Integrera Microsoft Entra-loggar med Azure Monitor-loggar

Med hjälp av diagnostikinställningar i Microsoft Entra-ID kan du integrera loggar med Azure Monitor så att inloggningsaktiviteten och spårningsspåret för ändringar i klientorganisationen kan analyseras tillsammans med andra Azure-data.

Den här artikeln innehåller stegen för att integrera Microsoft Entra-loggar med Azure Monitor.

Använd integreringen av Microsoft Entra-aktivitetsloggar och Azure Monitor för att utföra följande uppgifter:

• Jämför dina Inloggningsloggar för Microsoft Entra med säkerhetsloggar som publicerats av Microsoft Defender för molnet.
• Felsöka flaskhalsar i prestanda på programmets inloggningssida genom att korrelera programprestandadata från Azure Application Insights.
• Analysera loggarna Identity Protection-riskfyllda användare och riskidentifieringar för att identifiera hot i din miljö.
• Identifiera inloggningar från program som fortfarande använder ADAL (Active Directory Authentication Library) för autentisering. Lär dig mer om ADAL-supportplanen.

Kommentar

Genom att integrera Microsoft Entra-loggar med Azure Monitor aktiveras automatiskt Microsoft Entra-dataanslutningen i Microsoft Sentinel.

Förutsättningar

Om du vill använda den här funktionen behöver du:

• En Azure-prenumeration Om du inte har en Azure-prenumeration kan du registrera dig för en kostnadsfri utvärdering.
• En Microsoft Entra ID P1- eller P2-klientorganisation.
• Säkerhetsadministratörsåtkomst för Microsoft Entra-klientorganisationen.
• En Log Analytics-arbetsyta i din Azure-prenumeration. Lär dig hur du skapar en Log Analytics-arbetsyta.
• Behörighet att komma åt data på en Log Analytics-arbetsyta. Mer information om de olika behörighetsalternativen och hur du konfigurerar behörigheter finns i Hantera åtkomst till loggdata och arbetsytor i Azure Monitor .

Skapa en Log Analytics-arbetsyta

Med en Log Analytics-arbetsyta kan du samla in data baserat på en mängd olika krav, till exempel geografisk plats för data, prenumerationsgränser eller åtkomst till resurser. Lär dig hur du skapar en Log Analytics-arbetsyta.

Letar du efter hur du konfigurerar en Log Analytics-arbetsyta för Azure-resurser utanför Microsoft Entra-ID? Läs artikeln Samla in och visa resursloggar för Azure Monitor.

Skicka loggar till Azure Monitor

Använd följande steg för att skicka loggar från Microsoft Entra-ID till Azure Monitor-loggar. Letar du efter hur du konfigurerar Log Analytics-arbetsyta för Azure-resurser utanför Microsoft Entra-ID? Läs artikeln Samla in och visa resursloggar för Azure Monitor.

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.

2. Bläddra till Inställningar för identitetsövervakning>och hälsodiagnostik.> Du kan också välja Exportera Inställningar från sidan Granskningsloggar eller Inloggningar.

3. Välj + Lägg till diagnostikinställning för att skapa en ny integrering eller välj Redigera inställning för en befintlig integrering.

4. Ange ett namn på diagnostikinställningen. Om du redigerar en befintlig integrering kan du inte ändra namnet.

5. Välj de loggkategorier som du vill strömma.

6. Under Målinformation markerar du kryssrutan Skicka till Log Analytics-arbetsyta .

7. Välj lämplig prenumerations - och Log Analytics-arbetsyta från menyerna.

8. Klicka på knappen Spara.

   

Om du inte ser loggar som visas i det valda målet efter 15 minuter loggar du ut och tillbaka till Azure för att uppdatera loggarna.

Nästa steg

• Analysera Microsoft Entra-aktivitetsloggar med Azure Monitor-loggar
• Lär dig mer om de datakällor som du kan analysera med Azure Monitor
• Automatisera skapandet av diagnostikinställningar med Azure Policy