Анализ журналов действий Microsoft Entra с помощью Log Analytics

  • Статья

После интеграции журналов действий Microsoft Entra с журналами Azure Monitor можно использовать возможности Log Analytics и журналов Azure Monitor для получения аналитических сведений о своей среде.

  • Сравните журналы входа Microsoft Entra с журналами безопасности, опубликованными Microsoft Defender for Cloud.

  • устранять узкие места производительности на странице входа в приложение, сопоставляя данные о производительности приложений из Azure Application Insights.

  • Проанализируйте журналы пользователей, совершающих рискованные действия защиты идентификации, и журналы обнаружения рисков, чтобы обнаружить угрозы в вашей среде.

В этой статье описывается анализ журналов действий Microsoft Entra в рабочей области Log Analytics.

Роли и лицензии

Чтобы проанализировать журналы действий с помощью Log Analytics, вам потребуется:

  • Клиент Microsoft Entra с лицензией Premium P1
  • Рабочая область Log Analytics и доступ к ней
  • Соответствующие роли для Azure Monitor и идентификатор Microsoft Entra

Рабочая область Log Analytics

Необходимо создать рабочую область Log Analytics. Существует сочетание факторов, определяющих доступ к рабочим областям Log Analytics. Вам нужны правильные роли для рабочей области и ресурсов, отправляя данные.

Дополнительные сведения см. в статье Управление доступом к рабочим областям Log Analytics.

Роли Azure Monitor

Azure Monitor предоставляет две встроенные роли для просмотра данных мониторинга и изменения параметров мониторинга. Управление доступом на основе ролей Azure (RBAC) также предоставляет две встроенные роли Log Analytics, которые предоставляют аналогичный доступ.

  • Вид.

    • Роль Monitoring Reader
    • читатель Log Analytics;

  • Просмотр и изменение параметров:

    • Monitoring Contributor
    • участник Log Analytics.

Дополнительные сведения о встроенных ролях Azure Monitor см. в статье Роли, разрешения и безопасность в Azure Monitor.

Дополнительные сведения о ролях RBAC Log Analytics см. в статье Встроенные роли Azure.

роли Microsoft Entra

Доступ только для чтения позволяет просматривать данные журнала идентификаторов Microsoft Entra в книге, запрашивать данные из Log Analytics или читать журналы в Центре администрирования Microsoft Entra. Доступ к обновлениям позволяет создавать и изменять параметры диагностики для отправки Microsoft Entra данных в рабочую область Log Analytics.

  • Чтение.

    • Читатель отчетов
    • Читатель сведений о безопасности
    • Глобальный читатель

  • Обновление:

    • Администратор безопасности

Дополнительные сведения о Microsoft Entra встроенных ролей см. в разделе Microsoft Entra встроенных ролей.

Доступ к Log Analytics

Чтобы просмотреть идентификатор Microsoft Entra Log Analytics, необходимо отправлять журналы действий из идентификатора Microsoft Entra в рабочую область Log Analytics. Этот процесс рассматривается в статье Интеграция журналов действий с Azure Monitor .

Совет

Действия, описанные в этой статье, могут немного отличаться в зависимости от того, с чего начинается портал.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве читателя отчетов.

  2. Перейдите в разделеМониторинг &удостоверений> работоспособности >Log Analytics. Выполняется поисковый запрос по умолчанию.

    Запрос по умолчанию

  3. Разверните категорию LogManagement , чтобы просмотреть список запросов, связанных с журналами.

  4. Выберите или наведите указатель мыши на имя запроса, чтобы просмотреть описание и другие полезные сведения.

    Снимок экрана: сведения о запросе.

  5. Разверните запрос из списка, чтобы просмотреть схему.

    Снимок экрана: схема запроса.

Журналы действий с запросами

Вы можете выполнять запросы к журналам действий, которые направляются в рабочую область Log Analytics. Например, чтобы получить список приложений с наибольшим числом входов с прошлой недели, введите следующий запрос и нажмите кнопку Выполнить .

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc

Чтобы получить события аудита top за последнюю неделю, используйте следующий запрос.

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc

Настройка оповещений

Вы также можете настроить оповещения для запроса. После выполнения запроса кнопка + Новое правило генерации оповещений становится активной.

  1. В Log Analytics нажмите кнопку + Новое правило генерации оповещений .

    • Процесс создания правила включает несколько разделов для настройки критериев для правила.
    • Дополнительные сведения о создании правил генерации оповещений см. в статье Создание нового правила генерации оповещений из документации по Azure Monitor, начиная с шагов условия .

    Снимок экрана: кнопка

  2. На вкладке Действия выберите группу действий , которая будет получать оповещение при появлении сигнала.

    • Вы можете уведомлять свою команду по электронной почте или с помощью текстового сообщения, или вы можете автоматизировать действие с помощью веб-перехватчика, Функций Azure или приложений логики.
    • Дополнительные сведения см. в статье Создание групп действий и управление ими на портале Azure.

  3. На вкладке Сведения присвойте правилу генерации оповещений имя и свяжите его с подпиской и группой ресурсов.

  4. После настройки всех необходимых сведений нажмите кнопку Просмотр и создание .

Использование книг для анализа журналов

Microsoft Entra книги предоставляют несколько отчетов, связанных с распространенными сценариями аудита, входа и подготовки. Вы также можете создать оповещение о любых данных, представленных в отчетах, выполнив действия, описанные в предыдущем разделе.

  • Анализ подготовки. В этой книге показаны отчеты, связанные с аудитом действий по подготовке. Действия могут включать число новых подготовленных пользователей, сбои подготовки, число обновленных пользователей, сбои обновления, количество пользователей, отозванных и соответствующие сбои. Дополнительные сведения см. в статье Общие сведения о том, как подготовка интегрируется с журналами Azure Monitor.

  • События входа. В этой книге отображаются наиболее релевантные отчеты, связанные с мониторингом действий входа, таких как входы приложений, пользователей, устройств, а также сводное представление, отслеживающее количество входов с течением времени.

  • Аналитика условного доступа. Книга аналитики и отчетов условного доступа позволяет понять влияние политик условного доступа в организации с течением времени. Дополнительные сведения см. в статье Аналитика и отчеты условного доступа.

Дальнейшие действия