Интеграция журналов Microsoft Entra с журналами Azure Monitor

С помощью параметров диагностики в идентификаторе Microsoft Entra можно интегрировать журналы с Azure Monitor, чтобы действие входа и аудит изменений в клиенте можно анализировать вместе с другими данными Azure.

В этой статье приведены инструкции по интеграции журналов Microsoft Entra с Azure Monitor.

Используйте интеграцию журналов действий Microsoft Entra и Azure Monitor для выполнения следующих задач:

• Сравните журналы входа Microsoft Entra с журналами безопасности, опубликованными Microsoft Defender для облака.
• Устранение проблем с производительностью на странице входа в приложение путем сопоставления данных о производительности приложений из приложение Azure Insights.
• Анализ рискованных пользователей и журналов обнаружения рисков защиты идентификации для обнаружения угроз в вашей среде.
• Определите входы из приложений, которые по-прежнему используют библиотеку проверки подлинности Active Directory (ADAL) для проверки подлинности. Узнайте о плане завершения поддержки ADAL.

Примечание.

Интеграция журналов Microsoft Entra с Azure Monitor автоматически включает соединитель данных Microsoft Entra в Microsoft Sentinel.

Необходимые компоненты

Для использования этой функции необходимо иметь следующее.

• Подписка Azure. Если у вас нет подписки Azure, можно зарегистрироваться и получить бесплатную пробную версию.

• Клиент Microsoft Entra ID P1 или P2.

• По крайней мере роль администратора безопасности в клиенте Microsoft Entra.

• Рабочая область Log Analytics в подписке Azure. Узнайте, как создать рабочую область Log Analytics.

• Разрешение на доступ к данным в рабочей области Log Analytics. Сведения о разных параметрах и настройке разрешений см. в статье Управление доступом к данным журнала и рабочим областям в Azure Monitor.

Создание рабочей области Log Analytics

Рабочая область Log Analytics позволяет собирать данные на основе различных требований, таких как географическое расположение данных, границ подписки или доступ к ресурсам. Узнайте, как создать рабочую область Log Analytics.

Сведения о настройке рабочей области Log Analytics для ресурсов Azure за пределами идентификатора Microsoft Entra см. в статье "Сбор и просмотр журналов ресурсов для Azure Monitor".

Отправка журналов в Azure Monitor

Выполните следующие действия, чтобы отправить журналы из идентификатора Microsoft Entra в журналы Azure Monitor.

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

2. Перейдите к параметрам диагностики мониторинга удостоверений и работоспособности> Вы также можете выбрать параметры экспорта на странице "Журналы аудита" или "Вход".

3. Выберите + Добавить параметр диагностики, чтобы создать новую интеграцию или выберите параметр "Изменить" для существующей интеграции.

4. Укажите Имя параметра диагностики. Если вы редактировать существующую интеграцию, вы не можете изменить имя.

5. Выберите категории журналов, которые требуется потоковой передачи. Описание каждой категории журнала см. в разделе "Что такое журналы удостоверений", которые можно передавать в конечную точку.

6. В разделе "Сведения о назначении" установите флажок "Отправить в рабочую область Log Analytics".

7. Выберите соответствующую рабочую область Подписки и Log Analytics в меню.

8. Выберите кнопку Сохранить.

   

   Если журналы не отображаются в выбранном месте назначения через 15 минут, выйдите и вернитесь в Центр администрирования Microsoft Entra, чтобы обновить журналы.

Связанный контент

• Анализ журналов действий Microsoft Entra с помощью журналов Azure Monitor
• Сведения о источниках данных, которые можно проанализировать с помощью Azure Monitor
• Автоматизация создания параметров диагностики с помощью Политика Azure

С помощью параметров диагностики в идентификаторе Microsoft Entra можно интегрировать журналы с Azure Monitor, чтобы действие входа и аудит изменений в клиенте можно анализировать вместе с другими данными Azure.

В этой статье приведены инструкции по интеграции журналов Microsoft Entra с Azure Monitor.

Используйте интеграцию журналов действий Microsoft Entra и Azure Monitor для выполнения следующих задач:

• Сравните журналы входа Microsoft Entra с журналами безопасности, опубликованными Microsoft Defender для облака.
• Устранение проблем с производительностью на странице входа в приложение путем сопоставления данных о производительности приложений из приложение Azure Insights.
• Анализ рискованных пользователей и журналов обнаружения рисков защиты идентификации для обнаружения угроз в вашей среде.
• Определите входы из приложений, которые по-прежнему используют библиотеку проверки подлинности Active Directory (ADAL) для проверки подлинности. Узнайте о плане завершения поддержки ADAL.

Примечание.

Интеграция журналов Microsoft Entra с Azure Monitor автоматически включает соединитель данных Microsoft Entra в Microsoft Sentinel.

Для использования этой функции необходимо иметь следующее.

• Подписка Azure. Если у вас нет подписки Azure, можно зарегистрироваться и получить бесплатную пробную версию.

• Клиент Microsoft Entra ID P1 или P2.

• По крайней мере роль администратора безопасности в клиенте Microsoft Entra.

• Рабочая область Log Analytics в подписке Azure. Узнайте, как создать рабочую область Log Analytics.

• Разрешение на доступ к данным в рабочей области Log Analytics. Сведения о разных параметрах и настройке разрешений см. в статье Управление доступом к данным журнала и рабочим областям в Azure Monitor.

Рабочая область Log Analytics позволяет собирать данные на основе различных требований, таких как географическое расположение данных, границ подписки или доступ к ресурсам. Узнайте, как создать рабочую область Log Analytics.

Сведения о настройке рабочей области Log Analytics для ресурсов Azure за пределами идентификатора Microsoft Entra см. в статье "Сбор и просмотр журналов ресурсов для Azure Monitor".

Отправка журналов в Azure Monitor

Выполните следующие действия, чтобы отправить журналы из идентификатора Microsoft Entra в журналы Azure Monitor.

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

2. Перейдите к параметрам диагностики мониторинга удостоверений и работоспособности> Вы также можете выбрать параметры экспорта на странице "Журналы аудита" или "Вход".

3. Выберите + Добавить параметр диагностики, чтобы создать новую интеграцию или выберите параметр "Изменить" для существующей интеграции.

4. Укажите Имя параметра диагностики. Если вы редактировать существующую интеграцию, вы не можете изменить имя.

5. Выберите категории журналов, которые требуется потоковой передачи. Описание каждой категории журнала см. в разделе "Что такое журналы удостоверений", которые можно передавать в конечную точку.

6. В разделе "Сведения о назначении" установите флажок "Отправить в рабочую область Log Analytics".

7. Выберите соответствующую рабочую область Подписки и Log Analytics в меню.

8. Выберите кнопку Сохранить.

   

   Если журналы не отображаются в выбранном месте назначения через 15 минут, выйдите и вернитесь в Центр администрирования Microsoft Entra, чтобы обновить журналы.