Analise os registos de atividades da AZure com registos do Monitor Azure

Depois de integrar os registos de atividade do Azure AD com registos do Azure Monitor,pode utilizar a potência dos registos do Azure Monitor para obter informações sobre o seu ambiente. Também pode instalar as vistas de analítica do Log para registos de atividades Azure AD para ter acesso a relatórios pré-construídos em torno de eventos de auditoria e login no seu ambiente.

Neste artigo, aprende-se a analisar os registos de atividades Azure AD no seu espaço de trabalho Log Analytics.

Nota

Este artigo foi recentemente atualizado para utilizar os registos do Azure Monitor em vez de Log Analytics. Os dados de registo ainda são armazenados num espaço de trabalho do Log Analytics e ainda são recolhidos e analisados pelo mesmo serviço Log Analytics. Estamos a atualizar a terminologia para melhor refletir o papel dos registos no Azure Monitor. Consulte as alterações da terminologia do Azure Monitor para mais detalhes.

Pré-requisitos

Para acompanhar, precisa:

  1. Inicie sessão no portal do Azure.

  2. Selecione O Diretório Ativo Azure e, em seguida, selecione Logs da secção de Monitorização para abrir o seu espaço de trabalho Log Analytics. O espaço de trabalho abrirá com uma consulta padrão.

    Consulta padrão

Ver o esquema para registos de atividades Azure AD

Os registos são empurrados para as tabelas AuditLogs e SigninLogs no espaço de trabalho. Para ver o esquema destas tabelas:

  1. A partir da vista de consulta padrão na secção anterior, selecione Schema e expanda o espaço de trabalho.

  2. Expanda a secção de Gestão de Registos e, em seguida, expanda os AuditLogs ou SigninLogs para visualizar o esquema de registo.

Consulta os registos de atividade azure AD

Agora que tem os registos no seu espaço de trabalho, agora pode fazer consultas contra eles. Por exemplo, para obter as principais aplicações usadas na última semana, substitua a consulta por defeito com a seguinte e selecione Executar

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

Para obter os melhores eventos de auditoria durante a semana passada, utilize a seguinte consulta:

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Alerta sobre os dados de registo de atividade da AZure AD

Também pode configurar alertas na sua consulta. Por exemplo, para configurar um alerta quando mais de 10 aplicações foram usadas na última semana:

  1. A partir do espaço de trabalho, selecione Definir alerta para abrir a página de regras Criar.

    Definir alerta

  2. Selecione os critérios de alerta predefinidos criados no alerta e atualize o Limiar na métrica predefinitiva para 10.

    Critérios de alerta

  3. Insira um nome e descrição para o alerta e escolha o nível de gravidade. Por exemplo, poderíamos defini-lo para Informação.

  4. Selecione o Grupo de Ação que será alertado quando o sinal ocorrer. Pode optar por notificar a sua equipa por e-mail ou mensagem de texto, ou pode automatizar a ação utilizando webhooks, funções Azure ou aplicações lógicas. Saiba mais sobre a criação e gestão de grupos de alerta no portal Azure.

  5. Uma vez configurado o alerta, selecione Criar alerta para o ativar.

Utilize livros pré-construídos para registos de atividades Azure AD

Os livros fornecem vários relatórios relacionados com cenários comuns envolvendo eventos de auditoria, inscrição e provisionamento. Também pode alertar qualquer um dos dados fornecidos nos relatórios, utilizando os passos descritos na secção anterior.

  • Análise do provisionamento: Este livro mostra relatórios relacionados com a atividade de fornecimento de auditoria, tais como o número de novos utilizadores a provisionados e falhas no provisionamento, o número de utilizadores atualizados e falhas de atualização e o número de utilizadores desavisionados e falhas correspondentes.
  • Eventos de início de sposição: Este livro mostra os relatórios mais relevantes relacionados com a monitorização da atividade de início de sposição, tais como inserções por aplicação, utilizador, dispositivo, bem como uma visão sumária que rastreia o número de ins- ins ao longo do tempo.
  • Insights de acesso condicional: Os insights de acesso condicional e o livro de relatórios permitem-lhe compreender o impacto das políticas de Acesso Condicional na sua organização ao longo do tempo.

Passos seguintes