Log Analytics ile Microsoft Entra etkinlik günlüklerini analiz etme

Microsoft Entra etkinlik günlüklerini Azure İzleyici günlükleriyle tümleştirdikten sonra ortamınızla ilgili içgörüler elde etmek için Log Analytics ve Azure İzleyici günlüklerinin gücünü kullanabilirsiniz.

  • Microsoft Entra oturum açma günlüklerinizi Bulut için Microsoft Defender tarafından yayımlanan güvenlik günlükleri ile karşılaştırın.

  • Azure Uygulaması Insights'taki uygulama performansı verilerini ilişkilendirerek uygulamanızın oturum açma sayfasındaki performans sorunlarını giderin.

  • Ortamınızdaki tehditleri algılamak için Kimlik Koruması riskli kullanıcıları ve risk algılama günlüklerini analiz edin.

Bu makalede Log Analytics çalışma alanınızdaki Microsoft Entra etkinlik günlüklerini analiz etme açıklanır.

Roller ve lisanslar

Log Analytics ile etkinlik günlüklerini analiz etmek için şunları yapmanız gerekir:

  • Premium P1 lisansına sahip bir Microsoft Entra kiracısı
  • Log Analytics çalışma alanı ve bu çalışma alanına erişim
  • Azure İzleyici ve Microsoft Entra kimliği için uygun roller

Log Analytics çalışma alanı

Log Analytics çalışma alanı oluşturmanız gerekir. Log Analytics çalışma alanlarına erişimi belirleyen faktörlerin bir bileşimi vardır. Çalışma alanı ve verileri gönderen kaynaklar için doğru rollere ihtiyacınız vardır.

Daha fazla bilgi için bkz . Log Analytics çalışma alanlarına erişimi yönetme.

Azure İzleyici rolleri

Azure İzleyici, izleme verilerini görüntülemek ve izleme ayarlarını düzenlemek için iki yerleşik rol sağlar. Azure rol tabanlı erişim denetimi (RBAC), benzer erişim izni veren iki Log Analytics yerleşik rolü de sağlar.

  • Görünüm:

    • İzleme Okuyucusu
    • Log Analytics Okuyucusu
  • Ayarları görüntüleme ve değiştirme:

    • İzleme Katkıda Bulunanı
    • Log Analytics Katkıda Bulunan

Azure İzleyici yerleşik rolleri hakkında daha fazla bilgi için bkz. Azure İzleyici'de roller, izinler ve güvenlik.

Log Analytics RBAC rolleri hakkında daha fazla bilgi için bkz. Azure yerleşik rolleri

Microsoft Entra rolleri

Salt okunur erişim, çalışma kitabının içinde Microsoft Entra kimlik günlüğü verilerini görüntülemenize, Log Analytics'ten veri sorgulamanıza veya Microsoft Entra yönetim merkezinde günlükleri okumanıza olanak tanır. Güncelleştirme erişimi, log analytics çalışma alanına Microsoft Entra veri göndermek için tanılama ayarları oluşturma ve düzenleme özelliği ekler.

  • Okuma:

    • Rapor Okuyucusu
    • Güvenlik Okuyucusu
    • Genel Okuyucu
  • Güncelleştirme:

    • Güvenlik Yöneticisi

Microsoft Entra yerleşik roller hakkında daha fazla bilgi için bkz. yerleşik rolleri Microsoft Entra.

Log Analytics'e erişme

Microsoft Entra Kimliği Log Analytics'i görüntülemek için etkinlik günlüklerinizi zaten Microsoft Entra kimliğinden Log Analytics çalışma alanına gönderiyor olmanız gerekir. Bu işlem, Etkinlik günlüklerini Azure İzleyici ile tümleştirme makalesinde ele alınmıştır.

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz farklılık gösterebilir.

  1. Microsoft Entra yönetim merkezinde en azından Rapor Okuyucusu olarak oturum açın.

  2. Kimlik>İzleme & sistem durumu>Log Analytics'e göz atın. Varsayılan arama sorgusu çalıştırılır.

    Varsayılan sorgu

  3. Günlükle ilgili sorguların listesini görüntülemek için LogManagement kategorisini genişletin.

  4. Açıklamayı ve diğer yararlı ayrıntıları görüntülemek için sorgu adını seçin veya üzerine gelin.

    Sorgunun ayrıntılarının ekran görüntüsü.

  5. Şemayı görüntülemek için listeden bir sorguyu genişletin.

    Sorgu şemasının ekran görüntüsü.

Etkinlik günlüklerini sorgulama

Log Analytics çalışma alanına yönlendirilen etkinlik günlüklerine yönelik sorgular çalıştırabilirsiniz. Örneğin, geçen haftanın en çok oturum açma sayısına sahip uygulamaların listesini almak için aşağıdaki sorguyu girin ve Çalıştır düğmesini seçin.

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

Geçen haftanın en önemli denetim olaylarını almak için aşağıdaki sorguyu kullanın:

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Uyarıları ayarlama

Ayrıca bir sorguda uyarılar da ayarlayabilirsiniz. Bir sorguyu çalıştırdıktan sonra + Yeni uyarı kuralı düğmesi etkin hale gelir.

  1. Log Analytics'te + Yeni uyarı kuralı düğmesini seçin.

    • Kural oluşturma işlemi, kuralın ölçütlerini özelleştirmek için birkaç bölüm içerir.
    • Uyarı kuralları oluşturma hakkında daha fazla bilgi için Koşul adımlarından başlayarak Azure İzleyici belgelerinden Yeni uyarı kuralı oluşturma bölümüne bakın.

    Log Analytics'teki

  2. Eylemler sekmesinde, sinyal oluştuğunda uyarıyı alacak Eylem Grubunu seçin.

    • Ekibinize e-posta veya kısa mesaj yoluyla bildirmeyi seçebilir veya web kancalarını, Azure işlevlerini veya mantıksal uygulamaları kullanarak eylemi otomatikleştirebilirsiniz.
    • Azure portal uyarı grupları oluşturma ve yönetme hakkında daha fazla bilgi edinin.
  3. Ayrıntılar sekmesinde uyarı kuralına bir ad verin ve bunu bir abonelik ve kaynak grubuyla ilişkilendirin.

  4. Tüm gerekli ayrıntıları yapılandırdıktan sonra Gözden Geçir + Oluştur düğmesini seçin.

Günlükleri çözümlemek için çalışma kitaplarını kullanma

Microsoft Entra çalışma kitapları denetim, oturum açma ve sağlama olaylarını içeren yaygın senaryolarla ilgili çeşitli raporlar sağlar. Ayrıca, önceki bölümde açıklanan adımları kullanarak raporlarda sağlanan verilerden herhangi biri hakkında da uyarı alabilirsiniz.

  • Sağlama analizi: Bu çalışma kitabı, denetim sağlama etkinliğiyle ilgili raporları gösterir. Etkinlikler arasında sağlanan yeni kullanıcıların sayısı, sağlama hataları, güncelleştirilen kullanıcı sayısı, güncelleştirme hataları, sağlaması kaldırılan kullanıcı sayısı ve buna karşılık gelen hatalar bulunabilir. Daha fazla bilgi için bkz. Sağlamanın Azure İzleyici günlükleriyle nasıl tümleştirdiğini anlama.

  • Oturum Açma Olayları: Bu çalışma kitabı, uygulamaya, kullanıcıya, cihaza göre oturum açma işlemleri ve zaman içinde oturum açma sayısını izleyen bir özet görünümü gibi oturum açma etkinliğini izlemeyle ilgili en ilgili raporları gösterir.

  • Koşullu Erişim içgörüleri: Koşullu Erişim içgörüleri ve raporlama çalışma kitabı, Koşullu Erişim ilkelerinin kuruluşunuzdaki etkisini zaman içinde anlamanıza olanak tanır. Daha fazla bilgi için bkz . Koşullu Erişim içgörüleri ve raporlama.

Sonraki adımlar