为了帮助你了解Microsoft Entra 域服务托管域的状态,可以启用安全审核事件。 然后,可以使用 Azure Monitor 工作簿查看这些安全审核事件,这些工作簿将文本、分析查询和参数合并到丰富的交互式报表中。 域服务包括用于安全概述的工作簿模板和帐户活动,可用于深入了解审核事件和管理环境。
本文介绍如何使用 Azure Monitor 工作簿查看域服务中的安全审核事件。
在您开始之前
若要完成本文,需要以下资源和权限:
- 有效的 Azure 订阅。
- 如果你没有 Azure 订阅,请创建一个帐户。
- 与您的订阅关联的 Microsoft Entra 租户,可以是与本地目录同步的,也可以是仅限于云端的目录。
- 在 Microsoft Entra 租户中启用和配置的 Microsoft Entra 域服务托管域。
- 请根据需要完成创建并配置 Microsoft Entra 域服务托管域的教程。
- 为托管域启用的安全审核事件,可将数据流式传输到 Log Analytics 工作区。
- 如果需要, 请为域服务启用安全审核。
Azure Monitor 工作簿概述
在域服务中启用安全审核事件时,很难分析和识别托管域中的问题。 Azure Monitor 允许聚合这些安全审核事件并查询数据。 使用 Azure Monitor 工作簿,可以直观显示此数据,以便更快、更轻松地识别问题。
工作簿模板是专为由多个用户和团队灵活重复使用而设计的特选报表。 打开工作簿模板时,将加载 Azure Monitor 环境中的数据。 可以使用模板而不影响组织中的其他用户,并且可以基于模板保存自己的工作簿。
域服务包含以下两个工作簿模板:
- 安全概述报告
- 帐户活动报告
有关如何编辑和管理工作簿的详细信息,请参阅 Azure Monitor 工作簿概述。
使用安全概述报表工作簿
为了帮助你更好地了解使用情况和识别潜在的安全威胁,安全概述报告总结了登录数据,并识别你可能想要检查的帐户。 可以查看特定日期范围内的事件,并向下钻取到特定的登录事件,例如密码尝试错误或帐户被禁用的位置。
若要访问安全概述报表的工作簿模板,请完成以下步骤:
在 Azure 门户中搜索并选择 Microsoft Entra 域服务 。
选择托管域,例如 aaddscontoso.com
从左侧的菜单中选择“监视”>“工作簿”
选择 “安全概述报告”。
从工作簿顶部的下拉菜单中,选择 Azure 订阅,然后选择 Azure Monitor 工作区。
选择 时间范围,如 过去 7 天,如以下示例屏幕截图所示:
还可以更改 磁贴视图 和 图表视图 选项,以便根据需要分析和可视化数据。
若要深入查看特定的事件类型,请选择一张“登录结果”卡片,比如说“帐户锁定”,如以下示例所示:
安全概述报表在图表下方的下半部分细分所选的活动类型。 可以按右侧涉及的用户名进行筛选,如以下示例报表所示:
使用帐户活动报告工作簿
为了帮助你排查特定用户帐户的问题,帐户活动报告会分解详细的审核事件日志信息。 可以审查在登录时提供的错误用户名或密码以及登录尝试的来源。
若要访问帐户活动报表的工作簿模板,请完成以下步骤:
在 Azure 门户中搜索并选择 Microsoft Entra 域服务 。
选择托管域,例如 aaddscontoso.com
从左侧的菜单中选择“监视”>“工作簿”
选择 “帐户活动报告”。
从工作簿顶部的下拉菜单中,选择 Azure 订阅,然后选择 Azure Monitor 工作区。
选择 时间范围,例如 过去 30 天,然后希望 磁贴视图 如何表示数据。
可以按 帐户用户名(如 felix)进行筛选,如以下示例报表所示:
图表下方的区域显示单个登录事件以及活动结果和源工作站等信息。 此信息可以帮助确定可能导致帐户锁定或指示潜在攻击的登录事件的重复来源。
与安全概述报表一样,可以向下钻取到报表顶部的不同磁贴,以便根据需要可视化和分析数据。
保存和编辑工作簿
域服务提供的两个模板工作簿是进行您自己的数据分析的一个很好的起点。 如果需要在数据查询和调查中更精细,可以保存自己的工作簿并编辑查询。
- 若要保存其中一个工作簿模板的副本,请选择“ 编辑 > 另存为 > 共享报表”,然后提供一个名称并保存它。
- 从自己的模板副本中,选择 “编辑 ”以进入编辑模式。 可以选择报表的任何部分旁边的蓝色 “编辑” 按钮并对其进行更改。
Azure Monitor 工作簿中的所有图表和表都使用 Kusto 查询生成。 有关创建自己的查询的详细信息,请参阅 Azure Monitor 日志查询 和 Kusto 查询教程。
后续步骤
如果需要调整密码和锁定策略,请参阅 托管域上的密码和帐户锁定策略。