Mengulas peristiwa audit keamanan di Azure Active Directory Domain Services menggunakan Azure Monitor Workbooks

Untuk membantu Anda memahami status domain terkelola Azure Active Directory Domain Services (Azure AD DS), Anda bisa mengaktifkan peristiwa audit keamanan. Peristiwa audit keamanan ini kemudian dapat diulas menggunakan Azure Monitor Workbooks yang menggabungkan teks, kueri analitik, dan parameter ke dalam laporan interaktif yang kaya. Azure Active Directory Domain Services menyertakan templat buku kerja untuk gambaran umum keamanan dan aktivitas akun yang memungkinkan Anda menggali peristiwa audit dan mengelola lingkungan Anda.

Artikel ini memperlihatkan kepada Anda cara menggunakan Azure Monitor Workbooks untuk mengulas peristiwa audit keamanan di AAzure Active Directory Domain Services.

Sebelum Anda mulai

Untuk menyelesaikan tutorial ini, Anda memerlukan sumber daya dan hak istimewa berikut:

Ringkasan Workbook Azure Monitor

Saat peristiwa audit keamanan diaktifkan di Azure Active Directory Domain Services, mungkin sulit untuk menganalisis dan mengidentifikasi masalah di domain terkelola. Azure Monitor memungkinkan Anda mengagregasi peristiwa audit keamanan ini dan mengkueri data. Dengan Azure Monitor Workbooks, Anda bisa memvisualisasikan data ini agar lebih cepat dan mudah mengidentifikasi masalah.

Templat buku kerja adalah laporan yang dikurasi yang dirancang untuk penggunaan kembali yang fleksibel oleh beberapa pengguna dan tim. Saat Anda membuka templat buku kerja, data dari lingkungan Azure Monitor Anda dimuat. Anda bisa menggunakan templat tanpa dampak pada pengguna lain di organisasi Anda, dan bisa menyimpan buku kerja Anda sendiri berdasarkan templat.

Azure Active Directory Domain Services menyertakan dua templat buku kerja berikut ini:

  • Laporan gambaran umum keamanan
  • Laporan aktivitas akun

Untuk informasi selengkapnya tentang cara mengedit dan mengelola buku kerja, lihat gambaran umum Buku Kerja Azure Monitor.

Menggunakan buku kerja laporan gambaran umum keamanan

Untuk membantu Anda lebih memahami penggunaan dan mengidentifikasi potensi ancaman keamanan, laporan gambaran umum keamanan meringkas data masuk dan mengidentifikasi akun yang mungkin ingin Anda periksa. Anda dapat melihat peristiwa dalam rentang tanggal tertentu, dan menelusuri paling detail peristiwa masuk tertentu, seperti upaya kata sandi yang buruk atau di mana akun tersebut dinonaktifkan.

Untuk mengakses templat buku kerja untuk laporan gambaran umum keamanan, selesaikan langkah-langkah berikut ini:

  1. Cari dan pilih Azure AD Domain Services di portal Microsoft Azure.

  2. Pilih domain terkelola Anda, seperti aaddscontoso.com

  3. Dari menu sebelah kiri, pilih Monitoring > Workbooks

    Cuplikan layar yang merupakan bagian tinggi tempat memilih Laporan Gambaran Umum Ringkasan Keamanan dan Laporan Aktivitas Akun.

  4. Pilih Laporan Gambaran Umum Ringkasan Keamanan.

  5. Dari menu turun bawah di bagian atas buku kerja, pilih langganan Azure Anda lalu ruang kerja Azure Monitor.

    Pilih Rentang waktu, seperti 7 hari terakhir, seperti yang diperlihatkan dalam contoh tangkapan layar berikut:

    Pilih opsi menu Workbooks di portal Microsoft Azure

    Opsi Tampilan petak dan Tampilan Bagan juga dapat diubah untuk menganalisis dan memvisualisasikan data sesuai keinginan.

  6. Untuk menelusuri paling detail ke dalam tipe peristiwa tertentu, pilih salah satu kartu hasil rincian masuk seperti Akun Terkunci, seperti yang diperlihatkan dalam contoh berikut ini:

    Contoh data Laporan Gambaran Umum Ringkasan Keamanan yang divisualisasikan di Azure Monitor Workbooks

  7. Bagian bawah laporan gambaran umum keamanan di bawah bagan lalu memecah tipe aktivitas yang dipilih. Anda bisa memfilter menurut nama pengguna yang terlibat di sisi kanan, seperti yang diperlihatkan dalam contoh laporan berikut:

    Detail penguncian akun di Azure Monitor Workbooks.

Menggunakan buku kerja laporan aktivitas akun

Untuk membantu Anda memecahkan masalah untuk akun pengguna tertentu, laporan aktivitas akun memecah informasi log peristiwa audit terperinci. Anda dapat meninjau kapan nama pengguna atau kata sandi yang buruk disediakan selama masuk, dan sumber upaya masuk.

Untuk mengakses templat buku kerja untuk laporan gambaran umum keamanan, selesaikan langkah-langkah berikut ini:

  1. Cari dan pilih Azure AD Domain Services di portal Microsoft Azure.

  2. Pilih domain terkelola Anda, seperti aaddscontoso.com

  3. Dari menu sebelah kiri, pilih Monitoring > Workbooks

  4. Pilih Laporan Aktivitas Akun.

  5. Dari menu turun bawah di bagian atas buku kerja, pilih langganan Azure Anda lalu ruang kerja Azure Monitor.

    Pilih Rentang waktu, seperti 30 hari terakhir, lalu bagaimana Anda ingin Tampilan petak mewakili data.

    Anda bisa memfilter menurut Nama pengguna akun, seperti felix, seperti yang diperlihatkan dalam contoh laporan berikut:

    Laporan aktivitas akun di Azure Monitor Workbooks.

    Area di bawah bagan memperlihatkan rincian peristiwa masuk individual bersama dengan informasi seperti hasil aktivitas dan stasiun kerja sumber. Informasi ini dapat membantu menentukan sumber berulang rincian peristiwa masuk yang dapat menyebabkan penguncian akun atau menunjukkan potensi serangan.

Seperti laporan gambaran umum keamanan, Anda dapat menelusuri paling detail petak yang berbeda di bagian atas laporan untuk memvisualisasikan dan menganalisis data sesuai kebutuhan.

Menyimpan dan mengedit buku kerja

Dua buku kerja templat yang disediakan oleh Azure Active Directory Domain Services adalah tempat yang baik untuk memulai dengan analisis data Anda sendiri. Jika Anda perlu mendapatkan lebih banyak granular dalam kueri data dan investigasi, Anda bisa menyimpan buku kerja Anda sendiri dan mengedit kueri.

  1. Untuk menyimpan salinan dari salah satu templat buku kerja, pilih Edit > Save as > Shared reports, lalu beri nama dan simpan.
  2. Dari salinan templat Anda sendiri, pilih Edit untuk memasuki mode edit. Anda dapat memilih tombol Edit biru di samping bagian mana pun dari laporan dan mengubahnya.

Semua bagan dan tabel di Azure Monitor Workbooks dihasilkan menggunakan kueri Kusto. Untuk informasi selengkapnya tentang membuat kueri Anda sendiri, lihat kueri log Azure Monitor dan tutorial kueri Kusto.

Langkah berikutnya

Jika Anda perlu menyesuaikan kebijakan kata sandi dan penguncian, lihat Kebijakan penguncian kata sandi dan akun pada domain terkelola.

Untuk masalah dengan pengguna, pelajari cara memecahkan masalah masuk akun atau masalah penguncian akun.