Analizzare i log attività di Microsoft Entra con Log Analytics

Dopo aver integrato i log attività di Microsoft Entra con i log di Monitoraggio di Azure, è possibile usare le funzionalità di Log Analytics e dei log di Monitoraggio di Azure per ottenere informazioni dettagliate sull'ambiente.

  • Confrontare i log di accesso di Microsoft Entra con i log di sicurezza pubblicati da Microsoft Defender per il cloud.

  • Risolvere i problemi di colli di bottiglia delle prestazioni nella pagina di accesso dell'applicazione tramite la correlazione dei dati sulle prestazioni delle applicazioni da Azure Application Insights.

  • Analizzare i log degli utenti rischiosi di protezione dell’identità e dei rilevamenti dei rischi per rilevare le minacce nell'ambiente in uso.

Questo articolo descrive come analizzare i log attività di Microsoft Entra nell'area di lavoro Log Analytics.

Prerequisiti

Per analizzare i log attività con Log Analytics, è necessario:

  • Tenant microsoft Entra funzionante con una licenza P1 o P2 di Microsoft Entra ID associata.
  • Un'area di lavoro Log Analytics e accesso a tale area di lavoro
  • Ruoli appropriati per Monitoraggio di Azure e Microsoft Entra ID

area di lavoro Log Analytics

È necessario creare un'area di lavoro Log Analytics. Esistono diversi fattori che determinano l'accesso alle aree di lavoro Log Analytics. Sono necessari i ruoli appropriati per l'area di lavoro e le risorse che inviano i dati.

Per altre informazioni, vedere Gestire l'accesso a un'area di lavoro Log Analytics.

Ruoli di Monitoraggio di Azure

Monitoraggio di Azure offre due ruoli predefiniti per la visualizzazione dei dati di monitoraggio e la modifica delle impostazioni di monitoraggio. Il controllo degli accessi in base al ruolo di Azure offre anche due ruoli predefiniti di Log Analytics che concedono un accesso simile.

  • Visualizza:

    • Lettore di monitoraggio
    • Lettore di Log Analytics
  • Visualizzare e modificare le impostazioni:

    • Collaboratore al monitoraggio
    • Collaboratore di Log Analytics

Per altre informazioni sui ruoli predefiniti di Monitoraggio di Azure, vedere Ruoli, autorizzazioni e sicurezza in Monitoraggio di Azure.

Per altre informazioni sui ruoli di Log Analytics, vedere Ruoli predefiniti di Azure

Ruoli di Microsoft Entra

L'accesso in sola lettura consente di visualizzare i dati di log di Microsoft Entra ID all'interno di una cartella di lavoro, eseguire query sui dati da Log Analytics o leggere i log nell'Interfaccia di amministrazione di Microsoft Entra. L'accesso agli aggiornamenti consente di creare e modificare le impostazioni di diagnostica per inviare i dati di Microsoft Entra a un'area di lavoro Log Analytics.

  • Read:

    • Amministratore che legge i report
    • Ruolo con autorizzazioni di lettura per la sicurezza
    • Ruolo con autorizzazioni di lettura globali
  • Aggiornamento:

    • Amministratore della sicurezza

Per altre informazioni sui ruoli predefiniti di Microsoft Entra, vedere Ruoli predefiniti di Microsoft Entra.

Accedere a Log Analytics

Per visualizzare Microsoft Entra ID Log Analytics, è necessario inviare già i log attività da Microsoft Entra ID a un'area di lavoro Log Analytics. Questo processo è illustrato nell'articolo Come integrare i log attività con Monitoraggio di Azure.

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.

  2. Passare a Identità>Monitoraggio e integrità>Log Analytics. Viene eseguita una query di ricerca predefinita.

    Query predefinita

  3. Espandere la categoria LogManagement per visualizzare l'elenco delle query correlate al log.

  4. Selezionare o passare il puntatore del mouse sul nome di una query per visualizzare una descrizione e altri dettagli utili.

  5. Espandere una query nell'elenco per visualizzare lo schema.

    Screenshot dello schema di una query.

Eseguire query nei log attività

È possibile eseguire query sui log attività indirizzati a un'area di lavoro Log Analytics. Ad esempio, per ottenere un elenco di applicazioni con il maggior numero di accessi durante la settimana appena trascorsa, immettere la query seguente e selezionare il pulsante Esegui.

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName
| sort by signInCount desc 

Per trovare eventi di accesso rischiosi, usare la query seguente:

SigninLogs
| where RiskState contains "atRisk"

Per ottenere i principali eventi di controllo nell'ultima settimana, usare la query seguente:

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc