Naplók integrálása Log Analytics-munkaterülettel
Az Azure-ban speciális naplózással megtekintheti a hálózatba bejelentkezett felhasználókat, és megtekintheti, hogy mit tettek a felhasználók, amikor bejelentkeztek a hálózatra.
Láthatta, hogyan férhet hozzá a bejelentkezési és naplózási naplókhoz, és hogyan használhatja a naplókat a váratlan felhasználói viselkedés kereséséhez. Az adatokhoz való hozzáférés jelentős első lépés a hálózat és annak eszközei és erőforrásai védelmében. A bejelentkezési és tevékenységnapló-fájlok összegyűjtése és feldolgozása munkaigényes lehet. Ez a folyamat azonosíthatja a gyanús felhasználói viselkedést az esemény után, de még mindig nem felel meg a biztonsági csapat igényeinek a viselkedés valós idejű megtekintéséhez.
Az Azure Monitor valós idejű nézeteket biztosít, és riasztást küld a biztonsági csapat igényeiről. Az Azure Monitorhoz készült Log Analytics-munkaterület használatával tárolhatja, tárolhatja és vizualizálhatja a bejelentkezési és tevékenységnapló-adatokat. A szervezet biztonsági csapatának megnyugtatásához többet szeretne megtudni az Azure Monitorról, és arról, hogyan használhatja a gyanús bejelentkezési viselkedés azonosítására.
Ez a lecke bemutatja, hogyan állíthat be Log Analytics-munkaterületet az Azure Monitorhoz. Ezután megtudhatja, hogyan küldhet naplófájlokat a Log Analytics-munkaterületre. Végül megtudhatja, hogyan hozhat létre riasztásokat, hogy értesítést küldhessenek a gyanús felhasználói viselkedésről vagy tevékenységről. Egy későbbi gyakorlatban saját maga is kipróbálhatja.
Előfeltételek
Ha Log Analytics-munkaterületet szeretne használni a Microsoft Entra-naplók megtekintéséhez és elemzéséhez, győződjön meg arról, hogy a következő elemek érhetők el vagy állíthatók be:
- Hozzáférés Log Analytics-munkaterülethez.
- Hozzáférés a Microsoft Entra-naplókhoz.
- Hozzáférés a Microsoft Entra diagnosztikai beállításaihoz.
- Microsoft Entra ID P1 vagy P2 vagy Premium 2 előfizetés.
- Az alábbi Microsoft Entra-szerepkörök bármelyike:
- Security Administrator
- Security Reader
- Report Reader
- Global Administrator
Log Analytics-munkaterület létrehozása
Tudja, hogy az Azure bejelentkezési és naplózási naplófájlok formájában gyűjt felhasználói adatokat, de az adatokat nem importálhatja közvetlenül az Azure Monitorba. Először egy Log Analytics-munkaterületen kell összegyűjtenie a naplóadatokat. Minden Log Analytics-munkaterület egyedi, és saját adattárral és konfigurációval rendelkezik. A munkaterület konfigurálásakor naplóbeli keresés és táblaalapú keresés használatával végezhet adatelemzést.
A Log Analytics-munkaterület létrehozása rendkívül egyszerű. Az Azure Portalon keressen a log analyticsre egy új Log Analytics-munkaterület-erőforrás létrehozásához.
Új Log Analytics-munkaterület létrehozásakor válassza ki vagy adja meg a munkaterület részleteit. Mindenképpen hozzon létre egy új munkaterületet, mert a munkaterület egyedi a bejelentkezett felhasználó számára. Minden munkaterületnek olyan névvel kell rendelkeznie, amely globálisan egyedi az Azure Monitor-előfizetések között. Igény szerint létrehozhat címkéket a munkaterülethez,
A tarifacsomag automatikusan használatalapú fizetésként van hozzárendelve, és gigabájtonkénti (GB) költségen alapul.
Egy Log Analytics-munkaterület létrehozásával gyűjthet és végezhet elemzéseket a felhasználói naplózási és bejelentkezési adatokról.
Tevékenységnaplók tárterületmérete
Fontos tisztában lenni azzal, hogy a munkaterület várhatóan mekkora tárhelyet foglal el. Egy bejelentkezési esemény naplóbejegyzésének jellemző mérete körülbelül 4 kB, az auditnaplóé pedig körülbelül 2 kB.
Ha ezt szemszögből nézzük, ha a bérlő 1000 felhasználóval rendelkezik, a napló naponta körülbelül 15 000 eseményt generálna. Napi 30 megabájtos (MB) tárterület lenne naponta vagy havonta 900 MB. A bejelentkezési naplók esetében ezek a számok valamivel nagyobbak. Ha egy 1000 felhasználóból álló Azure-bérlőt feltételezünk, a bejelentkezési naplók naponta 34 800 eseményt generálnak, ami körülbelül napi 140 MB vagy havonta 4 GB tárterület.
Naplók küldése a Log Analytics-munkaterületre
Most, hogy létrehozott egy Log Analytics-munkaterületet, hozzárendelheti a felhasználói naplókat és a bejelentkezési naplókat. Az Azure Monitor-naplókban használni kívánt összes adatot Log Analytics-munkaterületen kell tárolnia. Az Azure Portalon nyissa meg a Microsoft Entra-példányt. Válassza a Figyelés lapot, majd válassza a Diagnosztikai beállítások lehetőséget.
A két naplófájl és a Log Analytics-munkaterület közötti kapcsolat létrehozásához válassza a Diagnosztikai beállítás hozzáadása lehetőséget.
Adjon meg egy nevet a beállításhoz, és jelölje ki a munkaterületre küldeni kívánt naplókat.
Jelölje be a Küldés a Log Analytics szolgáltatásba lehetőséget, majd adjon meg vagy hozzon létre egy Log Analytics-munkaterületet.
Ezzel kialakított egy folyamatos adatátvitelt, amely leküldi az audit- és bejelentkezési adatokat a Log Analytics-munkaterületre. Mivel ez egy új szolgáltatás, körülbelül 15 percet vesz igénybe, amíg az adatok megjelennek a munkaterületen.
A naplófájlok elemzése
Már beállította a Log Analytics-munkaterületet a felhasználói tevékenységadatok fogadására. Most az Azure Monitor-naplók hatékonyságát kihasználva megtekintheti a környezeten belüli tevékenységeket. Az Azure Monitor-naplókkal lekérdezheti az adatokat, így felfigyelhet a trendekre, egyes eseményekre, vagy összefüggést kereshet különböző adatforrások között.
Naplóadatsémák
Az audit- és a bejelentkezési naplókhoz tartozó adatstreamek is a Log Analytics-munkaterületen vannak tárolva két külön táblában, az AuditLogs illetve a SignInLogs táblában. Minden tábla saját sémával rendelkezik, amellyel adatokat kérdezhet le.
Tevékenységnapló-lekérdezések írása
A munkaterületi táblákban tárolt auditnaplókon már lekérdezéseket is futtathat. Kétféle típusú lekérdezés írható: táblaalapú és keresésalapú. Az előző szakaszban bemutatott sémastruktúrákban az összes lekérdezhető mező megtalálható.
A használt lekérdezési nyelv a Kusto, amely az adatok feldolgozására és eredményhalmaz visszaadására szolgál.
Minden Kusto-lekérdezés közös mintára épül:
- A lekérdezés mindig annak a táblának a nevével kezdődik, amelyen a lekérdezést futtatja. Itt ez a név SignInLogs vagy AuditLogs lehet.
- A parancsok függőleges vonallal (|) vannak elválasztva, és általában új sorban kezdődnek. Egy lekérdezésben több függőleges vonal is lehet.
Ha nem nevez meg konkrét oszlopokat, a megjelenő eredményhalmaz a séma összes mezőjét tartalmazni fogja.
A where
parancs a lekérdezésben szereplő adatok szűrésének leggyakoribb módja. Az adatszűrési feltételek írásához az alábbi kifejezések használhatók:
Expression | Leírás | Példa |
---|---|---|
== | Egyenlőség ellenőrzése (a kis- és nagybetűk megkülönböztetésével) | Level == 8 |
=~ | Egyenlőség ellenőrzése (a kis- és nagybetűk megkülönböztetése nélkül) | EventSourceName =~ "microsoft-windows-security-auditing" |
!=, <> | Egyenlőtlenség ellenőrzése (a két kifejezés egyenértékű) | Level != 4 |
and or |
Feltételek között használandó | Level == 16 or CommandLine != "" |
A szűrőkben használt további gyakori parancsok többek között a következők:
Parancs | Leírás | Példa |
---|---|---|
take *n* |
Leginkább kis eredményhalmazokhoz használható. A „take” parancs n sort ad vissza az eredményhalmazból, meghatározott sorrend nélkül. | Naplózási naplók | 10-et vesz igénybe |
top *n* by *field* |
Ezzel a szűrőparanccsal az első n sort kaphatja vissza a megadott |
Naplózási naplók | Top 10 by timeGenerated |
sort by *field* (desc) |
Ha csak az eredményhalmazt szeretné rendezni, használhatja a sort parancsot. Meg kell adnia, hogy a rendezés mely mezőtől kezdődjön, majd igény szerint hozzáadhatja a desc utasítást, ami csökkenő rendezési mintát ír elő. | Naplózási naplók | Rendezés idő szerintNem módosított desc |
where |
Az egyszerű szűrési parancs. Meg kell adnia a mezőt, egy kifejezést és a komparátorértéket. Több where parancsot is használhat egymás után, függőeleges vonalakkal elválasztva. | Naplózási naplók | where CreatedDateTime >= ago(2d) |
project |
Ha az eredményhalmazban csak a megnevezett mezőket/oszlopokat szeretné látni, a project paranccsal megadhatja a mezők vesszővel tagolt listáját. | Naplózási naplók | project timeGenerated, OperationName, ResourceGroup, Result |
A lekérdezések létrehozásához számos más parancsot is használhat. A lekérdezésekkel és szűrőkkel kapcsolatos további információkért tekintse meg a modul végén található hivatkozásokat.
Példa bejelentkezési lekérdezésekre
Tegyük fel, hogy tudni szeretné a leggyakrabban használt alkalmazásokat, amelyekbe az elmúlt héten bejelentkezett. A lekérdezés a következő példához hasonlóan nézne ki:
SigninLogs
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName
| sort by signInCount desc
Vagy ha azt szeretné látni, hogy az elmúlt 14 napban hány felhasználó lett kockázatosként megjelölve, használja ezt a lekérdezést:
SigninLogs
| where CreatedDateTime >= ago(14d)
| where isRisky = true
Példa naplózási lekérdezésre
Tegyük fel, hogy az elmúlt hét leggyakoribb felhasználói eseményét szeretné megismerni. Az alábbi példához hasonló lekérdezést használna:
AuditLogs
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName
| sort by auditCount desc
Meglévő munkafüzetek vagy sablonok használata a Log Analytics-munkaterületen
Meglévő munkafüzetekkel megjelenítheti a naplózási és bejelentkezési adatok közös nézeteit. Ha nem talál olyan munkafüzetet, amely megfelel a szükségesnek, elkezdheti a sablont, és módosíthatja a lekérdezést.
Az Azure Portal Log Analytics-munkaterületén, az Általános menü bal oldali menüjében válassza a Munkafüzetek lehetőséget.
Ha nem talál olyan munkafüzetet, amely rendelkezik a szükséges lekérdezéssel, jelölje ki az Alapértelmezett sablon csempét, és hozzon létre egy lekérdezést.
Ha meg szeretné ismerni a múlt hét leggyakoribb felhasználói eseményét, illessze be ezt a lekérdezést a lekérdezésszerkesztőbe:
AuditLogs
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName
| sort by auditCount desc
Futtassa a lekérdezést az eredmények kereséséhez. Ha meggyőződik arról, hogy rendelkezik a kívánt adatokkal, válassza a Kész szerkesztés lehetőséget, majd mentse a munkafüzetet.
Adjon meg egy leíró nevet, például az elmúlt 7 nap gyakori felhasználói eseményeit, majd jelölje ki vagy írja be a használni kívánt előfizetést, erőforráscsoportot és helyet, majd mentse a munkafüzetet.
A munkafüzet megtekintéséhez válassza az Általános menü bal oldali menüjében a Munkafüzetek lehetőséget. Keresse meg a munkafüzet csempét a Legutóbb módosított munkafüzetek csoportban.