A Microsoft Entra tevékenységnaplóinak elemzése a Log Analytics használatával
Miután integrálta a Microsoft Entra-tevékenységnaplókat az Azure Monitor-naplókkal, a Log Analytics és az Azure Monitor-naplók segítségével betekintést nyerhet a környezetébe.
Hasonlítsa össze a Microsoft Entra bejelentkezési naplóit a Felhőhöz készült Microsoft Defender által közzétett biztonsági naplókkal.
Az alkalmazás bejelentkezési oldalán fellépő teljesítménybeli szűk keresztmetszetek elhárítása az alkalmazás teljesítményadatainak Azure-alkalmazás Elemzések alapján történő korrelálásával.
Elemezze az Identity Protection kockázatos felhasználóit és a kockázatészlelési naplókat a környezet fenyegetéseinek észleléséhez.
Ez a cikk a Microsoft Entra tevékenységnaplóinak a Log Analytics-munkaterületen való elemzését ismerteti.
Előfeltételek
A Log Analytics tevékenységnaplóinak elemzéséhez a következőkre van szükség:
- Prémium P1 licenccel rendelkező Microsoft Entra-bérlő
- Log Analytics-munkaterület és hozzáférés a munkaterülethez
- Az Azure Monitor és a Microsoft Entra ID megfelelő szerepkörei
Log Analytics-munkaterület
Létre kell hoznia egy Log Analytics-munkaterületet. A Log Analytics-munkaterületekhez való hozzáférést számos tényező határozza meg. Szüksége van a megfelelő szerepkörökre a munkaterülethez és az adatokat küldő erőforrásokhoz.
További információ: Log Analytics-munkaterületek hozzáférésének kezelése.
Azure Monitor-szerepkörök
Az Azure Monitor két beépített szerepkört biztosít a figyelési adatok megtekintéséhez és a monitorozási beállítások szerkesztéséhez. Az Azure szerepköralapú hozzáférés-vezérlés (RBAC) két beépített Log Analytics-szerepkört is biztosít, amelyek hasonló hozzáférést biztosítanak.
Nézet:
- Figyelési olvasó
- Log Analytics olvasó
Beállítások megtekintése és módosítása:
- Figyelési közreműködő
- Log Analytics közreműködő
További információ az Azure Monitor beépített szerepköreiről: Szerepkörök, engedélyek és biztonság az Azure Monitorban.
További információ a Log Analytics RBAC-szerepköreiről: Azure beépített szerepkörök
Microsoft Entra szerepek
Az írásvédett hozzáférés lehetővé teszi a Microsoft Entra ID naplóadatainak megtekintését egy munkafüzeten belül, adatokat kérdezhet le a Log Analyticsből, vagy olvashat naplókat a Microsoft Entra felügyeleti központban. A frissítési hozzáférés lehetővé teszi diagnosztikai beállítások létrehozását és szerkesztését, hogy Microsoft Entra-adatokat küldjön egy Log Analytics-munkaterületre.
Read:
- Jelentésolvasó
- Biztonsági olvasó
- Globális olvasó
Frissítés:
- Biztonsági rendszergazda
A Beépített Microsoft Entra szerepkörökről további információt a Microsoft Entra beépített szerepköreivel kapcsolatban talál.
Access Log Analytics
A Microsoft Entra ID Log Analytics megtekintéséhez már el kell küldenie a tevékenységnaplókat a Microsoft Entra ID-ból egy Log Analytics-munkaterületre. Ezt a folyamatot a tevékenységnaplók Azure Monitorral való integrálásáról szóló cikk ismerteti.
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább jelentésolvasóként.
Keresse meg az Identity>Monitoring & Health>Log Analytics webhelyet. Fut egy alapértelmezett keresési lekérdezés.
Bontsa ki a LogManagement kategóriát a naplóval kapcsolatos lekérdezések listájának megtekintéséhez.
Válassza ki vagy vigye az egérmutatót a lekérdezés nevére a leírás és egyéb hasznos részletek megtekintéséhez.
Bontsa ki a listából a lekérdezést a séma megtekintéséhez.
Tevékenységnaplók lekérdezése
Lekérdezéseket futtathat a Log Analytics-munkaterületre átirányított tevékenységnaplókon. Ha például le szeretné kapni a múlt hét legtöbb bejelentkezését tartalmazó alkalmazáslistát, írja be a következő lekérdezést, és válassza a Futtatás gombot.
SigninLogs
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName
| sort by signInCount desc
Az elmúlt hét legfontosabb naplózási eseményeinek lekéréséhez használja a következő lekérdezést:
AuditLogs
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName
| sort by auditCount desc
Riasztások beállítása
Riasztásokat is beállíthat egy lekérdezésen. A lekérdezés futtatása után a + Új riasztási szabály gomb aktívvá válik.
A Log Analyticsben válassza az + Új riasztási szabály gombot.
- A Szabály létrehozása folyamat több szakaszból áll a szabály feltételeinek testreszabásához.
- További információ a riasztási szabályok létrehozásáról: Új riasztási szabály létrehozása az Azure Monitor dokumentációjából, a feltétel lépéseitől kezdve.
A Műveletek lapon válassza ki azt a műveletcsoportot, amely a riasztást a jelzés bekövetkezésekor kapja meg.
- Dönthet úgy, hogy e-mailben vagy sms-ben értesíti a csapatot, vagy webhookok, Azure-függvények vagy logikai alkalmazások használatával automatizálhatja a műveletet.
- További információ a riasztási csoportok létrehozásáról és kezeléséről az Azure Portalon.
A Részletek lapon adjon nevet a riasztási szabálynak, és rendelje hozzá egy előfizetéshez és erőforráscsoporthoz.
Miután konfigurálta az összes szükséges adatot, válassza a Véleményezés + Létrehozás gombot.
Munkafüzetek használata naplók elemzéséhez
A Microsoft Entra-munkafüzetek számos jelentést nyújtanak a gyakori forgatókönyvekhez kapcsolódóan, beleértve a naplózást, a bejelentkezést és a kiépítési eseményeket. A jelentésekben megadott adatok bármelyikéről is riasztást készíthet az előző szakaszban leírt lépések végrehajtásával.
Kiépítési elemzés: Ez a munkafüzet a naplózási kiépítési tevékenységgel kapcsolatos jelentéseket jeleníti meg. A tevékenységek közé tartozhat a kiépített új felhasználók száma, a kiépítési hibák, a frissített felhasználók száma, a frissítési hibák, a megszüntetett felhasználók száma és a megfelelő hibák. További információ: A kiépítés integrálása az Azure Monitor-naplókkal.
Bejelentkezési események: Ez a munkafüzet a bejelentkezési tevékenység figyelésével kapcsolatos legfontosabb jelentéseket jeleníti meg, például a bejelentkezéseket alkalmazás, felhasználó, eszköz szerint, és egy összefoglaló nézetet, amely nyomon követi a bejelentkezések számát az idő függvényében.
Feltételes hozzáférési elemzések: A feltételes hozzáférési elemzések és a jelentéskészítési munkafüzet lehetővé teszi a feltételes hozzáférési szabályzatok időbeli hatásának megértését a szervezetben. További információ: Feltételes hozzáférési elemzések és jelentéskészítés.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: