Esercitazione: Configurare un'area di lavoro Log Analytics

Articolo
07/04/2024

In questa esercitazione apprenderai a:

Configurare un'area di lavoro Log Analytics per i log di controllo e accesso
Eseguire query con il linguaggio di query Kusto (KQL)
Creare una cartella di lavoro personalizzata con il modello di avvio rapido
Aggiungere una query a un modello di cartella di lavoro esistente

Prerequisiti

Per analizzare i log attività con Log Analytics, sono necessari i ruoli e i requisiti seguenti:

Gestione delle licenze per il monitoraggio e l'integrità di Microsoft Entra
Un'area di lavoro Log Analytics e l'accesso a tale area di lavoro
Ruolo appropriato per Monitoraggio di Azure:
- Lettore di monitoraggio
- Lettore di Log Analytics
- Collaboratore al monitoraggio
- Collaboratore di Log Analytics
Ruolo appropriato per Microsoft Entra ID:
- Amministratore che legge i report
- Ruolo con autorizzazioni di lettura per la sicurezza
- Lettore globale
- Amministratore della sicurezza

Acquisire familiarità con questi articoli:

Configurare Log Analytics

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Questa procedura illustra come configurare un'area di lavoro Log Analytics per i log di controllo e di accesso. Per configurare un'area di lavoro Log Analytics, è necessario creare l'area di lavoro e quindi configurare le impostazioni di diagnostica.

Creare l'area di lavoro

Accedere al portale di Azure come almeno un amministratore della sicurezza e un collaboratore di Log Analytics.
Passare a Aree di lavoro Log Analytics.
Seleziona Crea.
Nella pagina Crea area di lavoro Log Analytics seguire questa procedura:
1. Selezionare la propria sottoscrizione.
2. Selezionare un gruppo di risorse.
3. Assegnare un nome all'area di lavoro.
4. Selezionare un'area.
Selezionare Rivedi e crea.
Selezionare Crea e attendere la distribuzione. Potrebbe essere necessario aggiornare la pagina per visualizzare la nuova area di lavoro.

Configurare le impostazioni di diagnostica

Per configurare le impostazioni di diagnostica, è necessario passare all'interfaccia di amministrazione di Microsoft Entra per inviare le informazioni del log delle identità alla nuova area di lavoro.

Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore della sicurezza.
Passare a Identità>Monitoraggio e integrità>Impostazioni diagnostiche.
Selezionare Aggiungi impostazione di diagnostica.
Nella pagina Impostazioni di diagnostica seguire questa procedura:
1. In Dettagli categoria selezionare AuditLogs e SigninLogs.
2. In Dettagli destinazione selezionare Invia a Log Analytics e quindi selezionare la nuova area di lavoro Log Analytics.
3. Seleziona Salva.

È ora possibile eseguire query sui log usando il Linguaggio di query Kusto (KQL) in Log Analytics. Potrebbe essere necessario attendere circa 15 minuti per il popolamento dei log.

Eseguire query in Log Analytics

Questa procedura mostra come eseguire le query con il linguaggio di query Kusto (KQL).

Eseguire una query

Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.
Passare a Identità>Monitoraggio e integrità>Log Analytics.
Nella casella di testo Cerca digitare la query e selezionare Esegui.

Esempi di query KQL

Prendere 10 voci casuali dai dati di input:

SigninLogs | take 10

Esaminare gli accessi in cui l'accesso condizionale è riuscito:

SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Numero di successi:

SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Aggregare il numero di accessi riusciti per utente al giorno:

SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

Visualizzare il numero di volte in cui un utente esegue una determinata operazione in un periodo di tempo specifico:

AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Pivot i risultati sul nome dell'operazione:

AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

Unire i log di controllo e di accesso con un inner join:

AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

Visualizzare il numero di accessi per tipo di app client:

SigninLogs | summarize count() by ClientAppUsed

Contare gli accessi per giorno:

SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Prendere cinque voci casuali e proiettare le colonne da visualizzare nei risultati:

SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Prendere i primi 5 in ordine decrescente e proiettare le colonne da visualizzare:

SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Creare una nuova colonna combinando i valori con altre due colonne:

SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Creare una cartella di lavoro personalizzata

Questa procedura illustra come creare una nuova cartella di lavoro con il modello di avvio rapido.

Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore della sicurezza.
Passare a Identity Monitoring &health Workbooks (Cartelle di lavoro di monitoraggio delle identità>e integrità).>
Nella sezione Avvio rapido selezionare Vuoto.
Scegliere Aggiungi testo dal menu Aggiungi.
Nella casella di testo immettere # Client apps used in the past week e selezionare Fine modifica.
Sotto la finestra di testo aprire il menu Aggiungi e selezionare Aggiungi query.
Nella casella di testo query immettere: SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed
Selezionare Esegui query.
Nella barra degli strumenti scegliere Grafico a torta dal menu Visualizzazione.
Selezionare Fine modifica nella parte superiore della pagina.
Selezionare l'icona Salva per salvare la cartella di lavoro.
Nella finestra di dialogo visualizzata immettere un titolo, selezionare un gruppo di risorse e selezionare Applica.

Aggiungere una query a un modello di cartella di lavoro

Questa procedura illustra come aggiungere una query a un modello di cartella di lavoro esistente. L'esempio è basato su una query che mostra la distribuzione dell'esito positivo degli accessi condizionali rispetto agli errori.

Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.
Passare a Identity Monitoring &health Workbooks (Cartelle di lavoro di monitoraggio delle identità>e integrità).>
Nella sezione Accesso condizionale selezionare Informazioni dettagliate e report per l'accesso condizionale.
Nella barra degli strumenti selezionare Modifica.
Nella barra degli strumenti selezionare i tre puntini accanto al pulsante Modifica, quindi Aggiungi e quindi Aggiungi query.
Nella casella di testo query immettere: SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus
Selezionare Esegui query.
Scegliere Imposta nella query dal menu Intervallo di tempo.
Scegliere Grafico a barre dal menu Visualizzazione.
Aprire Impostazioni avanzate.
Nel campo Titolo grafico immettere Conditional Access status over the last 20 days e selezionare Fine modifica.