Analizzare i log attività di Microsoft Entra con Log Analytics

Dopo aver integrato i log attività di Microsoft Entra con i log di Monitoraggio di Azure, è possibile usare le funzionalità di Log Analytics e dei log di Monitoraggio di Azure per ottenere informazioni dettagliate sull'ambiente.

• Confrontare i log di accesso di Microsoft Entra con i log di sicurezza pubblicati da Microsoft Defender per il cloud.

• Risolvi i colli di bottiglia delle prestazioni nella pagina di accesso della tua applicazione correlando i dati sulle prestazioni delle applicazioni da Azure Application Insights.

• Analizzare i log di Protezione dell'Identità per gli utenti rischiosi e dei rilevamenti di rischio per individuare le minacce nell'ambiente in uso.

Questo articolo descrive come analizzare i log attività di Microsoft Entra nell'area di lavoro Log Analytics.

Prerequisiti

Per analizzare i log attività con Log Analytics, è necessario:

• Tenant Microsoft Entra funzionante con una licenza Microsoft Entra ID P1 o P2 associata.
• Un'area di lavoro Log Analytics e accesso a tale area di lavoro
• Ruoli appropriati per Azure Monitor e Microsoft Entra ID

area di lavoro Log Analytics

È necessario creare un'area di lavoro Log Analytics. Esistono diversi fattori che determinano l'accesso alle aree di lavoro Log Analytics. Sono necessari i ruoli appropriati per l'area di lavoro e le risorse che inviano i dati.

Per altre informazioni, vedere Gestire l'accesso a un'area di lavoro Log Analytics.

Ruoli di Monitoraggio di Azure

Monitoraggio di Azure offre due ruoli predefiniti per la visualizzazione dei dati di monitoraggio e la modifica delle impostazioni di monitoraggio. Il controllo degli accessi in base al ruolo di Azure offre anche due ruoli predefiniti di Log Analytics che concedono un accesso simile.

• Visualizza:

  • Lettore di dati di monitoraggio
  • Lettore di Log Analytics

• Visualizzare e modificare le impostazioni:

  • Collaboratore al monitoraggio
  • Collaboratore di Log Analytics

Per altre informazioni sui ruoli predefiniti di Monitoraggio di Azure, vedere Ruoli, autorizzazioni e sicurezza in Monitoraggio di Azure.

Per altre informazioni sui ruoli di Log Analytics, vedere Ruoli predefiniti di Azure

Ruoli di Microsoft Entra

L'accesso in sola lettura consente di visualizzare i dati di log di Microsoft Entra ID all'interno di una cartella di lavoro, eseguire query sui dati da Log Analytics o leggere i log nell'Interfaccia di amministrazione di Microsoft Entra. L'accesso agli aggiornamenti consente di creare e modificare le impostazioni di diagnostica per inviare i dati di Microsoft Entra a un'area di lavoro Log Analytics.

• Read:

  • Lettore di report
  • Lettore di sicurezza
  • Lettore Globale

• Aggiornamento:

  • Amministratore della sicurezza

Per altre informazioni sui ruoli predefiniti di Microsoft Entra, vedere Ruoli predefiniti di Microsoft Entra.

Accedere a Log Analytics

Per visualizzare Microsoft Entra ID Log Analytics, è necessario inviare già i log attività da Microsoft Entra ID a un'area di lavoro Log Analytics. Questo processo è illustrato nell'articolo Come integrare i log attività con Monitoraggio di Azure.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.

2. Passare a Identità>Monitoraggio e salute>Log Analytics. Viene eseguita una query di ricerca predefinita.

   

3. Espandere la categoria LogManagement per visualizzare l'elenco delle query correlate al log.

4. Selezionare o passare il puntatore del mouse sul nome di una query per visualizzare una descrizione e altri dettagli utili.

5. Espandi una richiesta nell'elenco per visualizzare lo schema.

   Screenshot dello schema di una query.

Consultare i log di attività

È possibile eseguire query sui log delle attività che vengono reindirizzati verso un'area di lavoro di Log Analytics. Ad esempio, per ottenere un elenco di applicazioni con il maggior numero di accessi durante la settimana appena trascorsa, immettere la query seguente e selezionare il pulsante Esegui.

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName
| sort by signInCount desc 

Per trovare eventi di accesso rischiosi, usare la query seguente:

SigninLogs
| where RiskState contains "atRisk"

Per ottenere i principali eventi di controllo nell'ultima settimana, usare la query seguente:

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Per riepilogare il numero di eventi di provisioning al giorno, per azione:

AADProvisioningLogs
| where TimeGenerated > ago(7d)
| summarize count() by Action, bin(TimeGenerated, 1d)

Prendi 100 eventi di provisioning e individua le proprietà chiave.

AADProvisioningLogs
| extend SourceIdentity = parse_json(SourceIdentity)
| extend TargetIdentity = parse_json(TargetIdentity)
| extend ServicePrincipal = parse_json(ServicePrincipal)
| where tostring(SourceIdentity.identityType) == "Group"
| project tostring(ServicePrincipal.Id), tostring(ServicePrincipal.Name), ModifiedProperties, JobId, Id, CycleId, ChangeId, Action, SourceIdentity.identityType, SourceIdentity.details, TargetIdentity.identityType, TargetIdentity.details, ProvisioningSteps
| take 100

Contenuto correlato

• Inizia con le query nei log di Azure Monitor
• Creare e gestire gruppi di avvisi nel portale di Azure
• Creare una nuova regola di avviso