Integration von Microsoft Entra ID-Protokollen in Azure Monitor-Protokolle

Mithilfe der Diagnoseeinstellungen in Microsoft Entra ID können Sie Protokolle in Azure Monitor integrieren, damit Ihre Anmeldeaktivität und das Überwachungsprotokoll von Änderungen in Ihrem Mandanten zusammen mit anderen Azure-Daten analysiert werden können.

Führen Sie die Schritte in diesem Artikel aus, um Microsoft Entra-Protokolle in Azure Monitor zu integrieren.

Durch Integration von Microsoft Entra-Aktivitätsprotokollen in Azure Monitor können Sie folgende Aufgaben ausführen:

• Vergleichen Ihrer Microsoft Entra-Anmeldeprotokolle mit von Microsoft Defender für Cloud veröffentlichten Sicherheitsprotokollen.
• Behandeln von Leistungsengpässen auf der Anmeldeseite Ihrer Anwendung durch Korrelieren von Anwendungsleistungsdaten aus Azure Application Insights
• Analysieren von Benutzern, die von Identity Protection als Risikobenutzer eingestuft werden, und Risikoerkennungsprotokollen, um Bedrohungen in Ihrer Umgebung zu erkennen
• Bestimmen von Anmeldungen über Anwendungen, die zur Authentifizierung weiterhin die Active Directory-Authentifizierungsbibliothek (Active Directory Authentication Library, ADAL) verwenden Erfahren Sie mehr über zum Plan für das Ende des Supports für ADAL.

Hinweis

Durch die Integration von Microsoft Entra-Protokollen in Azure Monitor wird der Microsoft Entra-Datenconnector in Microsoft Sentinel automatisch aktiviert.

Voraussetzungen

Sie benötigen Folgendes, um dieses Feature verwenden zu können:

• Ein Azure-Abonnement. Falls Sie nicht über ein Azure-Abonnement verfügen, können Sie sich für eine kostenlose Testversion registrieren.

• Ein Microsoft Entra ID P1- oder P2-Mandant.

• Mindestens die Rolle Sicherheitsadministrator im Microsoft Entra-Mandanten.

• Einen Log Analytics-Arbeitsbereich in Ihrem Azure-Abonnement. Informationen zum Erstellen eines Log Analytics-Arbeitsbereichs finden Sie hier.

• Berechtigung zum Zugriff auf Daten in einem Log Analytics-Arbeitsbereich Informationen zu den verschiedenen Berechtigungsoptionen und zum Konfigurieren von Berechtigungen finden Sie unter Verwalten des Zugriffs auf Protokolldaten und Arbeitsbereiche in Azure Monitor.

Erstellen eines Log Analytics-Arbeitsbereichs

Mit einem Log Analytics-Arbeitsbereich können Sie Daten basierend auf verschiedenen Anforderungen sammeln, z. B. geografischer Standort der Daten, Abonnementgrenzen oder Zugriff auf Ressourcen. Informationen zum Erstellen eines Log Analytics-Arbeitsbereichs finden Sie hier.

Informationen zum Einrichten eines Log Analytics-Arbeitsbereichs für Azure-Ressourcen außerhalb von Microsoft Entra ID finden Sie unter Sammeln und Anzeigen von Ressourcenprotokollen für Azure Monitor.

Senden von Protokollen an Azure Monitor

Verwenden Sie die folgenden Schritte, um Protokolle aus Microsoft Entra ID an Azure Monitor-Protokolle zu senden.

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

2. Navigieren Sie zu Identität>Überwachung und Integrität>Diagnoseeinstellungen. Sie können auch der Seite Überwachungsprotokolle oder Anmeldungen die Option Exporteinstellungen auswählen.

3. Wählen Sie + Diagnoseeinstellung hinzufügen aus, um eine neue Integration zu erstellen, oder wählen Sie für eine vorhandene Integration Einstellung bearbeiten aus.

4. Geben Sie unter Name der Diagnoseeinstellung einen Namen ein. Wenn Sie eine vorhandene Integration bearbeiten, können Sie den Namen nicht ändern.

5. Wählen Sie die Protokollkategorien aus, die Sie streamen möchten. Eine Beschreibung der einzelnen Protokollkategorien finden Sie unter Was sind die Identitätsprotokolle, die Sie an einen Endpunkt streamen können?.

6. Aktivieren Sie unter Zieldetails das Kontrollkästchen An Log Analytics-Arbeitsbereich senden.

7. Wählen Sie in den Menüs das entsprechende Abonnement- und den Log Analytics-Arbeitsbereich aus.

8. Wählen Sie die Schaltfläche Speichern aus.

   

   Wenn im ausgewählten Zielort nach 15 Minuten keine Protokolle zu sehen sind, melden Sie sich vom Microsoft Entra Admin Center ab und wieder an, um die Protokolle zu aktualisieren.

Zugehöriger Inhalt

• Analysieren von Microsoft Entra-Aktivitätsprotokolle mit Azure Monitor-Protokollen
• Weitere Informationen zu den Datenquellen, die Sie mit Azure Monitor analysieren können
• Automatisieren der Erstellung von Diagnoseeinstellungen mit Azure Policy

Mithilfe der Diagnoseeinstellungen in Microsoft Entra ID können Sie Protokolle in Azure Monitor integrieren, damit Ihre Anmeldeaktivität und das Überwachungsprotokoll von Änderungen in Ihrem Mandanten zusammen mit anderen Azure-Daten analysiert werden können.

Führen Sie die Schritte in diesem Artikel aus, um Microsoft Entra-Protokolle in Azure Monitor zu integrieren.

Durch Integration von Microsoft Entra-Aktivitätsprotokollen in Azure Monitor können Sie folgende Aufgaben ausführen:

• Vergleichen Ihrer Microsoft Entra-Anmeldeprotokolle mit von Microsoft Defender für Cloud veröffentlichten Sicherheitsprotokollen.
• Behandeln von Leistungsengpässen auf der Anmeldeseite Ihrer Anwendung durch Korrelieren von Anwendungsleistungsdaten aus Azure Application Insights
• Analysieren von Benutzern, die von Identity Protection als Risikobenutzer eingestuft werden, und Risikoerkennungsprotokollen, um Bedrohungen in Ihrer Umgebung zu erkennen
• Bestimmen von Anmeldungen über Anwendungen, die zur Authentifizierung weiterhin die Active Directory-Authentifizierungsbibliothek (Active Directory Authentication Library, ADAL) verwenden Erfahren Sie mehr über zum Plan für das Ende des Supports für ADAL.

Hinweis

Durch die Integration von Microsoft Entra-Protokollen in Azure Monitor wird der Microsoft Entra-Datenconnector in Microsoft Sentinel automatisch aktiviert.

Sie benötigen Folgendes, um dieses Feature verwenden zu können:

• Ein Azure-Abonnement. Falls Sie nicht über ein Azure-Abonnement verfügen, können Sie sich für eine kostenlose Testversion registrieren.

• Ein Microsoft Entra ID P1- oder P2-Mandant.

• Mindestens die Rolle Sicherheitsadministrator im Microsoft Entra-Mandanten.

• Einen Log Analytics-Arbeitsbereich in Ihrem Azure-Abonnement. Informationen zum Erstellen eines Log Analytics-Arbeitsbereichs finden Sie hier.

• Berechtigung zum Zugriff auf Daten in einem Log Analytics-Arbeitsbereich Informationen zu den verschiedenen Berechtigungsoptionen und zum Konfigurieren von Berechtigungen finden Sie unter Verwalten des Zugriffs auf Protokolldaten und Arbeitsbereiche in Azure Monitor.

Mit einem Log Analytics-Arbeitsbereich können Sie Daten basierend auf verschiedenen Anforderungen sammeln, z. B. geografischer Standort der Daten, Abonnementgrenzen oder Zugriff auf Ressourcen. Informationen zum Erstellen eines Log Analytics-Arbeitsbereichs finden Sie hier.

Informationen zum Einrichten eines Log Analytics-Arbeitsbereichs für Azure-Ressourcen außerhalb von Microsoft Entra ID finden Sie unter Sammeln und Anzeigen von Ressourcenprotokollen für Azure Monitor.

Senden von Protokollen an Azure Monitor

Verwenden Sie die folgenden Schritte, um Protokolle aus Microsoft Entra ID an Azure Monitor-Protokolle zu senden.

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

2. Navigieren Sie zu Identität>Überwachung und Integrität>Diagnoseeinstellungen. Sie können auch der Seite Überwachungsprotokolle oder Anmeldungen die Option Exporteinstellungen auswählen.

3. Wählen Sie + Diagnoseeinstellung hinzufügen aus, um eine neue Integration zu erstellen, oder wählen Sie für eine vorhandene Integration Einstellung bearbeiten aus.

4. Geben Sie unter Name der Diagnoseeinstellung einen Namen ein. Wenn Sie eine vorhandene Integration bearbeiten, können Sie den Namen nicht ändern.

5. Wählen Sie die Protokollkategorien aus, die Sie streamen möchten. Eine Beschreibung der einzelnen Protokollkategorien finden Sie unter Was sind die Identitätsprotokolle, die Sie an einen Endpunkt streamen können?.

6. Aktivieren Sie unter Zieldetails das Kontrollkästchen An Log Analytics-Arbeitsbereich senden.

7. Wählen Sie in den Menüs das entsprechende Abonnement- und den Log Analytics-Arbeitsbereich aus.

8. Wählen Sie die Schaltfläche Speichern aus.

   

   Wenn im ausgewählten Zielort nach 15 Minuten keine Protokolle zu sehen sind, melden Sie sich vom Microsoft Entra Admin Center ab und wieder an, um die Protokolle zu aktualisieren.