Analisar Microsoft Entra registos de atividades com o Log Analytics

Depois de integrar Microsoft Entra registos de atividades com os registos do Azure Monitor, pode utilizar o poder dos registos do Log Analytics e do Azure Monitor para obter informações sobre o seu ambiente.

• Compare os registos de início de sessão do Microsoft Entra com os registos de segurança publicados pelo Microsoft Defender para a Cloud.

• Resolva problemas de estrangulamentos de desempenho na página de início de sessão da aplicação ao correlacionar os dados de desempenho da aplicação do Aplicação Azure Insights.

• Analise os registos de utilizadores de risco e deteções de risco do Identity Protection para detetar ameaças no seu ambiente.

Este artigo descreve para analisar os registos de atividades Microsoft Entra na área de trabalho do Log Analytics.

Funções e licenças

Para analisar os registos de atividades com o Log Analytics, precisa de:

• Um inquilino Microsoft Entra com uma licença Premium P1
• Uma área de trabalho do Log Analytics e acesso a essa área de trabalho
• As funções adequadas para o Azure Monitor e Microsoft Entra ID

Área de trabalho do Log Analytics

Tem de criar uma área de trabalho do Log Analytics. Existe uma combinação de fatores que determinam o acesso às áreas de trabalho do Log Analytics. Precisa das funções certas para a área de trabalho e os recursos que enviam os dados.

Para obter mais informações, veja Gerir o acesso às áreas de trabalho do Log Analytics.

Funções do Azure Monitor

O Azure Monitor fornece duas funções incorporadas para visualizar dados de monitorização e editar definições de monitorização. O controlo de acesso baseado em funções (RBAC) do Azure também fornece duas funções incorporadas do Log Analytics que concedem acesso semelhante.

• Ver:

  • Leitor de Monitorização
  • Leitor do Log Analytics

• Ver e modificar definições:

  • Contribuidor de Monitorização
  • Contribuidor do Log Analytics

Para obter mais informações sobre as funções incorporadas do Azure Monitor, veja Funções, permissões e segurança no Azure Monitor.

Para obter mais informações sobre as funções RBAC do Log Analytics, veja Funções incorporadas do Azure

funções de Microsoft Entra

O acesso só de leitura permite-lhe ver Microsoft Entra dados de registo de ID dentro de um livro, consultar dados do Log Analytics ou ler registos no centro de administração do Microsoft Entra. O acesso de atualização adiciona a capacidade de criar e editar definições de diagnóstico para enviar Microsoft Entra dados para uma área de trabalho do Log Analytics.

• Ler:

  • Leitor de Relatórios
  • Leitor de Segurança
  • Leitor Global

• Atualização:

  • Administrador de Segurança

Para obter mais informações sobre Microsoft Entra funções incorporadas, veja Microsoft Entra funções incorporadas.

Aceder ao Log Analytics

Para ver o Microsoft Entra ID do Log Analytics, já tem de enviar os registos de atividades do Microsoft Entra ID para uma área de trabalho do Log Analytics. Este processo é abordado no artigo Como integrar registos de atividades com o Azure Monitor .

Dica

Os passos neste artigo podem variar ligeiramente com base no portal a partir do qual começa.

1. Inicie sessão no centro de administração do Microsoft Entra como, pelo menos, um Leitor de Relatórios.

2. Navegue para oLog Analytics do estado de funcionamento daMonitorização &> de Identidades>. É executada uma consulta de pesquisa predefinida.

   

3. Expanda a categoria LogManagement para ver a lista de consultas relacionadas com registos.

4. Selecione ou paire o cursor sobre o nome de uma consulta para ver uma descrição e outros detalhes úteis.

   

5. Expanda uma consulta a partir da lista para ver o esquema.

   

Consultar registos de atividades

Pode executar consultas nos registos de atividades que estão a ser encaminhados para uma área de trabalho do Log Analytics. Por exemplo, para obter uma lista de aplicações com mais inícios de sessão da semana passada, introduza a seguinte consulta e selecione o botão Executar .

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

Para obter os principais eventos de auditoria ao longo da última semana, utilize a seguinte consulta:

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Configurar alertas

Também pode configurar alertas numa consulta. Depois de executar uma consulta, o botão + Nova regra de alerta fica ativo.

1. No Log Analytics, selecione o botão + Nova regra de alerta .

   • O processo Criar uma regra envolve várias secções para personalizar os critérios da regra.
   • Para obter mais informações sobre como criar regras de alerta, veja Criar uma nova regra de alerta a partir da documentação do Azure Monitor, a começar pelos passos da Condição .

   

2. No separador Ações , selecione o Grupo de Ações que irá receber o alerta quando o sinal ocorrer.

   • Pode optar por notificar a sua equipa por e-mail ou mensagem de texto ou pode automatizar a ação com webhooks, funções do Azure ou aplicações lógicas.
   • Saiba mais sobre como criar e gerir grupos de alertas no portal do Azure.

3. No separador Detalhes , atribua um nome à regra de alerta e associe-a a uma subscrição e a um grupo de recursos.

4. Depois de configurar todos os detalhes necessários, selecione o botão Rever + Criar .

Utilizar livros para analisar registos

Microsoft Entra livros fornecem vários relatórios relacionados com cenários comuns que envolvem eventos de auditoria, início de sessão e aprovisionamento. Também pode alertar sobre qualquer um dos dados fornecidos nos relatórios através dos passos descritos na secção anterior.

• Análise de aprovisionamento: Este livro mostra relatórios relacionados com a atividade de aprovisionamento de auditoria. As atividades podem incluir o número de novos utilizadores aprovisionados, falhas de aprovisionamento, número de utilizadores atualizados, falhas de atualização, o número de utilizadores desaprovisionados e as falhas correspondentes. Para obter mais informações, veja Compreender como o aprovisionamento se integra com os registos do Azure Monitor.

• Eventos de Inícios de Sessão: este livro mostra os relatórios mais relevantes relacionados com a monitorização da atividade de início de sessão, como inícios de sessão por aplicação, utilizador, dispositivo e uma vista de resumo que monitoriza o número de inícios de sessão ao longo do tempo.

• Informações de Acesso Condicional: as informações de Acesso Condicional e o livro de relatórios permitem-lhe compreender o efeito das políticas de Acesso Condicional na sua organização ao longo do tempo. Para obter mais informações, veja Informações e relatórios de Acesso Condicional.

Passos seguintes

• Introdução às consultas nos registos do Azure Monitor
• Criar e gerir grupos de alertas no portal do Azure