Анализ журналов действий Microsoft Entra с помощью Log Analytics

После интеграции журналов действий Microsoft Entra с журналами Azure Monitor можно использовать возможности журналов Log Analytics и Azure Monitor для получения аналитических сведений о вашей среде.

• Сравните журналы входа Microsoft Entra с журналами безопасности, опубликованными Microsoft Defender для облака.

• устранять узкие места производительности на странице входа в приложение, сопоставляя данные о производительности приложений из Azure Application Insights.

• Анализ рискованных пользователей и журналов обнаружения рисков защиты идентификации для обнаружения угроз в вашей среде.

В этой статье описывается анализ журналов действий Microsoft Entra в рабочей области Log Analytics.

Необходимые компоненты

Чтобы проанализировать журналы действий с помощью Log Analytics, вам потребуется:

• Рабочий клиент Microsoft Entra с лицензией Microsoft Entra ID P1 или P2, связанной с ней.
• Рабочая область Log Analytics и доступ к этой рабочей области
• Соответствующие роли для Azure Monitor и идентификатора Microsoft Entra

Рабочая область Log Analytics

Необходимо создать рабочую область Log Analytics. Существует несколько факторов, определяющих доступ к рабочим областям Log Analytics. Нужные роли для рабочей области и ресурсов, отправляя данные.

Дополнительные сведения см. в статье "Управление доступом к рабочим областям Log Analytics".

Роли Azure Monitor

Azure Monitor предоставляет две встроенные роли для просмотра данных мониторинга и редактирования параметров мониторинга. Управление доступом на основе ролей Azure (RBAC) также предоставляет две встроенные роли Log Analytics, предоставляющие аналогичный доступ.

• Просмотр.

  • Monitoring Reader (Читатель данных мониторинга)
  • Читатель Log Analytics

• Просмотр и изменение параметров:

  • Monitoring Contributor (Участник мониторинга)
  • Участник Log Analytics

Дополнительные сведения о встроенных ролях Azure Monitor см. в статье "Роли", "Разрешения" и "Безопасность" в Azure Monitor.

Дополнительные сведения о ролях Log Analytics см. в статье о встроенных ролях Azure.

Роли Microsoft Entra

Доступ только для чтения позволяет просматривать данные журнала идентификатора Microsoft Entra внутри книги, запрашивать данные из Log Analytics или читать журналы в Центре администрирования Microsoft Entra. Обновление доступа добавляет возможность создавать и изменять параметры диагностики для отправки данных Microsoft Entra в рабочую область Log Analytics.

• Чтение:

  • Читатель отчетов
  • Читатель сведений о безопасности
  • Глобальный читатель

• Обновление.

  • Администратор безопасности

Дополнительные сведения о встроенных ролях Microsoft Entra см. в статье о встроенных ролях Microsoft Entra.

Доступ к Log Analytics

Чтобы просмотреть Log Analytics идентификатора Microsoft Entra ID, необходимо отправить журналы действий из идентификатора Microsoft Entra в рабочую область Log Analytics. Этот процесс рассматривается в статье " Как интегрировать журналы действий с Azure Monitor ".

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.

2. Перейдите к >>Log Analytics. Выполняется поисковый запрос по умолчанию.

   

3. Разверните категорию LogManagement , чтобы просмотреть список связанных с журналом запросов.

4. Выберите или наведите указатель мыши на имя запроса, чтобы просмотреть описание и другие полезные сведения.

5. Разверните запрос из списка, чтобы просмотреть схему.

   

Журналы действий с запросами

Вы можете выполнять запросы к журналам действий, которые направляются в рабочую область Log Analytics. Например, чтобы получить список приложений с наибольшим количеством входов на прошлой неделе, введите следующий запрос и нажмите кнопку "Выполнить ".

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName
| sort by signInCount desc 

Чтобы найти события рискованного входа, используйте следующий запрос:

SigninLogs
| where RiskState contains "atRisk"

Чтобы получить события аудита top за последнюю неделю, используйте следующий запрос.

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Чтобы суммировать количество событий подготовки в день, выполните следующие действия:

AADProvisioningLogs
| where TimeGenerated > ago(7d)
| summarize count() by Action, bin(TimeGenerated, 1d)

Проведите 100 событий настройки и спрогнозируйте ключевые свойства.

AADProvisioningLogs
| extend SourceIdentity = parse_json(SourceIdentity)
| extend TargetIdentity = parse_json(TargetIdentity)
| extend ServicePrincipal = parse_json(ServicePrincipal)
| where tostring(SourceIdentity.identityType) == "Group"
| project tostring(ServicePrincipal.Id), tostring(ServicePrincipal.Name), ModifiedProperties, JobId, Id, CycleId, ChangeId, Action, SourceIdentity.identityType, SourceIdentity.details, TargetIdentity.identityType, TargetIdentity.details, ProvisioningSteps
| take 100

Связанный контент

• Начало работы с запросами журналов Azure Monitor
• Создание групп действий и управление ими на портале Azure
• Создание нового правила генерации оповещений