使用 Log Analytics 來分析 Microsoft Entra 活動記錄

整合 Microsoft Entra 活動記錄與 Azure 監視器記錄之後，即可使用 Log Analytics 和 Azure 監視器記錄的強大功能來深入了解環境。

• 比較您的 Microsoft Entra 登入記錄與適用於雲端的 Microsoft Defender 所發佈的安全性記錄。

• 將 Azure Application Insights 中的應用程式效能資料相互關聯，以在應用程式的登入頁面上進行效能瓶頸的疑難排解。

• 分析「身分識別保護」有風險的使用者與風險偵測記錄，以偵測您環境中的威脅。

本文說明如何在 Log Analytics 工作區中分析 Microsoft Entra 活動記錄。

必要條件

若要使用 Log Analytics 分析活動記錄，您需要：

• 具有 Premium P1 授權的 Microsoft Entra 租用戶
• Log Analytics 工作區和該工作區的存取權
• 適用於 Azure 監視器 和 Microsoft Entra ID 的適當角色

Log Analytics 工作區

您必須建立 Log Analytics 工作區。 有數個因素可決定對 Log Analytics 工作區的存取。 您需要工作區的適當角色，以及傳送資料的資源。

如需詳細資訊，請參閱管理 Log Analytics 工作區的存取權。

Azure 監視器角色

Azure 監視器提供兩個內建角色來檢視監視資料和編輯監視設定。 Azure 角色型訪問控制 (RBAC) 也提供兩個授與類似存取權的 Log Analytics 內建角色。

• 檢視：

  • 監視讀取器
  • Log Analytics 讀者

• 檢視及修改設定：

  • 監視參與者
  • Log Analytics 參與者

如需 Azure 監視器內建角色的詳細資訊，請參閱 Azure 監視器中的角色、權限和安全性。

如需 Log Analytics RBAC 角色的詳細資訊，請參閱 Azure 內建角色

Microsoft Entra 角色

唯讀存取可讓您檢視活頁簿內的 Microsoft Entra ID 記錄資料、從 Log Analytics 查詢資料，或讀取 Microsoft Entra 系統管理中心的記錄。 更新存取可新增建立和編輯診斷設定，以將 Microsoft Entra 資料傳送至 Log Analytics 工作區。

• 讀取：

  • 報告讀取者
  • 安全性讀取者
  • 全域讀取者

• 更新：

  • 安全性系統管理員

如需 Microsoft Entra 內建角色的詳細資訊，請參閱 Microsoft Entra 內建角色。

存取 Log Analytics

若要檢視 Microsoft Entra ID Log Analytics，您必須已將活動記錄從 Microsoft Entra ID 傳送至 Log Analytics 工作區。 此流程涵蓋在如何整合活動記錄與 Azure 監視器一文中。

提示

根據您開始使用的入口網站，本文中的步驟可能略有不同。

1. 以至少報表讀者身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別]> [監視和健康情況]> [Log Analytics]。 隨即會執行預設的搜尋查詢。

   

3. 展開 [LogManagement] 類別，以檢視記錄相關查詢的清單。

4. 選取或將滑鼠停留在查詢名稱上，以檢視描述和其他有用的詳細資料。

   

5. 從清單中展開查詢以檢視結構描述。

   

查詢活動記錄

您可以對已路由至 Log Analytics 工作區的活動記錄執行查詢。 例如，若要取得上週最多登入的應用程式清單，請輸入下列查詢，然後選取 [執行] 按鈕。

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

若要取得過去一週發生機率最高的前幾名稽核事件，請使用下列查詢：

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

設定警示

您也可以在查詢上設定警示。 執行查詢之後，[+ 新增警示規則] 按鈕會變成作用中。

1. 從 Log Analytics 中，選取 [+ 新增警示規則] 按鈕。

   • 建立規則流程與數個章節有關，可自訂規則的準則。
   • 如需建立警示規則的詳細資訊，請參閱從 Azure 監視器文件建立新的警示規則，從條件步驟開始。

   

2. 在 [動作] 索引標籤上，選取應在訊號發生時接收警示的 [動作群組]。

   • 您可以選擇透過電子郵件或文字訊息來通知團隊，或者使用 Webhook、Azure Functions 或 Logic Apps 來自動化動作。
   • 深入了解在 Azure 入口網站中建立及管理警示群組。

3. 在 [詳細資料] 索引標籤上，提供警示規則的名稱，並產生其與訂用帳戶和資源群組的關聯。

4. 設定所有必要的詳細資料之後，請選取 [檢閱 + 建立] 按鈕。

使用活頁簿來分析記錄

Microsoft Entra 活頁簿提供與稽核、登入和佈建事件等常見案例相關的一些報告。 您也可以使用上一節中所述的步驟，在報告所提供的任何資料上設定警示。

• 佈建分析：此活頁簿顯示與稽核佈建活動相關的報告。 活動可能包含佈建的新使用者數目、佈建失敗次數、更新的使用者數目、更新失敗次數，取消佈建的使用者數目和對應的失敗次數。 如需詳細資訊，請參閱了解佈建如何與 Azure 監視器記錄整合。

• 登入事件：此活頁簿會顯示與監視登入活動相關性最高的報表，例如依應用程式、使用者、裝置顯示的登入，以及追蹤一段時間內登入次數的摘要檢視。

• 條件式存取深入解析：條件式存取深入解析和報告活頁簿，可讓您了解條件式存取原則在一段時間內對組織的影響。 如需詳細資訊，請參閱條件式存取見解和報告。

下一步

• 開始使用 Azure 監視器記錄中的查詢
• 在 Azure 入口網站中建立和管理警示群組