Integrare i log di Azure AD con i log di Monitoraggio di Azure

Seguire la procedura descritta in questo articolo per integrare i log di Azure Active Directory (Azure AD) con Monitoraggio di Azure.

Usare l'integrazione dei log attività di Azure AD nei log di Monitoraggio di Azure per eseguire attività come:

  • Confrontare i log di accesso Azure AD nei log di sicurezza pubblicati da Microsoft Defender for Cloud.

  • Risolvere i problemi di colli di bottiglia delle prestazioni nella pagina di accesso dell'applicazione tramite la correlazione dei dati sulle prestazioni delle applicazioni da Azure Application Insights.

  • Analizzare gli utenti rischiosi di Identity Protection e i log dei rilevamenti dei rischi per rilevare le minacce nell'ambiente (anteprima pubblica)

  • Identificare gli accessi dalle applicazioni che usano Active Directory Authentication Library (ADAL) per l'autenticazione. ADAL sta vicino al supporto end-of-support.

Questo video della sessione di Microsoft Ignite illustra i vantaggi dell'uso dei log di Monitoraggio di Azure per i log di Azure AD in scenari pratici:

Report supportati

È possibile indirizzare i log attività di controllo e i log attività di accesso ai log di Monitoraggio di Azure per ulteriori analisi.

  • Log di controllo: il report attività dei log di controllo consente di accedere alla cronologia di ogni attività eseguita nel tenant.
  • Log di accesso: con il report attività di accesso, è possibile determinare chi ha eseguito le attività segnalate nei log di controllo.
  • Log di provisioning: con i log di provisioning, è possibile monitorare gli utenti creati, aggiornati ed eliminati in tutte le applicazioni di terze parti.
  • Log degli utenti rischiosi (anteprima pubblica): con i log degli utenti rischiosi, è possibile monitorare le modifiche apportate all'attività di rischio utente e correzione.
  • Log di rilevamento dei rischi (anteprima pubblica): con i log dei rilevamenti dei rischi, è possibile monitorare i rilevamenti dei rischi dell'utente e analizzare le tendenze nelle attività di rischio rilevate nell'organizzazione.

Prerequisiti

Per usare questa funzionalità, sono necessari:

Requisiti di licenza

L'uso di questa funzionalità richiede un tenant Azure AD Premium P1 o P2. È possibile trovare il tipo di licenza del tenant nella pagina Panoramica in Azure Active Directory.

Tenant information

Se si vuole sapere per quanto tempo i dati dell'attività vengono archiviati in un tenant Premium, vedere Quanto tempo Azure AD archiviare i dati?

Inviare log a Monitoraggio di Azure

  1. Accedere al portale di Azure.

  2. Selezionare Azure Active Directory>Impostazionidiagnostic ->Aggiungi impostazione di diagnostica. È anche possibile selezionare Esporta impostazioni dalla pagina Log di controllo o Accessi per visualizzare la pagina di configurazione delle impostazioni di diagnostica.

  3. Nel menu Impostazioni di diagnostica selezionare la casella di controllo Send to Log Analytics workspace (Invia ad area di lavoro Log Analytics) e quindi selezionare Configura.

  4. Selezionare l'area di lavoro Log Analytics a cui si vogliono inviare i log oppure creare una nuova area di lavoro nella finestra di dialogo visualizzata.

  5. Eseguire una o tutte le operazioni seguenti:

    • Per inviare i log di controllo all'area di lavoro Log Analytics, selezionare la casella di controllo AuditLogs.
    • Per inviare i log di accesso all'area di lavoro Log Analytics, selezionare la casella di controllo SignInLogs.
    • Per inviare log di accesso utente non interattivi all'area di lavoro Log Analytics, selezionare la casella di controllo NonInteractiveUserSignInLogs .
    • Per inviare i log di accesso del principio di servizio all'area di lavoro Log Analytics, selezionare la casella di controllo ServicePrincipleSignInLogs .
    • Per inviare i log di accesso dell'identità gestita all'area di lavoro Log Analytics, selezionare la casella di controllo ManagedIdentitySignInLogs .
    • Per inviare i log di provisioning all'area di lavoro Log Analytics, selezionare la casella di controllo ProvisioningLogs .
    • Per inviare log di accesso Active Directory Federation Services (ADFS) all'area di lavoro Log Analytics, selezionare ADFSSignInLogs.
    • Per inviare log di utenti rischiosi all'area di lavoro Log Analytics, selezionare la casella di controllo RiskyUsers . (anteprima pubblica)
    • Per inviare i log dei rilevamenti dei rischi all'area di lavoro Log Analytics, selezionare la casella di controllo UserRiskEvents . (anteprima pubblica)
  6. Selezionare Salva per salvare l'impostazione.

    Diagnostics settings

  7. Dopo circa 15 minuti, verificare che gli eventi vengano trasmessi all'area di lavoro Log Analytics.

Passaggi successivi