополнительные сведения о встроенных ролях Azure Monitor см. в статье "Роли", "Разрешения" и "Безопасность" в Azure Monitor.
Дополнительные сведения о ролях RBAC Log Analytics см. в статье о встроенных ролях Azure.
Роли Microsoft Entra
Доступ только для чтения позволяет просматривать данные журнала идентификатора Microsoft Entra внутри книги, запрашивать данные из Log Analytics или читать журналы в Центре администрирования Microsoft Entra. Обновление доступа добавляет возможность создавать и изменять параметры диагностики для отправки данных Microsoft Entra в рабочую область Log Analytics.
Чтение:
- Читатель отчетов
- Читатель сведений о безопасности
- Глобальный читатель
Обновление.
- Администратор безопасности
Дополнительные сведения о встроенных ролях Microsoft Entra см. в статье о встроенных ролях Microsoft Entra.
Доступ к Log Analytics
Чтобы просмотреть Log Analytics идентификатора Microsoft Entra ID, необходимо отправить журналы действий из идентификатора Microsoft Entra в рабочую область Log Analytics. Этот процесс рассматривается в статье " Как интегрировать журналы действий с Azure Monitor ".
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.
Перейдите к Службе мониторинга удостоверений и работоспособности>>Log Analytics. Выполняется поисковый запрос по умолчанию.
Разверните категорию LogManagement , чтобы просмотреть список связанных с журналом запросов.
Выберите или наведите указатель мыши на имя запроса, чтобы просмотреть описание и другие полезные сведения.
Разверните запрос из списка, чтобы просмотреть схему.
Журналы действий с запросами
Вы можете выполнять запросы к журналам действий, которые направляются в рабочую область Log Analytics. Например, чтобы получить список приложений с наибольшим количеством входов на прошлой неделе, введите следующий запрос и нажмите кнопку "Выполнить ".
SigninLogs
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName
| sort by signInCount desc
Чтобы получить события аудита top за последнюю неделю, используйте следующий запрос.
AuditLogs
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName
| sort by auditCount desc
Настройка оповещений
Вы также можете настроить оповещения в запросе. После выполнения запроса кнопка "+ Новое правило генерации оповещений" становится активной.
В Log Analytics нажмите кнопку "+ Новое правило генерации оповещений".
- Процесс создания правила включает несколько разделов для настройки условий для правила.
- Дополнительные сведения о создании правил генерации оповещений см. в статье "Создание нового правила генерации оповещений" из документации по Azure Monitor, начиная с шагов условия .
На вкладке "Действия" выберите группу действий, которая должна получать оповещение при возникновении сигнала.
- Вы можете уведомлять свою команду по электронной почте или с помощью текстового сообщения, или вы можете автоматизировать действие с помощью веб-перехватчика, Функций Azure или приложений логики.
- Дополнительные сведения см. в статье Создание групп действий и управление ими на портале Azure.
На вкладке "Сведения" укажите правило генерации оповещений имя и свяжите его с подпиской и группой ресурсов.
После настройки всех необходимых сведений нажмите кнопку "Проверить и создать ".
Использование книг для анализа журналов
Книги Microsoft Entra предоставляют несколько отчетов, связанных с общими сценариями, связанными с аудитом, входом и подготовкой событий. Вы также можете генерации оповещений о любых данных, предоставленных в отчетах, с помощью шагов, описанных в предыдущем разделе.
Анализ подготовки. В этой книге показаны отчеты, связанные с действиями подготовки аудита. Действия могут включать количество подготовленных новых пользователей, сбоев подготовки, количество обновленных пользователей, сбои обновлений, количество отозванных пользователей и соответствующие сбои. Дополнительные сведения см. в статье о интеграции подготовки с журналами Azure Monitor.
События входа. В этой книге отображаются наиболее релевантные отчеты, связанные с мониторингом действий входа, таких как входы в приложение, пользователь, устройство и сводное представление, отслеживающее количество входов с течением времени.
Аналитика условного доступа. В книге "Аналитика условного доступа" и "отчеты" можно понять влияние политик условного доступа в организации с течением времени. Дополнительные сведения см. в статье Аналитика и отчеты условного доступа.
Следующие шаги
Кері байланыс
https://aka.ms/ContentUserFeedback.
Жақында қолжетімді болады: 2024 жыл бойы біз GitHub Issues жүйесін мазмұнға арналған кері байланыс механизмі ретінде біртіндеп қолданыстан шығарамыз және оны жаңа кері байланыс жүйесімен ауыстырамыз. Қосымша ақпаратты мұнда қараңыз:Жіберу және пікірді көру