Tutorial: Configurar um espaço de trabalho de analítica de log

Neste tutorial, ficará a saber como:

  • Configure um espaço de trabalho de análise de registo para a sua auditoria e registos de login
  • Executar consultas usando a língua de consulta kusto (KQL)
  • Criar uma regra de alerta que envia alertas quando uma conta específica é usada
  • Crie um livro personalizado usando o modelo de arranque rápido
  • Adicione uma consulta a um modelo de livro existente

Pré-requisitos

  • Uma assinatura Azure com pelo menos um administrador licenciado P1. Se não tiver uma assinatura Azure, pode inscrever-se para um teste gratuito.

  • Um inquilino do Azure AD.

  • Um utilizador que seja administrador global ou administrador de segurança do inquilino do Azure AD.

Familiarize-se com estes artigos:

Configure um espaço de trabalho

Este procedimento descreve como configurar um espaço de trabalho de análise de registo para a sua auditoria e registos de inscrição. Configurar um espaço de trabalho de análise de log é composto por dois passos principais:

  1. Criação de um espaço de trabalho de analítica de log
  2. Definição de definições de diagnóstico

Para configurar um espaço de trabalho:

  1. Inicie sessão no Portal do Azure como administrador global.

  2. Procure espaços de trabalho de análise de registo.

    Search resources services and docs

  3. Na página de espaços de trabalho de analítica de registo, clique em Adicionar.

    Screenshot shows the Add button in the log analytics workspaces page.

  4. Na página do espaço de trabalho Create Log Analytics , execute os seguintes passos:

    Create log analytics workspace

    1. Selecione a sua subscrição.

    2. Selecione um grupo de recursos.

    3. Na caixa de texto Name , digite um nome (por exemplo: MytestWorkspace1).

    4. Selecione a sua região.

  5. Clique em Rever + Criar.

    Review and create

  6. Clique em Criar e aguarde que a implementação seja bem sucedida. Poderá ter de refrescar a página para ver o novo espaço de trabalho.

    Create

  7. Procure Azure Active Directory.

    Screenshot shows Azure Active Directory in Azure search.

  8. Na secção de Monitorização , clique na definição de Diagnóstico.

    Screenshot shows Diagnostic settings selected from Monitoring.

  9. Na página de definições de Diagnóstico , clique na definição de diagnóstico de adicionar.

    Add diagnostic setting

  10. Na página de definição de Diagnóstico , execute os seguintes passos:

    Select diagnostics settings

    1. Em detalhes de categoria, selecione AuditLogs e SigninLogs.

    2. Em detalhes do Destino, selecione Enviar para Registar Analytics e, em seguida, selecione o seu novo espaço de trabalho de análise de registo.

    3. Clique em Guardar.

Executar consultas

Este procedimento mostra como executar consultas usando a Língua de Consulta de Kusto (KQL).

Para fazer uma consulta:

  1. Inicie sessão no Portal do Azure como administrador global.

  2. Procure Azure Active Directory.

    Screenshot shows Azure Active Directory in Azure search.

  3. Na secção 'Monitorização' , clique em 'Registares'.

  4. Na página 'Logs ', clique em 'Iniciar'.

  5. Na caixa de texto *Pesquisar , digite a sua consulta.

  6. Clique em Run (Executar).

Exemplos de consulta KQL

Pegue 10 entradas aleatórias a partir dos dados de entrada:

SigninLogs | take 10

Veja os sign-ins onde o Acesso Condicional foi um sucesso

SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Conte quantos sucessos houve

SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Contagem agregada de insusagens bem sucedidas por utilizador por dia:

SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

Ver quantas vezes um utilizador faz uma determinada operação num determinado período de tempo:

AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Dinamizar os resultados no nome da operação

AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

Misture auditoria e sinal em registos usando uma junção interior:

AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

Ver número de sinais por tipo de aplicação do cliente:

SigninLogs | summarize count() by ClientAppUsed

Conte as entradas de sinalização de dia:

SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Faça 5 entradas aleatórias e projete as colunas que deseja ver nos resultados:

SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Pegue o top 5 em ordem descendente e projete as colunas que deseja ver

SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Criar uma nova coluna combinando os valores a duas outras colunas:

SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Criar uma regra de alerta

Este procedimento mostra como enviar alertas quando a conta breakglass é utilizada.

Para criar uma regra de alerta:

  1. Inicie sessão no Portal do Azure como administrador global.

  2. Procure Azure Active Directory.

    Screenshot shows Azure Active Directory in Azure search.

  3. Na secção 'Monitorização' , clique em 'Registares'.

  4. Na página 'Logs ', clique em 'Iniciar'.

  5. Na caixa de texto procurar , escreva: SigninLogs |where UserDisplayName contains "BreakGlass" | project UserDisplayName

  6. Clique em Run (Executar).

  7. Na barra de ferramentas, clique em Nova regra de alerta.

    New alert rule

  8. Na página 'Criar' regra de alerta , verifique se o âmbito está correto.

  9. Em Condição, clique: Sempre que a pesquisa média de registo personalizado for maior do que logic undefined a contagem

    Default condition

  10. Na página lógica de sinal configurado , na secção lógica alerta , execute os seguintes passos:

    Alert logic

    1. Como Baseado em, selecione Número de resultados.

    2. Como Operador, selecione Maior do que.

    3. Como valor limiar, selecione 0.

  11. Na página lógica de sinal de configuração , na secção Avaliada com base na secção, execute os seguintes passos:

    Evaluated based on

    1. Como Period (em minutos), selecione 5.

    2. Como Frequência (em minutos), selecione 5.

    3. Clique em Concluído.

  12. Em grupo de ação, clique em Select action group.

    Action group

  13. No Select um grupo de ação para anexar a esta regra de alerta, clique em Criar grupo de ação.

    Create action group

  14. Na página de grupo de ação Create , execute os seguintes passos:

    Instance details

    1. Na caixa de texto do nome do grupo Action , digite O meu grupo de ação.

    2. Na caixa de texto do nome do Visor , digite a minha ação.

    3. Clique em Rever + criar.

    4. Clique em Criar.

  15. Em ação personalizada, execute os seguintes passos:

    Customize actions

    1. Selecione e-mail sujeito.

    2. Na caixa de texto da linha de assunto , escreva: Breakglass account has been used

  16. Em detalhes da regra de alerta, execute os seguintes passos:

    Alert rule details

    1. Na caixa de texto do nome da regra de alerta , escreva: Breakglass account

    2. Na caixa de texto Descrição , escreva: Your emergency access account has been used

  17. Clique em Criar regra de alerta.

Criar um livro personalizado

Este procedimento mostra como criar um novo livro utilizando o modelo de arranque rápido.

  1. Inicie sessão no Portal do Azure como administrador global.

  2. Procure Azure Active Directory.

    Screenshot shows Azure Active Directory in Azure search.

  3. Na secção de Monitorização , clique em Livros de Trabalho.

    Screenshot shows Monitoring in the Azure portal menu with Workbooks selected.

  4. Na secção Quickstart , clique em Empty.

    Quick start

  5. Clique em Adicionar.

    Add workbook

  6. Clique em Adicionar texto.

    Add text

  7. Na caixa de texto, escreva: # Client apps used in the past weeke, em seguida, clique em Edição Feita.

    Workbook text

  8. No novo livro, clique em Adicionar e, em seguida, clique em Adicionar consulta.

    Add query

  9. Na caixa de texto de consulta, escreva: SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed

  10. Clique em 'Executar Consulta'.

    Screenshot shows the Run Query button.

  11. Na barra de ferramentas, em Visualização, clique na tabela Pie.

    Pie chart

  12. Clique em Editar.

    Done editing

Adicione uma consulta a um modelo de livro

Este procedimento mostra como adicionar uma consulta a um modelo de livro existente. O exemplo baseia-se numa consulta que mostra a distribuição do sucesso de acesso condicional a falhas.

  1. Inicie sessão no Portal do Azure como administrador global.

  2. Procure Azure Active Directory.

    Screenshot shows Azure Active Directory in Azure search.

  3. Na secção de Monitorização , clique em Livros de Trabalho.

    Screenshot shows Monitoring in the menu with Workbooks selected.

  4. Na secção de acesso condicional , clique em Insights de Acesso Condicional e Relatórios.

    Screenshot shows the Conditional Access Insights and Reporting option.

  5. Na barra de ferramentas, clique em Editar.

    Screenshot shows the Edit button.

  6. Na barra de ferramentas, clique nos três pontos, em seguida, Adicione e, em seguida, Adicione consulta.

    Add workbook query

  7. Na caixa de texto de consulta, escreva: SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus

  8. Clique em 'Executar Consulta'.

    Screenshot shows the Run Query button to run this query.

  9. Clique no intervalo de tempo e, em seguida, selecione Definir em consulta.

  10. Clique em Visualização e, em seguida, selecione gráfico de barras.

  11. Clique em Definições Avançadas, como título de gráfico, escreva Conditional Access status over the last 20 dayse, em seguida, clique em Edição Feita.

    Set chart title

Passos seguintes

Avance para o próximo artigo para aprender a gerir as identidades dos dispositivos utilizando o portal Azure.