Analizzare i log attività di Microsoft Entra con Log Analytics

Dopo aver integrato i log attività di Microsoft Entra con i log di Monitoraggio di Azure, è possibile usare le funzionalità di Log Analytics e dei log di Monitoraggio di Azure per ottenere informazioni dettagliate sull'ambiente.

• Confrontare i log di accesso di Microsoft Entra con i log di sicurezza pubblicati da Microsoft Defender per il cloud.

• Risolvere i problemi di colli di bottiglia delle prestazioni nella pagina di accesso dell'applicazione tramite la correlazione dei dati sulle prestazioni delle applicazioni da Azure Application Insights.

• Analizzare i log degli utenti rischiosi di protezione dell’identità e dei rilevamenti dei rischi per rilevare le minacce nell'ambiente in uso.

Questo articolo descrive come analizzare i log attività di Microsoft Entra nell'area di lavoro Log Analytics.

Prerequisiti

Per analizzare i log attività con Log Analytics, è necessario:

• Tenant microsoft Entra funzionante con una licenza P1 o P2 di Microsoft Entra ID associata.
• Un'area di lavoro Log Analytics e accesso a tale area di lavoro
• Ruoli appropriati per Monitoraggio di Azure e Microsoft Entra ID

area di lavoro Log Analytics

È necessario creare un'area di lavoro Log Analytics. Esistono diversi fattori che determinano l'accesso alle aree di lavoro Log Analytics. Sono necessari i ruoli appropriati per l'area di lavoro e le risorse che inviano i dati.

Per altre informazioni, vedere Gestire l'accesso a un'area di lavoro Log Analytics.

Ruoli di Monitoraggio di Azure

Monitoraggio di Azure offre due ruoli predefiniti per la visualizzazione dei dati di monitoraggio e la modifica delle impostazioni di monitoraggio. Il controllo degli accessi in base al ruolo di Azure offre anche due ruoli predefiniti di Log Analytics che concedono un accesso simile.

• Visualizza:

  • Lettore di monitoraggio
  • Lettore di Log Analytics

• Visualizzare e modificare le impostazioni:

  • Collaboratore al monitoraggio
  • Collaboratore di Log Analytics

Per altre informazioni sui ruoli predefiniti di Monitoraggio di Azure, vedere Ruoli, autorizzazioni e sicurezza in Monitoraggio di Azure.

Per altre informazioni sui ruoli di Log Analytics, vedere Ruoli predefiniti di Azure

Ruoli di Microsoft Entra

L'accesso in sola lettura consente di visualizzare i dati di log di Microsoft Entra ID all'interno di una cartella di lavoro, eseguire query sui dati da Log Analytics o leggere i log nell'Interfaccia di amministrazione di Microsoft Entra. L'accesso agli aggiornamenti consente di creare e modificare le impostazioni di diagnostica per inviare i dati di Microsoft Entra a un'area di lavoro Log Analytics.

• Read:

  • Amministratore che legge i report
  • Ruolo con autorizzazioni di lettura per la sicurezza
  • Ruolo con autorizzazioni di lettura globali

• Aggiornamento:

  • Amministratore della sicurezza

Per altre informazioni sui ruoli predefiniti di Microsoft Entra, vedere Ruoli predefiniti di Microsoft Entra.

Accedere a Log Analytics

Per visualizzare Microsoft Entra ID Log Analytics, è necessario inviare già i log attività da Microsoft Entra ID a un'area di lavoro Log Analytics. Questo processo è illustrato nell'articolo Come integrare i log attività con Monitoraggio di Azure.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.

2. Passare a Identità>Monitoraggio e integrità>Log Analytics. Viene eseguita una query di ricerca predefinita.

   

3. Espandere la categoria LogManagement per visualizzare l'elenco delle query correlate al log.

4. Selezionare o passare il puntatore del mouse sul nome di una query per visualizzare una descrizione e altri dettagli utili.

5. Espandere una query nell'elenco per visualizzare lo schema.

   

Eseguire query nei log attività

È possibile eseguire query sui log attività indirizzati a un'area di lavoro Log Analytics. Ad esempio, per ottenere un elenco di applicazioni con il maggior numero di accessi durante la settimana appena trascorsa, immettere la query seguente e selezionare il pulsante Esegui.

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName
| sort by signInCount desc 

Per trovare eventi di accesso rischiosi, usare la query seguente:

SigninLogs
| where RiskState contains "atRisk"

Per ottenere i principali eventi di controllo nell'ultima settimana, usare la query seguente:

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Per riepilogare il numero di eventi di provisioning al giorno, in base all'azione:

AADProvisioningLogs
| where TimeGenerated > ago(7d)
| summarize count() by Action, bin(TimeGenerated, 1d)

Prendi 100 eventi di provisioning e proietta le proprietà chiave.

AADProvisioningLogs
| extend SourceIdentity = parse_json(SourceIdentity)
| extend TargetIdentity = parse_json(TargetIdentity)
| extend ServicePrincipal = parse_json(ServicePrincipal)
| where tostring(SourceIdentity.identityType) == "Group"
| project tostring(ServicePrincipal.Id), tostring(ServicePrincipal.Name), ModifiedProperties, JobId, Id, CycleId, ChangeId, Action, SourceIdentity.identityType, SourceIdentity.details, TargetIdentity.identityType, TargetIdentity.details, ProvisioningSteps
| take 100

Contenuto correlato

• Introduzione alle query nei log di Monitoraggio di Azure
• Creare e gestire gruppi di azione nel portale di Azure
• Creare una nuova regola di avviso