Analysieren von Microsoft Entra-Aktivitätsprotokollen mit Log Analytics
Nachdem Sie Microsoft Entra-Aktivitätsprotokolle mit Azure Monitor-Protokollen integriert haben, können Sie die Leistungsfähigkeit von Log Analytics und Azure Monitor-Protokollen nutzen, um Einblicke in Ihre Umgebung zu erhalten.
Vergleichen Ihrer Microsoft Entra-Anmeldeprotokolle mit von Microsoft Defender für Cloud veröffentlichten Sicherheitsprotokollen.
Behandeln von Leistungsengpässen auf der Anmeldeseite Ihrer Anwendung durch Korrelieren von Anwendungsleistungsdaten aus Azure Application Insights
Analysieren von Benutzern, die von Identity Protection als Risikobenutzer eingestuft werden, und Risikoerkennungsprotokollen, um Bedrohungen in Ihrer Umgebung zu erkennen
In diesem Artikel erfahren Sie, wie Sie die Microsoft Entra-Aktivitätsprotokolle in Ihrem Log Analytics-Arbeitsbereich analysieren.
Voraussetzungen
Zum Analysieren von Aktivitätsprotokollen mit Log Analytics benötigen Sie Folgendes:
- Ein funktionierender Microsoft Entra-Mandant mit einer Microsoft Entra D P1- oder P2-Lizenz, die ihm zugeordnet ist.
- Log Analytics-Arbeitsbereich und Zugriff auf diesen Arbeitsbereich
- Die geeigneten Rollen für Azure Monitor und Microsoft Entra ID
Log Analytics-Arbeitsbereich
Sie müssen einen Log Analytics-Arbeitsbereich erstellen. Es gibt mehrere Faktoren, die den Zugriff auf Log Analytics-Arbeitsbereiche bestimmen. Sie benötigen die richtigen Rollen für den Arbeitsbereich und die Ressourcen, die die Daten senden.
Weitere Informationen finden Sie unter Verwalten des Zugriffs auf Log Analytics-Arbeitsbereiche.
Azure Monitor-Rollen
Azure Monitor bietet zwei integrierte Rollen zum Anzeigen von Überwachungsdaten und zum Bearbeiten von Überwachungseinstellungen. Die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure bietet außerdem zwei integrierte Log Analytics-Rollen, die ähnlichen Zugriff gewähren.
Anzeigen:
- Überwachungsleser
- Log Analytics-Leser
Anzeigen und Ändern von Einstellungen:
- Überwachungsmitwirkender
- Log Analytics-Mitwirkender
Weitere Informationen zu den integrierten Azure Monitor-Rollen finden Sie unter Rollen, Berechtigungen und Sicherheit in Azure Monitor.
Weitere Informationen zu den RBAC-Rollen für Log Analytics finden Sie unter Integrierte Azure-Rollen
Microsoft Entra-Rollen
Mit dem schreibgeschützten Zugriff können Sie Microsoft Entra ID-Protokolldaten in einer Arbeitsmappe anzeigen, Daten aus Log Analytics abfragen oder Protokolle im Microsoft Entra Admin Center lesen. Der Updatezugriff bietet die Möglichkeit, Diagnoseeinstellungen zu erstellen und zu bearbeiten, um Microsoft Entra-Daten an einen Log Analytics-Arbeitsbereich zu senden.
Read (Lesen):
- Berichtleseberechtigter
- Sicherheitsleseberechtigter
- Globaler Leser
Update (Aktualisieren):
- Sicherheitsadministrator
Weitere Informationen zu in Microsoft Entra integrierten Rollen finden Sie unter integrierte Rollen in Microsoft Entra.
Zugreifen auf Log Analytics
Zum Anzeigen von Microsoft Entra ID Log Analytics müssen Sie bereits Ihre Aktivitätsprotokolle aus Microsoft Entra ID an einen Log Analytics-Arbeitsbereich senden. Dieser Prozess wird im Artikel Integrieren von Azure AD-Protokollen in Azure Monitor-Protokolle behandelt.
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.
Browsen Sie zu Identität>Überwachung und Integrität>Log Analytics. Eine Standardsuchabfrage wird ausgeführt.
Erweitern Sie die Kategorie LogManagement, um die Liste der protokollbezogenen Abfragen anzuzeigen.
Wählen Sie den Namen einer Abfrage aus, oder zeigen Sie darauf, um eine Beschreibung und andere nützliche Details anzuzeigen.
Erweitern Sie eine Abfrage aus der Liste, um das Schema anzuzeigen.
Abfragen von Aktivitätsprotokollen
Sie können Abfragen für die Aktivitätsprotokolle ausführen, die an einen Log Analytics-Arbeitsbereich weitergeleitet werden. Um beispielsweise eine Liste von Anwendungen mit den meisten Anmeldungen der letzten Woche abzurufen, geben Sie die folgende Abfrage ein und wählen Sie die Schaltfläche Ausführen aus.
SigninLogs
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName
| sort by signInCount desc
Verwenden Sie die folgende Abfrage, um riskante Anmeldeereignisse zu suchen:
SigninLogs
| where RiskState contains "atRisk"
Um die häufigsten Überwachungsereignisse in der letzten Woche abzurufen, verwenden Sie die folgende Abfrage:
AuditLogs
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName
| sort by auditCount desc