Интеграция журналов Azure AD с журналами Azure Monitor

Выполните шаги, указанные в этой статье, чтобы интегрировать журналы Azure Active Directory (Azure AD) с Azure Monitor.

С помощью интеграции журналов действий Azure AD в журналах Azure Monitor можно выполнять следующие задачи:

  • сравнивать журналы входа в Azure AD для журналов безопасности, опубликованных с помощью Microsoft Defender для облака;

  • устранять узкие места производительности на странице входа в приложение, сопоставляя данные о производительности приложений из Azure Application Insights.

  • анализировать журналы обнаружения риска и пользователей, совершающих рискованные действия в отношении защиты идентификаторов, чтобы обнаружить угрозы в среде (общедоступная предварительная версия);

  • обнаруживать входы из приложений, использующих Библиотеку проверки подлинности Active Directory (ADAL) для проверки подлинности. Поддержка ADAL скоро будет прекращена.

В этом видео сеанса Microsoft Ignite показаны преимущества использования журналов Azure Monitor для журналов Azure AD в практических сценариях:

Поддерживаемые отчеты

Для дальнейшего анализа вы можете маршрутизировать журналы действий аудита и входа в журналы Azure Monitor.

  • Журналы аудита. Отчет о действиях журналов аудита предоставляет доступ к истории каждой задачи, выполняемой в клиенте.
  • Журналы входов в систему. Отчет о действиях входов в систему позволяет определить, кто выполнил задачи, указанные в отчете журналов аудита.
  • Журналы подготовки. С помощью журналов подготовки можно отслеживать пользователей, которые были созданы, обновлены и удалены во всех приложениях сторонних разработчиков.
  • Журналы пользователей, совершающих рискованные действия (общедоступная предварительная версия) : с помощью журналов пользователей, совершающих рискованные действия, можно отслеживать изменения уровня риска пользователей и действия по исправлению.
  • Журналы обнаружения риска (общедоступная предварительная версия) : с помощью журналов обнаружения риска можно контролировать обнаружения риска пользователей и анализировать тенденции рискованных действий, обнаруженных в организации.

Предварительные требования

Для использования этой функции необходимо иметь следующее.

Требования к лицензированию

Для использования этой функции требуется Azure AD Premium P1 или клиент Р2. Тип лицензии клиента можно найти на странице Обзор в Azure Active Directory.

Tenant information

Если вы хотите узнать, как долго данные о действиях хранятся в клиенте Premium, см. раздел Как долго в Azure AD хранятся данные?

Отправка журналов в Azure Monitor

  1. Войдите на портал Azure.

  2. Выберите Azure Active Directory>Параметры диагностики>Добавить параметры диагностики. Чтобы получить доступ к странице конфигурации параметров диагностики, можно выбрать Параметры экспорта со страницы Журналы аудита или Вход в систему.

  3. В меню Параметры диагностики установите флажок Send to Log Analytics workspace(Отправить в рабочую область Log Analytics), а затем выберите Настроить.

  4. Выберите рабочую область Log Analytics, в которую хотите отправить журналы, или создайте новую рабочую область в предоставленном диалоговом окне.

  5. Выполните все указанные ниже действия или любое из них:

    • Установите флажок AuditLogs, чтобы отправить журналы аудита в рабочую область Log Analytics.
    • Чтобы отправить журналы входа в рабочую область Log Analytics, установите флажок SignInLogs.
    • Чтобы отправлять в рабочую область Log Analytics журналы неинтерактивного входа пользователей, установите флажок NonInteractiveUserSignInLogs.
    • Чтобы отправлять в рабочую область Log Analytics журналы входа в субъект-службу, установите флажок ServicePrincipleSignInLogs.
    • Чтобы отправлять в рабочую область Log Analytics журналы входа с управляемым удостоверением, установите флажок ManagedIdentitySignInLogs.
    • Чтобы отправлять в рабочую область Log Analytics журналы подготовки, установите флажок ProvisioningLogs.
    • Чтобы отправлять в рабочую область Log Analytics журналы входа в службы федерации Active Directory (AD FS), установите флажок ADFSSignInLogs.
    • Чтобы отправлять в рабочую область Log Analytics журналы пользователей, совершающих рискованные действия, установите флажок RiskyUsers. (общедоступная предварительная версия)
    • Чтобы отправлять в рабочую область Log Analytics журналы обнаружения риска, установите флажок UserRiskEvents. (общедоступная предварительная версия)
  6. Нажмите кнопку Сохранить, чтобы сохранить параметры.

    Diagnostics settings

  7. Примерно через 15 минут убедитесь, что события отправлены в рабочую область Log Analytics.

Дальнейшие действия