Tutorial: Configurar um espaço de trabalho de análise de log

Artigo
02/14/2024

Neste tutorial, irá aprender a:

Configurar um espaço de trabalho do Log Analytics para seus logs de auditoria e entrada
Executar consultas usando a linguagem de consulta Kusto (KQL)
Criar uma pasta de trabalho personalizada usando o modelo de início rápido
Adicionar uma consulta a um modelo de pasta de trabalho existente

Pré-requisitos

Para analisar os logs de atividades com o Log Analytics, você precisa das seguintes funções e requisitos:

Monitoramento e licenciamento de integridade do Microsoft Entra
Um espaço de trabalho do Log Analytics e acesso a esse espaço de trabalho
A função apropriada para o Azure Monitor:
- Leitor de Monitorização
- Leitor do Log Analytics
- Contribuidor de Monitorização
- Contribuidor do Log Analytics
A função apropriada para o Microsoft Entra ID:
- Leitor de Relatórios
- Leitor de Segurança
- Leitor Global
- Administrador de Segurança

Familiarize-se com estes artigos:

Configurar o Log Analytics

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Este procedimento descreve como configurar um espaço de trabalho do Log Analytics para seus logs de auditoria e entrada. Para configurar um espaço de trabalho do Log Analytics, você precisa criar o espaço de trabalho e, em seguida, definir as configurações de diagnóstico.

Crie a área de trabalho

Entre no portal do Azure como pelo menos um Administrador de Segurança e Colaborador do Log Analytics.
Navegue até espaços de trabalho do Log Analytics.
Selecione Criar.
Na página Criar espaço de trabalho do Log Analytics, execute as seguintes etapas:
1. Selecione a sua subscrição.
2. Selecione um grupo de recursos.
3. Dê um nome ao seu espaço de trabalho.
4. Selecione a sua região.
Selecione Rever + Criar.
Selecione Criar e aguarde a implantação. Talvez seja necessário atualizar a página para ver o novo espaço de trabalho.

Configurar definições de diagnóstico

Para definir as configurações de diagnóstico, você precisa alternar para o centro de administração do Microsoft Entra para enviar as informações do log de identidade para o novo espaço de trabalho.

Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
Navegue até Monitoramento de identidade>& configurações de diagnóstico de integridade>.
Selecione Adicionar definição de diagnóstico.
Na página Configuração de diagnóstico , execute as seguintes etapas:
1. Em Detalhes da categoria, selecione AuditLogs e SigninLogs.
2. Em Detalhes do destino, selecione Enviar para o Log Analytics e selecione seu novo espaço de trabalho de análise de log.
3. Selecione Guardar.

Seus logs agora podem ser consultados usando a Kusto Query Language (KQL) no Log Analytics. Talvez seja necessário aguardar cerca de 15 minutos para que os logs sejam preenchidos.

Executar consultas no Log Analytics

Este procedimento mostra como executar consultas usando a Kusto Query Language (KQL).

Executar uma consulta

Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Relatórios.
Navegue até Monitoramento de identidades>& análise de log de integridade.>
Na caixa de texto Pesquisar , digite sua consulta e selecione Executar.

Exemplos de consulta KQL

Pegue 10 entradas aleatórias dos dados de entrada:

SigninLogs | take 10

Veja os logins em que o Acesso Condicional foi um sucesso:

SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Conte o número de sucessos:

SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Contagem agregada de entradas bem-sucedidas por usuário por dia:

SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

Veja quantas vezes um usuário faz uma determinada operação em um período de tempo específico:

AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Gire os resultados no nome da operação:

AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

Mescle Logs de auditoria e login usando uma associação interna:

AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

Ver o número de entradas por tipo de aplicação cliente:

SigninLogs | summarize count() by ClientAppUsed

Conte os inscrições por dia:

SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Pegue cinco entradas aleatórias e projete as colunas que deseja ver nos resultados:

SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Pegue o top 5 em ordem decrescente e projete as colunas que deseja ver:

SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Crie uma nova coluna combinando os valores em duas outras colunas:

SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Criar um livro personalizado

Este procedimento mostra como criar uma nova pasta de trabalho usando o modelo de início rápido.

Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
Navegue até Monitoramento de Identidade>& Pastas de Trabalho de integridade>.
Na seção Guia de início rápido, selecione Vazio.
No menu Adicionar, selecione Adicionar texto.
Na caixa de texto, insira # Client apps used in the past week e selecione Edição concluída.
Abaixo da janela de texto, abra o menu Adicionar e selecione Adicionar consulta.
Na caixa de texto da consulta, digite: SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed
Selecione Executar consulta.
Na barra de ferramentas, no menu Visualização, selecione Gráfico de pizza.
Selecione Edição concluída na parte superior da página.
Selecione o ícone Salvar para salvar sua pasta de trabalho.
Na caixa de diálogo exibida, insira um título, selecione um grupo de recursos e selecione Aplicar.

Adicionar uma consulta a um modelo de pasta de trabalho

Este procedimento mostra como adicionar uma consulta a um modelo de pasta de trabalho existente. O exemplo é baseado em uma consulta que mostra a distribuição do sucesso do acesso condicional para falhas.

Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Relatórios.
Navegue até Monitoramento de Identidade>& Pastas de Trabalho de integridade>.
Na seção Acesso Condicional, selecione Insights e Relatórios de Acesso Condicional.
Na barra de ferramentas, selecione Editar.
Na barra de ferramentas, selecione os três pontos ao lado do botão Editar, Adicionar e Adicionar consulta.
Na caixa de texto da consulta, digite: SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus
Selecione Executar consulta.
No menu Intervalo de tempo, selecione Definir na consulta.
No menu Visualização, selecione Gráfico de barras.
Abra as Configurações avançadas.
No campo Título do gráfico, insira Conditional Access status over the last 20 days e selecione Edição concluída.