Tutorial: Criar um espaço de trabalho do Log Analytics

Neste tutorial, você aprenderá a:

Pré-requisitos

Para analisar logs de atividades com o Log Analytics, você precisa das seguintes funções e requisitos:

• Monitoramento e licenciamento de integridade do Microsoft Entra

• Um workspace do Log Analytics e acesso a esse workspace

• A função apropriada para o Azure Monitor:

  • Leitor de monitoramento
  • Leitor do Log Analytics
  • Colaborador de monitoramento
  • Colaborador do Log Analytics

• A função apropriada para o Microsoft Entra ID:

  • Leitor de relatórios
  • Leitor de segurança
  • Leitor global
  • Administrador de Segurança

Familiarize-se com estes artigos:

• Tutorial: Coletar e analisar logs de recursos de um recurso do Azure

• Como integrar logs de atividades ao Log Analytics

• Gerenciar conta de acesso de emergência no Microsoft Entra ID

• Referência rápida de KQL

• Pastas de trabalho do Azure Monitor

Configurar a análise de logs

Este procedimento descreve como configurar um workspace do log Analytics para os logs de auditoria e de entrada. Para configurar um workspace do Log Analytics, você precisa criar o workspace e, em seguida, definir as configurações de diagnóstico.

Criar o workspace

1. Entre no portal do Azure como pelo menos um Administrador de Segurança e Colaborador do Log Analytics.

2. Navegue até workspaces do Log Analytics.

3. Selecione Criar.

   

4. Na página Criar workspace do Log Analytics, execute as seguintes etapas:

   1. Selecione sua assinatura.

   2. Selecione um grupo de recursos.

   3. Dê um nome ao workspace.

   4. Selecione sua região.

   

5. Selecione Examinar + criar.

6. Selecione Criar e aguarde a implantação. Talvez seja necessário atualizar a página para ver o novo workspace.

Defina as configurações de diagnóstico

Para definir as configurações de diagnóstico, é necessário alternar para o Centro de administração Microsoft Entra para enviar as informações de log de identidade para o novo espaço de trabalho.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.

2. Navegue até Identidade>Monitoramento e integridade>Configurações de diagnóstico.

3. Selecione Adicionar configuração de diagnóstico.

   

4. Na página Configuração de diagnóstico, execute as seguintes etapas:

   1. Forneça um nome para a configuração de diagnóstico.

   2. Em Logs, selecione AuditLogs e SigninLogs.

   3. Em Detalhes de destino, selecione Enviar para o Log Analytics e selecione o novo workspace do Log Analytics.

   4. Selecione Salvar.

   

Seus logs já podem ser consultados por meio do KQL (Linguagem de Consulta Kusto) no Log Analytics. Talvez seja necessário aguardar cerca de 15 minutos para que os logs sejam preenchidos.

Executar consultas no Log Analytics

Este procedimento mostra como executar consultas usando a KQL (Kusto Query Language) .

Executar uma consulta

1. Entre no Centro de administração do Microsoft Entra como, pelo menos, Leitor de Relatórios.

2. Navegue até Identidade>Monitoramento e integridade>Log Analytics.

3. Na caixa de texto Pesquisar, digite sua consulta e selecione Executar.

Exemplos de consulta KQL

Pegue 10 entradas aleatórias dos dados de entrada:

• SigninLogs | take 10

Veja as entradas em que o Acesso Condicional foi um sucesso:

• SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Número de êxitos:

• SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Contagem agregada de entradas bem-sucedidas por usuário por dia:

• SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

Veja quantas vezes um usuário realiza uma determinada operação em um período específico:

• AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Dinamize os resultados no nome da operação:

• AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

Mescle Logs de Auditoria e de Entrada usando uma junção interna:

• AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

Veja o número de entradas por tipo de aplicativo cliente:

• SigninLogs | summarize count() by ClientAppUsed

Conte as entradas por dia:

• SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Pegue cinco entradas aleatórias e projeta as colunas que você deseja ver nos resultados:

• SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Pegue os 5 primeiros em ordem decrescente e projete as colunas que você deseja ver:

• SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Crie uma coluna combinando os valores para duas outras colunas:

• SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Criar uma pasta de trabalho personalizada

Este procedimento mostra como criar uma pasta de trabalho usando o modelo de início rápido.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.

2. Navegue até Identidade>Monitoramento e integridade>Pastas de trabalho.

3. Na seção Início rápido, escolha Vazio.

   

4. No menu Adicionar, selecione Adicionar texto.

   

5. Na caixa de texto, insira # Client apps used in the past week e selecione Edição Concluída.

   

6. Abaixo da janela de texto, abra o menu Adicionar e selecione Adicionar consulta.

   

7. Na caixa de texto da consulta, insira: SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed

8. Selecione Executar Consulta.

   

9. Na barra de ferramentas, no menu Visualização, selecione Gráfico de pizza.

   

10. Escolha Edição Concluída na parte superior da página.

11. Selecione o ícone Salvar para salvar a pasta de trabalho.

12. Na caixa de diálogo exibida, insira um título, selecione um grupo de recursos e escolha Aplicar.

Adicionar uma consulta a um modelo de pasta de trabalho

Este procedimento mostra como adicionar uma consulta a um modelo de pasta de trabalho existente. O exemplo se baseia em uma consulta que mostra a distribuição de êxito para falhas no acesso condicional.

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Leitor de Relatórios.

2. Navegue até Identidade>Monitoramento e integridade>Pastas de trabalho.

3. Na seção Acesso Condicional, selecione Insights e Relatórios do Acesso Condicional.

   

4. Na barra de ferramentas, selecione Editar.

   

5. Na barra de ferramentas, selecione os três pontos ao lado do botão Editar e, em seguida, Adicionar e Adicionar consulta.

   

6. Na caixa de texto da consulta, insira: SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus

7. Selecione Executar Consulta.

   

8. No menu Intervalo de Tempo, selecione Definir na consulta.

9. No menu Visualização, selecione Gráfico de barras.

10. Selecione Configurações Avançadas.

    

11. No campo Título do gráfico, insira Conditional Access status over the last 20 days e selecione Edição Concluída.

    

O gráfico de sucesso e falha do Acesso condicional exibirá um instantâneo codificado por cores do seu locatário.

Próxima etapa