Analise os logs de atividade do Microsoft Entra com o Log Analytics

Depois de integrar os logs de atividade do Microsoft Entra com os logs do Azure Monitor, você pode usar o poder do Log Analytics e dos logs do Azure Monitor para obter informações sobre seu ambiente.

• Compare seus logs de entrada do Microsoft Entra com os logs de segurança publicados pelo Microsoft Defender for Cloud.

• Solucione problemas de gargalos de desempenho na página de entrada do seu aplicativo correlacionando dados de desempenho do aplicativo do Azure Application Insights.

• Analise os logs de usuários arriscados e deteções de risco do Identity Protection para detetar ameaças em seu ambiente.

Este artigo descreve como analisar os logs de atividade do Microsoft Entra no espaço de trabalho do Log Analytics.

Pré-requisitos

Para analisar os registros de atividades com o Log Analytics, você precisa:

• Um locatário do Microsoft Entra com uma licença Premium P1
• Um espaço de trabalho do Log Analytics e acesso a esse espaço de trabalho
• As funções apropriadas para o Azure Monitor e o Microsoft Entra ID

Área de trabalho do Log Analytics

Você deve criar um espaço de trabalho do Log Analytics. Há vários fatores que determinam o acesso aos espaços de trabalho do Log Analytics. Você precisa das funções certas para o espaço de trabalho e os recursos que enviam os dados.

Para obter mais informações, consulte Gerenciar o acesso a espaços de trabalho do Log Analytics.

Funções do Azure Monitor

O Azure Monitor fornece duas funções internas para exibir dados de monitoramento e editar configurações de monitoramento. O RBAC (controle de acesso baseado em função) do Azure também fornece duas funções internas do Log Analytics que concedem acesso semelhante.

• Visão:

  • Leitor de Monitorização
  • Leitor do Log Analytics

• Visualize e modifique as configurações:

  • Contribuidor de Monitorização
  • Contribuidor do Log Analytics

Para obter mais informações sobre as funções internas do Azure Monitor, consulte Funções, permissões e segurança no Azure Monitor.

Para obter mais informações sobre as funções RBAC do Log Analytics, consulte Funções internas do Azure

Funções do Microsoft Entra

O acesso somente leitura permite visualizar dados de log do Microsoft Entra ID dentro de uma pasta de trabalho, consultar dados do Log Analytics ou ler logs no centro de administração do Microsoft Entra. O acesso à atualização adiciona a capacidade de criar e editar configurações de diagnóstico para enviar dados do Microsoft Entra para um espaço de trabalho do Log Analytics.

• Read (Ler):

  • Leitor de Relatórios
  • Leitor de Segurança
  • Leitor Global

• Atualização:

  • Administrador de Segurança

Para obter mais informações sobre as funções internas do Microsoft Entra, consulte Funções internas do Microsoft Entra.

Acessar o Log Analytics

Para exibir o Microsoft Entra ID Log Analytics, você já deve estar enviando seus logs de atividades do Microsoft Entra ID para um espaço de trabalho do Log Analytics. Esse processo é abordado no artigo Como integrar logs de atividade com o Azure Monitor .

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Relatórios.

2. Navegue até Monitoramento de identidades>& análise de log de integridade.> Uma consulta de pesquisa padrão é executada.

   

3. Expanda a categoria LogManagement para exibir a lista de consultas relacionadas ao log.

4. Selecione ou passe o mouse sobre o nome de uma consulta para exibir uma descrição e outros detalhes úteis.

   

5. Expanda uma consulta da lista para exibir o esquema.

   

Consultar registos de atividades

Você pode executar consultas nos logs de atividades que estão sendo roteados para um espaço de trabalho do Log Analytics. Por exemplo, para obter uma lista de aplicativos com mais entradas da semana passada, digite a seguinte consulta e selecione o botão Executar .

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

Para obter os principais eventos de auditoria da última semana, use a seguinte consulta:

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Configurar alertas

Você também pode configurar alertas em uma consulta. Depois de executar uma consulta, o botão + Nova regra de alerta fica ativo.

1. No Log Analytics, selecione o botão + Nova regra de alerta.

   • O processo Criar uma regra envolve várias seções para personalizar os critérios da regra .
   • Para obter mais informações sobre como criar regras de alerta, consulte Criar uma nova regra de alerta na documentação do Azure Monitor, começando com as etapas de Condição .

   

2. Na guia Ações, selecione o Grupo de Ação que deve receber o alerta quando o sinal ocorrer.

   • Você pode optar por notificar sua equipe por email ou mensagem de texto, ou pode automatizar a ação usando webhooks, funções do Azure ou aplicativos lógicos.
   • Saiba mais sobre como criar e gerenciar grupos de alertas no portal do Azure.

3. Na guia Detalhes, dê um nome à regra de alerta e associe-a a uma assinatura e a um grupo de recursos.

4. Depois de configurar todos os detalhes necessários, selecione o botão Rever + Criar .

Usar pastas de trabalho para analisar logs

As pastas de trabalho do Microsoft Entra fornecem vários relatórios relacionados a cenários comuns que envolvem eventos de auditoria, entrada e provisionamento. Você também pode alertar sobre qualquer um dos dados fornecidos nos relatórios, usando as etapas descritas na seção anterior.

• Análise de provisionamento: esta pasta de trabalho mostra relatórios relacionados à atividade de provisionamento de auditoria. As atividades podem incluir o número de novos usuários provisionados, falhas de provisionamento, número de usuários atualizados, falhas de atualização, número de usuários desprovisionados e falhas correspondentes. Para obter mais informações, consulte Compreender como o provisionamento se integra aos logs do Azure Monitor.

• Eventos de entrada: esta pasta de trabalho mostra os relatórios mais relevantes relacionados ao monitoramento da atividade de entrada, como entradas por aplicativo, usuário, dispositivo e uma exibição resumida que acompanha o número de entradas ao longo do tempo.

• Informações sobre Acesso Condicional: A pasta de trabalho de relatórios e insights do Acesso Condicional permite que você compreenda o efeito das políticas de Acesso Condicional em sua organização ao longo do tempo. Para obter mais informações, consulte Insights e relatórios do Acesso Condicional.

Próximos passos

• Introdução às consultas nos logs do Azure Monitor
• Criar e gerenciar grupos de alertas no portal do Azure