Integrowanie dzienników usługi Azure AD z dziennikami usługi Azure Monitor

Wykonaj kroki opisane w tym artykule, aby zintegrować dzienniki usługi Azure Active Directory (Azure AD) z usługą Azure Monitor.

Użyj integracji dzienników aktywności Azure AD w dziennikach usługi Azure Monitor, aby wykonywać zadania, takie jak:

  • Porównaj dzienniki logowania Azure AD z dziennikami zabezpieczeń opublikowanymi przez usługę Microsoft Defender for Cloud.

  • Rozwiąż problemy z wąskimi gardłami wydajności na stronie logowania aplikacji, korelując dane wydajności aplikacji z usługi aplikacja systemu Azure Insights.

  • Analizowanie ryzykownych użytkowników i dzienników wykrywania ryzyka w usłudze Identity Protection w celu wykrywania zagrożeń w środowisku (publiczna wersja zapoznawcza)

  • Zidentyfikuj logowania z aplikacji korzystających z biblioteki Active Directory Authentication Library (ADAL) do uwierzytelniania. Biblioteka ADAL zbliża się do końca wsparcia.

Ten Microsoft wideo sesji Ignite pokazuje korzyści wynikające z korzystania z dzienników usługi Azure Monitor dla dzienników Azure AD w praktycznych scenariuszach:

Obsługiwane raporty

Dzienniki aktywności inspekcji i dzienniki aktywności logowania można kierować do dzienników usługi Azure Monitor w celu dalszej analizy.

  • Dzienniki inspekcji: raport działań dotyczący dzienników inspekcji zapewnia dostęp do historii wszystkich zadań wykonanych w dzierżawie.
  • Dzienniki logowania: przy użyciu raportu działań dotyczącego logowań można określić, kto wykonał zadania zgłoszone w dziennikach inspekcji.
  • Dzienniki aprowizacji: dzięki dziennikom aprowizacji można monitorować, którzy użytkownicy zostali utworzeni, zaktualizowani i usunięci we wszystkich aplikacjach innych firm.
  • Dzienniki ryzykownych użytkowników (publiczna wersja zapoznawcza): dzięki dziennikom ryzykownych użytkowników można monitorować zmiany na poziomie ryzyka użytkownika i działania korygowania.
  • Dzienniki wykrywania ryzyka (publiczna wersja zapoznawcza): dzięki dziennikom wykrywania ryzyka można monitorować wykrywanie ryzyka użytkownika i analizować trendy w aktywności ryzyka wykrytej w organizacji.

Wymagania wstępne

Do korzystania z tej funkcji są potrzebne następujące elementy:

  • Subskrypcja platformy Azure. Jeśli nie masz subskrypcji platformy Azure, możesz skorzystać z bezpłatnej wersji próbnej.
  • Dzierżawa usługi Azure AD.
  • Użytkownik będący administratorem globalnym lub administratorem zabezpieczeń dla tej dzierżawy usługi Azure AD.
  • Obszar roboczy usługi Log Analytics w subskrypcji platformy Azure. Dowiedz się, jak utworzyć obszar roboczy usługi Log Analytics.

Wymagania dotyczące licencjonowania

Korzystanie z tej funkcji wymaga dzierżawy Azure AD — wersja Premium P1 lub P2. Typ licencji dzierżawy można znaleźć na stronie Przegląd w usłudze Azure Active Directory.

Informacje o dzierżawie

Jeśli chcesz wiedzieć, jak długo dane aktywności są przechowywane w dzierżawie Premium, zobacz: Jak długo Azure AD przechowywać dane?

Wysyłanie dzienników do usługi Azure Monitor

  1. Zaloguj się w witrynie Azure Portal.

  2. Wybierzpozycję Ustawienia diagnostyczneusługi Azure Active Directory> —>Dodaj ustawienie diagnostyczne. Możesz również wybrać pozycję Eksportuj ustawienia na stronie Dzienniki inspekcji lub Logowania, aby przejść do strony konfiguracji ustawień diagnostycznych .

  3. W menu Ustawienia diagnostyczne zaznacz pole wyboru Wyślij do obszaru roboczego usługi Log Analytics , a następnie wybierz pozycję Konfiguruj.

  4. Wybierz obszar roboczy usługi Log Analytics, do którego chcesz wysłać dzienniki, lub utwórz nowy obszar roboczy w podanym oknie dialogowym.

  5. Wykonaj dowolne lub wszystkie następujące czynności:

    • Aby wysłać dzienniki inspekcji do obszaru roboczego usługi Log Analytics, zaznacz pole wyboru Dzienniki inspekcji .
    • Aby wysłać dzienniki logowania do obszaru roboczego usługi Log Analytics, zaznacz pole wyboru SignInLogs (Dzienniki logowania ).
    • Aby wysłać dzienniki logowania użytkownika nieinterakcyjnego do obszaru roboczego usługi Log Analytics, zaznacz pole wyboru NonInteractiveUserSignInLogs .
    • Aby wysłać dzienniki logowania jednostki usługi do obszaru roboczego usługi Log Analytics, zaznacz pole wyboru ServicePrincipalSignInLogs .
    • Aby wysłać dzienniki logowania tożsamości zarządzanej do obszaru roboczego usługi Log Analytics, zaznacz pole wyboru ManagedIdentitySignInLogs .
    • Aby wysłać dzienniki aprowizacji do obszaru roboczego usługi Log Analytics, zaznacz pole wyboru ProvisioningLogs (AprowizacjaLogy ).
    • Aby wysłać dzienniki logowania Active Directory Federation Services (ADFS) do obszaru roboczego usługi Log Analytics, wybierz pozycję ADFSSignInLogs.
    • Aby wysłać dzienniki ryzykownych użytkowników do obszaru roboczego usługi Log Analytics, zaznacz pole wyboru RiskyUsers . (publiczna wersja zapoznawcza)
    • Aby wysyłać dzienniki wykrywania ryzyka do obszaru roboczego usługi Log Analytics, zaznacz pole wyboru UserRiskEvents . (publiczna wersja zapoznawcza)
  6. Wybierz pozycję Zapisz, aby zapisać ustawienie.

    Ustawienia diagnostyki

  7. Po około 15 minutach sprawdź, czy zdarzenia są przesyłane strumieniowo do obszaru roboczego usługi Log Analytics.

Następne kroki