Analysera Microsoft Entra-aktivitetsloggar med Log Analytics
När du har integrerat Microsoft Entra-aktivitetsloggar med Azure Monitor-loggar kan du använda kraften i Log Analytics- och Azure Monitor-loggar för att få insikter om din miljö.
Jämför dina Inloggningsloggar för Microsoft Entra med säkerhetsloggar som publicerats av Microsoft Defender för molnet.
Felsöka flaskhalsar i prestanda på programmets inloggningssida genom att korrelera programprestandadata från Azure Application Insights.
Analysera loggarna Identity Protection-riskfyllda användare och riskidentifieringar för att identifiera hot i din miljö.
I den här artikeln beskrivs hur du analyserar Microsoft Entra-aktivitetsloggarna på din Log Analytics-arbetsyta.
Förutsättningar
Om du vill analysera aktivitetsloggar med Log Analytics behöver du:
- En fungerande Microsoft Entra-klientorganisation med en Microsoft Entra ID P1- eller P2-licens som är associerad med den.
- En Log Analytics-arbetsyta och åtkomst till den arbetsytan
- Lämpliga roller för Azure Monitor och Microsoft Entra ID
Log Analytics-arbetsyta
Du måste skapa en Log Analytics-arbetsyta. Det finns flera faktorer som avgör åtkomsten till Log Analytics-arbetsytor. Du behöver rätt roller för arbetsytan och de resurser som skickar data.
Mer information finns i Hantera åtkomst till Log Analytics-arbetsytor.
Azure Monitor-roller
Azure Monitor innehåller två inbyggda roller för att visa övervakningsdata och redigera övervakningsinställningar. Rollbaserad åtkomstkontroll i Azure (RBAC) innehåller också två inbyggda Log Analytics-roller som ger liknande åtkomst.
Vy:
- Övervakningsläsare
- Log Analytics Reader
Visa och ändra inställningar:
- Övervakningsdeltagare
- Log Analytics Contributor
Mer information om inbyggda Roller i Azure Monitor finns i Roller, behörigheter och säkerhet i Azure Monitor.
Mer information om Log Analytics-rollerna finns i Inbyggda Azure-roller
Microsoft Entra-roller
Med skrivskyddad åtkomst kan du visa Microsoft Entra ID-loggdata i en arbetsbok, fråga efter data från Log Analytics eller läsa loggar i administrationscentret för Microsoft Entra. Uppdateringsåtkomst ger möjlighet att skapa och redigera diagnostikinställningar för att skicka Microsoft Entra-data till en Log Analytics-arbetsyta.
Read (läs):
- Rapportläsare
- Säkerhetsläsare
- Global läsare
Uppdatering:
- Säkerhetsadministratör
Mer information om inbyggda Microsoft Entra-roller finns i Inbyggda Microsoft Entra-roller.
Få åtkomst till Log Analytics
Om du vill visa Microsoft Entra ID Log Analytics måste du redan skicka dina aktivitetsloggar från Microsoft Entra ID till en Log Analytics-arbetsyta. Den här processen beskrivs i artikeln Så här integrerar du aktivitetsloggar med Azure Monitor .
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.
Bläddra till Identitetsövervakning>och hälsologganalys.> En standardsökfråga körs.
Expandera kategorin LogManagement för att visa listan över loggrelaterade frågor.
Välj eller hovra över namnet på en fråga för att visa en beskrivning och annan användbar information.
Expandera en fråga från listan för att visa schemat.
Köra frågor mot aktivitetsloggar
Du kan köra frågor mot aktivitetsloggarna som dirigeras till en Log Analytics-arbetsyta. Om du till exempel vill hämta en lista över program med flest inloggningar från förra veckan anger du följande fråga och väljer knappen Kör .
SigninLogs
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName
| sort by signInCount desc
Om du vill hitta riskfyllda inloggningshändelser använder du följande fråga:
SigninLogs
| where RiskState contains "atRisk"
Använd följande fråga för att hämta de viktigaste granskningshändelserna under den senaste veckan:
AuditLogs
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName
| sort by auditCount desc