Analysieren von Microsoft Entra-Aktivitätsprotokollen mit Log Analytics
Nachdem Sie Microsoft Entra-Aktivitätsprotokolle mit Azure Monitor-Protokollen integriert haben, können Sie die Leistungsfähigkeit von Log Analytics und Azure Monitor-Protokollen nutzen, um Einblicke in Ihre Umgebung zu erhalten.
Vergleichen Ihrer Microsoft Entra-Anmeldeprotokolle mit von Microsoft Defender für Cloud veröffentlichten Sicherheitsprotokollen.
Behandeln von Leistungsengpässen auf der Anmeldeseite Ihrer Anwendung durch Korrelieren von Anwendungsleistungsdaten aus Azure Application Insights
Analysieren von Benutzern, die von Identity Protection als Risikobenutzer eingestuft werden, und Risikoerkennungsprotokollen, um Bedrohungen in Ihrer Umgebung zu erkennen
In diesem Artikel erfahren Sie, wie Sie die Microsoft Entra-Aktivitätsprotokolle in Ihrem Log Analytics-Arbeitsbereich analysieren.
Voraussetzungen
Zum Analysieren von Aktivitätsprotokollen mit Log Analytics benötigen Sie Folgendes:
- Ein Microsoft Entra-Mandant mit einer Premium P1-Lizenz
- Log Analytics-Arbeitsbereich und Zugriff auf diesen Arbeitsbereich
- Die geeigneten Rollen für Azure Monitor und Microsoft Entra ID
Log Analytics-Arbeitsbereich
Sie müssen einen Log Analytics-Arbeitsbereich erstellen. Es gibt mehrere Faktoren, die den Zugriff auf Log Analytics-Arbeitsbereiche bestimmen. Sie benötigen die richtigen Rollen für den Arbeitsbereich und die Ressourcen, die die Daten senden.
Weitere Informationen finden Sie unter Verwalten des Zugriffs auf Log Analytics-Arbeitsbereiche.
Azure Monitor-Rollen
Azure Monitor bietet zwei integrierte Rollen zum Anzeigen von Überwachungsdaten und zum Bearbeiten von Überwachungseinstellungen. Die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure bietet außerdem zwei integrierte Log Analytics-Rollen, die ähnlichen Zugriff gewähren.
Anzeigen:
- Überwachungsleser
- Log Analytics-Leser
Anzeigen und Ändern von Einstellungen:
- Überwachungsmitwirkender
- Log Analytics-Mitwirkender
Weitere Informationen zu den integrierten Azure Monitor-Rollen finden Sie unter Rollen, Berechtigungen und Sicherheit in Azure Monitor.
Weitere Informationen zu den RBAC-Rollen von Log Analytics finden Sie unter Integrierte Azure-Rollen.
Microsoft Entra-Rollen
Mit dem schreibgeschützten Zugriff können Sie Microsoft Entra ID-Protokolldaten in einer Arbeitsmappe anzeigen, Daten aus Log Analytics abfragen oder Protokolle im Microsoft Entra Admin Center lesen. Der Updatezugriff bietet die Möglichkeit, Diagnoseeinstellungen zu erstellen und zu bearbeiten, um Microsoft Entra-Daten an einen Log Analytics-Arbeitsbereich zu senden.
Read (Lesen):
- Berichtleseberechtigter
- Sicherheitsleseberechtigter
- Globaler Leser
Update (Aktualisieren):
- Sicherheitsadministrator
Weitere Informationen zu in Microsoft Entra integrierten Rollen finden Sie unter integrierte Rollen in Microsoft Entra.
Zugreifen auf Log Analytics
Zum Anzeigen von Microsoft Entra ID Log Analytics müssen Sie bereits Ihre Aktivitätsprotokolle aus Microsoft Entra ID an einen Log Analytics-Arbeitsbereich senden. Dieser Prozess wird im Artikel Integrieren von Azure AD-Protokollen in Azure Monitor-Protokolle behandelt.
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.
Browsen Sie zu Identität>Überwachung und Integrität>Log Analytics. Eine Standardsuchabfrage wird ausgeführt.
Erweitern Sie die Kategorie LogManagement, um die Liste der protokollbezogenen Abfragen anzuzeigen.
Wählen Sie den Namen einer Abfrage aus, oder zeigen Sie darauf, um eine Beschreibung und andere nützliche Details anzuzeigen.
Erweitern Sie eine Abfrage aus der Liste, um das Schema anzuzeigen.
Abfragen von Aktivitätsprotokollen
Sie können Abfragen für die Aktivitätsprotokolle ausführen, die an einen Log Analytics-Arbeitsbereich weitergeleitet werden. Um beispielsweise eine Liste von Anwendungen mit den meisten Anmeldungen der letzten Woche abzurufen, geben Sie die folgende Abfrage ein, und wählen Sie die Schaltfläche Ausführen aus.
SigninLogs
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName
| sort by signInCount desc
Um die häufigsten Überwachungsereignisse in der letzten Woche abzurufen, verwenden Sie die folgende Abfrage:
AuditLogs
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName
| sort by auditCount desc
Einrichten von Warnungen
Sie können auch Benachrichtigungen für eine Abfrage einrichten. Nach dem Ausführen einer Abfrage wird die Schaltfläche + Neue Warnungsregel aktiv.
Wählen Sie in Log Analytics die Schaltfläche + Neue Warnungsregel aus.
- Der Prozess Regel erstellen umfasst mehrere Abschnitte, um die Kriterien für die Regel anzupassen.
- Weitere Informationen zum Erstellen von Warnungsregeln finden Sie unter Erstellen einer neuen Warnungsregel in der Azure Monitor-Dokumentation (ab den Schritten zu Bedingung).
Wählen Sie auf der Registerkarte Aktionen die Aktionsgruppe aus, die die Warnung empfangen sollte, wenn das Signal ausgelöst wird.
- Sie können auch auswählen, Ihr Team per E-Mail oder SMS zu benachrichtigen, oder Sie könnten die Aktion mithilfe von Webhooks, Azure-Funktionen oder Logik-Apps automatisieren.
- Erfahren Sie mehr über das Erstellen und Verwalten von Benachrichtigungen im Azure-Portal.
Geben Sie auf der Registerkarte Details der Warnungsregel einen Namen, und ordnen Sie sie einem Abonnement und einer Ressourcengruppe zu.
Nachdem Sie alle erforderlichen Details konfiguriert haben, wählen Sie die Schaltfläche Überprüfen und erstellen aus.
Verwenden von Arbeitsmappen zum Analysieren von Protokollen
Microsoft Entra-Arbeitsmappen bieten mehrere Berichte, die im Zusammenhang mit allgemeinen Szenarien mit Überwachungs-, Anmelde- und Bereitstellungsereignissen stehen. Sie können mithilfe der im vorherigen Abschnitt beschriebenen Schritte auch Warnungen zu beliebigen Daten in den Berichten erstellen.
Bereitstellungsanalyse: In dieser Arbeitsmappe werden Berichte im Zusammenhang mit der Überwachung der Bereitstellungsaktivität angezeigt. Zu den Aktivitäten können die Anzahl neuer bereitgestellter Benutzer*innen, Bereitstellungsfehler, die Anzahl aktualisierter Benutzer*innen, Aktualisierungsfehler, die Anzahl aufgehobener Benutzerbereitstellungen und entsprechende Fehler gehören. Weitere Informationen finden Sie unter Grundlegendes zur Integration der Bereitstellung in Azure Monitor-Protokolle.
Anmeldeereignisse: In dieser Arbeitsmappe werden die relevantesten Berichte zur Überwachung von Anmeldeaktivitäten angezeigt, z. B. Anmeldungen nach Anwendungen, Benutzern, Geräten und eine Zusammenfassungsansicht, in der die Anzahl der Anmeldungen im Laufe der Zeit nachverfolgt wird.
Erkenntnisse zum bedingten Zugriff: Mithilfe der Arbeitsmappe für Erkenntnisse und Berichterstellung für den bedingten Zugriff können Sie die Auswirkungen von Richtlinien für den bedingten Zugriff in Ihrer Organisation im zeitlichen Verlauf nachvollziehen. Weitere Informationen finden Sie unter Erkenntnisse und Berichterstellung zum bedingten Zugriff.