Megosztás a következőn keresztül:

A Microsoft Entra tevékenységnaplóinak elemzése a Log Analytics használatával

  • Cikk

Miután integrálta a Microsoft Entra-tevékenységnaplókat az Azure Monitor-naplókkal, a Log Analytics és az Azure Monitor-naplók segítségével betekintést nyerhet a környezetébe.

  • Hasonlítsa össze a Microsoft Entra bejelentkezési naplóit a Felhőhöz készült Microsoft Defender által közzétett biztonsági naplókkal.

  • Az alkalmazás bejelentkezési oldalán fellépő teljesítménybeli szűk keresztmetszetek elhárítása az alkalmazás teljesítményadatainak Azure-alkalmazás Elemzések alapján történő korrelálásával.

  • Elemezze az Identity Protection kockázatos felhasználóit és a kockázatészlelési naplókat a környezet fenyegetéseinek észleléséhez.

Ez a cikk a Microsoft Entra tevékenységnaplóinak a Log Analytics-munkaterületen való elemzését ismerteti.

Előfeltételek

A Log Analytics tevékenységnaplóinak elemzéséhez a következőkre van szükség:

  • Prémium P1 licenccel rendelkező Microsoft Entra-bérlő
  • Log Analytics-munkaterület és hozzáférés a munkaterülethez
  • Az Azure Monitor és a Microsoft Entra ID megfelelő szerepkörei

Log Analytics-munkaterület

Létre kell hoznia egy Log Analytics-munkaterületet. A Log Analytics-munkaterületekhez való hozzáférést számos tényező határozza meg. Szüksége van a megfelelő szerepkörökre a munkaterülethez és az adatokat küldő erőforrásokhoz.

További információ: Log Analytics-munkaterületek hozzáférésének kezelése.

Azure Monitor-szerepkörök

Az Azure Monitor két beépített szerepkört biztosít a figyelési adatok megtekintéséhez és a monitorozási beállítások szerkesztéséhez. Az Azure szerepköralapú hozzáférés-vezérlés (RBAC) két beépített Log Analytics-szerepkört is biztosít, amelyek hasonló hozzáférést biztosítanak.

  • Nézet:

    • Figyelési olvasó
    • Log Analytics olvasó

  • Beállítások megtekintése és módosítása:

    • Figyelési közreműködő
    • Log Analytics közreműködő

További információ az Azure Monitor beépített szerepköreiről: Szerepkörök, engedélyek és biztonság az Azure Monitorban.

További információ a Log Analytics RBAC-szerepköreiről: Azure beépített szerepkörök

Microsoft Entra szerepek

Az írásvédett hozzáférés lehetővé teszi a Microsoft Entra ID naplóadatainak megtekintését egy munkafüzeten belül, adatokat kérdezhet le a Log Analyticsből, vagy olvashat naplókat a Microsoft Entra felügyeleti központban. A frissítési hozzáférés lehetővé teszi diagnosztikai beállítások létrehozását és szerkesztését, hogy Microsoft Entra-adatokat küldjön egy Log Analytics-munkaterületre.

  • Read:

    • Jelentésolvasó
    • Biztonsági olvasó
    • Globális olvasó

  • Frissítés:

    • Biztonsági rendszergazda

A Beépített Microsoft Entra szerepkörökről további információt a Microsoft Entra beépített szerepköreivel kapcsolatban talál.

Access Log Analytics

A Microsoft Entra ID Log Analytics megtekintéséhez már el kell küldenie a tevékenységnaplókat a Microsoft Entra ID-ból egy Log Analytics-munkaterületre. Ezt a folyamatot a tevékenységnaplók Azure Monitorral való integrálásáról szóló cikk ismerteti.

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

  1. Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább jelentésolvasóként.

  2. Keresse meg az Identity>Monitoring & Health>Log Analytics webhelyet. Fut egy alapértelmezett keresési lekérdezés.

    Default query

  3. Bontsa ki a LogManagement kategóriát a naplóval kapcsolatos lekérdezések listájának megtekintéséhez.

  4. Válassza ki vagy vigye az egérmutatót a lekérdezés nevére a leírás és egyéb hasznos részletek megtekintéséhez.

    Screenshot of the details of a query.

  5. Bontsa ki a listából a lekérdezést a séma megtekintéséhez.

    Screenshot of the schema of a query.

Tevékenységnaplók lekérdezése

Lekérdezéseket futtathat a Log Analytics-munkaterületre átirányított tevékenységnaplókon. Ha például le szeretné kapni a múlt hét legtöbb bejelentkezését tartalmazó alkalmazáslistát, írja be a következő lekérdezést, és válassza a Futtatás gombot.

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc

Az elmúlt hét legfontosabb naplózási eseményeinek lekéréséhez használja a következő lekérdezést:

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc

Riasztások beállítása

Riasztásokat is beállíthat egy lekérdezésen. A lekérdezés futtatása után a + Új riasztási szabály gomb aktívvá válik.

  1. A Log Analyticsben válassza az + Új riasztási szabály gombot.

    • A Szabály létrehozása folyamat több szakaszból áll a szabály feltételeinek testreszabásához.
    • További információ a riasztási szabályok létrehozásáról: Új riasztási szabály létrehozása az Azure Monitor dokumentációjából, a feltétel lépéseitől kezdve.

    Screenshot of the

  2. A Műveletek lapon válassza ki azt a műveletcsoportot, amely a riasztást a jelzés bekövetkezésekor kapja meg.

    • Dönthet úgy, hogy e-mailben vagy sms-ben értesíti a csapatot, vagy webhookok, Azure-függvények vagy logikai alkalmazások használatával automatizálhatja a műveletet.
    • További információ a riasztási csoportok létrehozásáról és kezeléséről az Azure Portalon.

  3. A Részletek lapon adjon nevet a riasztási szabálynak, és rendelje hozzá egy előfizetéshez és erőforráscsoporthoz.

  4. Miután konfigurálta az összes szükséges adatot, válassza a Véleményezés + Létrehozás gombot.

Munkafüzetek használata naplók elemzéséhez

A Microsoft Entra-munkafüzetek számos jelentést nyújtanak a gyakori forgatókönyvekhez kapcsolódóan, beleértve a naplózást, a bejelentkezést és a kiépítési eseményeket. A jelentésekben megadott adatok bármelyikéről is riasztást készíthet az előző szakaszban leírt lépések végrehajtásával.

  • Kiépítési elemzés: Ez a munkafüzet a naplózási kiépítési tevékenységgel kapcsolatos jelentéseket jeleníti meg. A tevékenységek közé tartozhat a kiépített új felhasználók száma, a kiépítési hibák, a frissített felhasználók száma, a frissítési hibák, a megszüntetett felhasználók száma és a megfelelő hibák. További információ: A kiépítés integrálása az Azure Monitor-naplókkal.

  • Bejelentkezési események: Ez a munkafüzet a bejelentkezési tevékenység figyelésével kapcsolatos legfontosabb jelentéseket jeleníti meg, például a bejelentkezéseket alkalmazás, felhasználó, eszköz szerint, és egy összefoglaló nézetet, amely nyomon követi a bejelentkezések számát az idő függvényében.

  • Feltételes hozzáférési elemzések: A feltételes hozzáférési elemzések és a jelentéskészítési munkafüzet lehetővé teszi a feltételes hozzáférési szabályzatok időbeli hatásának megértését a szervezetben. További információ: Feltételes hozzáférési elemzések és jelentéskészítés.

Következő lépések