Vad är Azure Active Directory-övervakning?

Med Azure Active Directory-övervakning (Azure AD) kan du nu dirigera dina Azure AD-aktivitetsloggar till olika slutpunkter. Du kan antingen behålla dem för långvarig användning eller integrera dem med SIEM-verktyg (säkerhetsinformation och händelsehantering) för att få insikter om din miljö.

För närvarande kan du dirigera loggarna till:

  • Ett Azure-lagringskonto.
  • En Azure-händelsehubb, så du kan integrera med dina Splunk- och Sumologic-instanser.
  • Azure Log Analytics-arbetsyta, där du kan analysera data, skapa en instrumentpanel och avisera vid specifika händelser

Förutsättningsroll:Global administratör

Anteckning

Den här artikeln har nyligen uppdaterats för att använda termen Azure Monitor loggar i stället för Log Analytics. Loggdata lagras fortfarande på en Log Analytics-arbetsyta och samlas fortfarande in och analyseras av samma Log Analytics-tjänst. Vi uppdaterar terminologin för att bättre återspegla rollen för loggar i Azure Monitor. Mer Azure Monitor finns i Azure Monitor terminologiändringar.

Licensiering och krav för rapportering och övervakning i Azure AD

Du behöver en Azure AD Premium-licens för att få åtkomst till Azure AD-inloggningsloggarna.

Detaljerad funktion och licensieringsinformation finns i Azure Active Directory prisguiden.

Om du vill distribuera övervakning och rapportering i Azure AD behöver du en användare som är global administratör eller säkerhetsadministratör för Azure AD-klienten.

Beroende på slutmålet för dina loggdata behöver du något av följande:

  • Ett Azure-lagringskonto som du har ListKeys-behörigheter för. Vi rekommenderar att du använder ett allmänt lagringskonto och inte ett blob-lagringskonto. Information om lagringspriser hittar du i Priskalkylatorn för Azure Storage.

  • En Azure Event Hubs för integrering med SIEM-lösningar från tredje part.

  • En Azure Log Analytics-arbetsyta för att skicka loggar Azure Monitor loggar.

Konfiguration av diagnostikinställningar

Du konfigurerar övervakningsinställningarna för Azure AD-aktivitetsloggarna genom att först logga in på Azure-portalen och sedan välja Azure Active Directory. Härifrån kan du komma åt konfigurationssidan Diagnostikinställningar på två sätt:

  • Välj Diagnostikinställningar från avsnittet Övervakning.

    Diagnostics settings

  • Välj Granskningsloggar eller Inloggningaroch välj sedan Exportinställningar.

    Export settings

Dirigera loggar till lagringskonto

Genom att dirigera loggar till ett Azure Storage-konto kan du behålla dem längre än standardperioden för kvarhållning som beskrivs i våra principer för kvarhållning. Lär dig hur du dirigerar data till ditt lagringskonto.

Strömma loggar till händelsehubb

När du dirigerar loggar till en Azure-händelsehubb kan du integrera med SIEM-tredjepartsverktyg som Sumologic och Splunk. Den här integrationen gör att du kan kombinera Azure AD-aktivitetsloggdata med andra data som hanteras av ditt SIEM, för att ge bättre inblick i din miljö. Lär dig hur du skickar händelser till en händelsehubb.

Skicka loggar till Azure Monitor-loggar

Azure Monitor-loggar är en lösning som konsoliderar övervakningsdata från olika källor och tillhandahåller ett frågespråk och en analysmotor som ger dig insikter om hur dina program och resurser fungerar. Genom att skicka Azure AD-aktivitetsloggar till Azure Monitor-loggar kan du snabbt hämta, övervaka och agera på insamlade data. Lär dig att skicka data till Azure Monitor-loggar.

Du kan också installera fördefinierade vyer för Azure AD-aktivitetsloggar för vanliga scenarier som omfattar inloggningar och granskningshändelser. Lär dig att installera och använda logganalysvyer för Azure AD-aktivitetsloggar.

Nästa steg