Интеграция журналов Azure AD с журналами Azure Monitor

Выполните шаги, указанные в этой статье, чтобы интегрировать журналы Azure Active Directory (Azure AD) с Azure Monitor.

С помощью интеграции журналов действий Azure AD в журналах Azure Monitor можно выполнять следующие задачи:

• сравнивать журналы входа в Azure AD для журналов безопасности, опубликованных с помощью Microsoft Defender для облака;

• устранять узкие места производительности на странице входа в приложение, сопоставляя данные о производительности приложений из Azure Application Insights.

• анализировать журналы обнаружения риска и пользователей, совершающих рискованные действия в отношении защиты идентификаторов, чтобы обнаружить угрозы в среде (общедоступная предварительная версия);

• обнаруживать входы из приложений, использующих Библиотеку проверки подлинности Active Directory (ADAL) для проверки подлинности. Поддержка ADAL скоро будет прекращена.

В этом видео сеанса Microsoft Ignite показаны преимущества использования журналов Azure Monitor для журналов Azure AD в практических сценариях:

Поддерживаемые отчеты

Для дальнейшего анализа вы можете маршрутизировать журналы действий аудита и входа в журналы Azure Monitor.

• Журналы аудита. Отчет о действиях журналов аудита предоставляет доступ к истории каждой задачи, выполняемой в клиенте.
• Журналы входов в систему. Отчет о действиях входов в систему позволяет определить, кто выполнил задачи, указанные в отчете журналов аудита.
• Журналы подготовки. С помощью журналов подготовки можно отслеживать пользователей, которые были созданы, обновлены и удалены во всех приложениях сторонних разработчиков.
• Журналы пользователей, совершающих рискованные действия (общедоступная предварительная версия) : с помощью журналов пользователей, совершающих рискованные действия, можно отслеживать изменения уровня риска пользователей и действия по исправлению.
• Журналы обнаружения риска (общедоступная предварительная версия) : с помощью журналов обнаружения риска можно контролировать обнаружения риска пользователей и анализировать тенденции рискованных действий, обнаруженных в организации.

Предварительные требования

Для использования этой функции необходимо иметь следующее.

• Подписка Azure. Если у вас нет подписки Azure, можно зарегистрироваться и получить бесплатную пробную версию.
• Клиент Azure AD.
• Пользователь, который является глобальным администратором или администратором безопасности для этого клиента Azure AD.
• Рабочая область Log Analytics в подписке Azure. Узнайте, как создать рабочую область Log Analytics.

Требования к лицензированию

Для использования этой функции требуется Azure AD Premium P1 или клиент Р2. Тип лицензии клиента можно найти на странице Обзор в Azure Active Directory.

Если вы хотите узнать, как долго данные о действиях хранятся в клиенте Premium, см. раздел Как долго в Azure AD хранятся данные?

Отправка журналов в Azure Monitor

1. Войдите на портал Azure.

2. Выберите Azure Active Directory>Параметры диагностики>Добавить параметры диагностики. Чтобы получить доступ к странице конфигурации параметров диагностики, можно выбрать Параметры экспорта со страницы Журналы аудита или Вход в систему.

3. В меню Параметры диагностики установите флажок Send to Log Analytics workspace(Отправить в рабочую область Log Analytics), а затем выберите Настроить.

4. Выберите рабочую область Log Analytics, в которую хотите отправить журналы, или создайте новую рабочую область в предоставленном диалоговом окне.

5. Выполните все указанные ниже действия или любое из них:

   • Установите флажок AuditLogs, чтобы отправить журналы аудита в рабочую область Log Analytics.
   • Чтобы отправить журналы входа в рабочую область Log Analytics, установите флажок SignInLogs.
   • Чтобы отправлять в рабочую область Log Analytics журналы неинтерактивного входа пользователей, установите флажок NonInteractiveUserSignInLogs.
   • Чтобы отправлять в рабочую область Log Analytics журналы входа в субъект-службу, установите флажок ServicePrincipleSignInLogs.
   • Чтобы отправлять в рабочую область Log Analytics журналы входа с управляемым удостоверением, установите флажок ManagedIdentitySignInLogs.
   • Чтобы отправлять в рабочую область Log Analytics журналы подготовки, установите флажок ProvisioningLogs.
   • Чтобы отправлять в рабочую область Log Analytics журналы входа в службы федерации Active Directory (AD FS), установите флажок ADFSSignInLogs.
   • Чтобы отправлять в рабочую область Log Analytics журналы пользователей, совершающих рискованные действия, установите флажок RiskyUsers. (общедоступная предварительная версия)
   • Чтобы отправлять в рабочую область Log Analytics журналы обнаружения риска, установите флажок UserRiskEvents. (общедоступная предварительная версия)

6. Нажмите кнопку Сохранить, чтобы сохранить параметры.

   

7. Примерно через 15 минут убедитесь, что события отправлены в рабочую область Log Analytics.

Дальнейшие действия

• Анализ журналов действий Azure AD с помощью журналов Azure Monitor
• Установка и использование представлений Log Analytics для Azure Active Directory