Azure AD-activiteitenlogboeken analyseren met Azure Monitor-logboeken

Nadat u Azure AD activiteitenlogboeken hebt geïntegreerd met Azure Monitor-logboeken, kunt u de kracht van Azure Monitor-logboeken gebruiken om inzicht te krijgen in uw omgeving. U kunt ook de Log Analytics-weergaven installeren voor Azure AD activiteitenlogboeken om toegang te krijgen tot vooraf gebouwde rapporten rond audit- en aanmeldingsgebeurtenissen in uw omgeving.

In dit artikel leert u hoe u de Azure AD activiteitenlogboeken in uw Log Analytics-werkruimte kunt analyseren.

Notitie

Dit artikel is onlangs bijgewerkt waarbij Log Analytics is vervangen door de term Azure Monitor-logboeken. Logboekgegevens worden nog steeds opgeslagen in een Log Analytics-werkruimte, en worden nog steeds verzameld en geanalyseerd met dezelfde Log Analytics-service. De terminologie wordt bijgewerkt om de rol van logboeken in Azure Monitor beter te weerspiegelen. Zie Wijzigingen in Azure Monitor-terminologie voor meer informatie.

Vereisten

Als u mee wilt doen, hebt u het volgende nodig:

  1. Meld u aan bij de Azure-portal.

  2. Selecteer Azure Active Directory en selecteer vervolgens Logboeken in de sectie Bewaking om uw Log Analytics-werkruimte te openen. De werkruimte wordt geopend met een standaardquery.

    Default query

Het schema voor Azure AD activiteitenlogboeken weergeven

De logboeken worden gepusht naar de tabellen AuditLogs en SigninLogs in de werkruimte. Ga als volgt te werk om het schema voor deze tabellen weer te geven:

  1. Selecteer Schema in de standaardqueryweergave in de vorige sectie en vouw de werkruimte uit.

  2. Vouw de sectie Logboekbeheer uit en vouw vervolgens AuditLogs of SigninLogs uit om het logboekschema weer te geven.

Query's uitvoeren op de activiteitenlogboeken van Azure AD

Nu u de logboeken in uw werkruimte hebt, kunt u er nu query's op uitvoeren. Als u bijvoorbeeld de belangrijkste toepassingen wilt ophalen die in de afgelopen week worden gebruikt, vervangt u de standaardquery door het volgende en selecteert u Uitvoeren

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

Gebruik de volgende query om de belangrijkste controlegebeurtenissen in de afgelopen week op te halen:

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Waarschuwing over Azure AD activiteitenlogboekgegevens

U kunt ook waarschuwingen instellen voor uw query. Als u bijvoorbeeld een waarschuwing wilt configureren wanneer in de afgelopen week meer dan 10 toepassingen zijn gebruikt:

  1. Selecteer een waarschuwing instellen in de werkruimte om de pagina Regel maken te openen.

    Set alert

  2. Selecteer de standaardwaarschuwingscriteria die in de waarschuwing zijn gemaakt en werk de drempelwaarde in de standaardwaarde bij naar 10.

    Alert criteria

  3. Voer een naam en beschrijving in voor de waarschuwing en kies het ernstniveau. In ons voorbeeld kunnen we deze instellen op Informatief.

  4. Selecteer de actiegroep die wordt gewaarschuwd wanneer het signaal optreedt. U kunt ervoor kiezen om uw team via e-mail of sms op de hoogte te stellen, of u kunt de actie automatiseren met behulp van webhooks, Azure-functies of logische apps. Meer informatie over het maken en beheren van waarschuwingsgroepen in de Azure Portal.

  5. Nadat u de waarschuwing hebt geconfigureerd, selecteert u Waarschuwing maken om deze in te schakelen.

Vooraf gemaakte werkmappen gebruiken voor Azure AD activiteitenlogboeken

De werkmappen bieden verschillende rapporten met betrekking tot veelvoorkomende scenario's met betrekking tot audit- en aanmeldingsgebeurtenissen en inrichtingsgebeurtenissen. U kunt ook een waarschuwing geven over alle gegevens in de rapporten met behulp van de stappen die in de vorige sectie zijn beschreven.

  • Inrichtingsanalyse: Deze werkmap bevat rapporten met betrekking tot het controleren van de inrichtingsactiviteit, zoals het aantal nieuwe gebruikers dat is ingericht en inrichtingsfouten, het aantal bijgewerkte en updatefouten van gebruikers en het aantal gebruikers dat de inrichting ongedaan maakt en de bijbehorende fouten.
  • Aanmeldingsgebeurtenissen: deze werkmap toont de meest relevante rapporten met betrekking tot het bewaken van aanmeldingsactiviteiten, zoals aanmeldingen per toepassing, gebruiker, apparaat en een overzichtsweergave die het aantal aanmeldingen in de loop van de tijd bijhoudt.
  • Inzichten in voorwaardelijke toegang: Met de werkmap Voorwaardelijke toegang en rapportage kunt u de impact van beleid voor voorwaardelijke toegang in uw organisatie in de loop van de tijd begrijpen.

Volgende stappen