Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure

  • Procedure

Usando le impostazioni di diagnostica in Microsoft Entra ID, è possibile integrare i log con Monitoraggio di Azure in modo che l'attività di accesso e il audit trail delle modifiche all'interno del tenant possano essere analizzati insieme ad altri dati di Azure.

Questo articolo illustra la procedura per integrare i log di Microsoft Entra con Monitoraggio di Azure.

Usare l'integrazione dei log attività di Microsoft Entra e Monitoraggio di Azure per eseguire le attività seguenti:

  • Confrontare i log di accesso di Microsoft Entra con i log di sicurezza pubblicati da Microsoft Defender per il cloud.
  • Risolvere i colli di bottiglia delle prestazioni nella pagina di accesso dell'applicazione correlando i dati sulle prestazioni dell'applicazione da app Azure lication Insights.
  • Analizzare i log degli utenti a rischio e dei rilevamenti dei rischi di protezione dell’identità per rilevare le minacce nell'ambiente in uso.
  • Identificare gli accessi dalle applicazioni che usano ancora Active Directory Authentication Library (ADAL) per l'autenticazione. Informazioni sul piano di fine supporto di ADAL.

Nota

L'integrazione dei log di Microsoft Entra con Monitoraggio di Azure abilita automaticamente il connettore dati Microsoft Entra in Microsoft Sentinel.

Prerequisiti

Per usare questa funzionalità, sono necessari:

  • Un tenant Microsoft Entra ID P1 o P2.

Creare un'area di lavoro Log Analytics

Un'area di lavoro Log Analytics consente di raccogliere dati in base a diversi requisiti, ad esempio la posizione geografica dei dati, i limiti delle sottoscrizioni o l'accesso alle risorse. Informazioni su come creare un'area di lavoro Log Analytics.

Per informazioni su come configurare un'area di lavoro Log Analytics per le risorse di Azure all'esterno di Microsoft Entra ID, vedere Raccogliere e visualizzare i log delle risorse per Monitoraggio di Azure.

Inviare log a Monitoraggio di Azure

Usare la procedura seguente per inviare i log da Microsoft Entra ID ai log di Monitoraggio di Azure.

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore della sicurezza.

  2. Passare a Identità>Monitoraggio e integrità>Impostazioni diagnostiche. È anche possibile selezionare Esporta impostazioni nella pagina Log di audit o Accessi .

  3. Selezionare + Aggiungi impostazione di diagnostica per creare una nuova integrazione o selezionare Modifica impostazione per un'integrazione esistente.

  4. Immettere un nome di impostazione di diagnostica. Se si modifica un'integrazione esistente, non è possibile modificare il nome.

  5. Selezionare le categorie di log da trasmettere. Per una descrizione di ogni categoria di log, vedere Informazioni sui log delle identità che è possibile trasmettere a un endpoint.

  6. In Dettagli destinazione selezionare la casella di controllo Invia all'area di lavoro Log Analytics.

  7. Selezionare l'area di lavoro Sottoscrizione e Log Analytics appropriata dai menu.

  8. Selezionare il pulsante Salva.

    Screenshot delle impostazioni di diagnostica con alcuni dettagli di destinazione visualizzati.

    Se non vengono visualizzati i log nella destinazione selezionata dopo 15 minuti, disconnettersi e tornare all'interfaccia di amministrazione di Microsoft Entra per aggiornare i log.

Contenuto correlato