Integrare i log di controllo di Azure Active Directory

Gli eventi di controllo di Azure Active Directory aiutano i clienti a identificare le azioni con privilegi che si sono verificate in Azure Active Directory. I tipi di eventi di cui è possibile tenere traccia sono visibili esaminando gli eventi dei report di controllo di Azure Active Directory

Nota

Prima di eseguire i passaggi descritti in questo articolo, è consigliabile rivedere l'articolo Introduzione e completare tutti i passaggi fino al passaggio 3 della sezione Passaggi successivi all'installazione e di convalida.

Passaggi necessari per integrare i log di controllo di Azure Active Directory

  1. Aprire il prompt dei comandi e digitare cd per passare alla directory C:\Programmi\Integrazione log di Microsoft Azure
  2. Eseguire il comando:

    azlog createazureid

    Questo comando richiede le credenziali di accesso di Azure. Il comando crea quindi un'entità servizio di Azure Active Directory nei tenant di Azure AD che ospitano le sottoscrizioni di Azure in cui l'utente connesso è amministratore, coamministratore o proprietario. Se l'utente connesso è solo un utente Guest nel tenant di Azure AD, il comando avrà esito negativo. L'autenticazione in Azure avviene tramite Azure Active Directory (AD). La creazione di un'entità servizio per l'integrazione dei log di Azure crea l'identità di Azure AD a cui verrà consentito l'accesso in lettura dalle sottoscrizioni di Azure.

  3. Eseguire il comando specificando l'ID del tenant. Per eseguire il comando è necessario essere membri del ruolo di amministratore tenant.

Azlog.exe authorizedirectoryreader tenantId

Esempio

AZLOG.exe authorizedirectoryreader ba2c0000-d24b-4f4e-92b1-48c4469999

Verificare che siano stati creati i file JSON del log di controllo di Azure Active Directory nelle cartelle seguenti:

  • C:\Users\azlog\AzureActiveDirectoryJson
  • C:\Users\azlog\AzureActiveDirectoryJsonLD

Di seguito è disponibile un video con i passaggi illustrati in questo articolo.

Puntare il connettore del server di inoltro del file SIEM standard alla cartella appropriata per reindirizzare i dati all'istanza di SIEM. A seconda del prodotto SIEM in uso, potrebbe essere necessario il mapping dei campi.

L'assistenza della community è disponibile tramite il forum MSDN di Integrazione log di Azure. Il forum offre ai membri della community di AzLog la possibilità di supporto reciproco con domande, risposte, suggerimenti e trucchi su come ottenere il massimo da Integrazione log di Azure. Inoltre, il team di Integrazione log di Azure monitora questo forum e offrirà il suo contributo quando possibile.

Si può anche aprire un richiesta di supporto. A tale scopo selezionare Integrazione log come servizio per cui richiedere supporto.

Passaggi successivi

Per altre informazioni su Integrazione log di Azure, vedere i documenti seguenti: