Integrera Microsoft Entra-loggar med Azure Monitor-loggar

  • Så här gör du

Med hjälp av diagnostikinställningar i Microsoft Entra-ID kan du integrera loggar med Azure Monitor så att inloggningsaktiviteten och spårningsspåret för ändringar i klientorganisationen kan analyseras tillsammans med andra Azure-data.

Den här artikeln innehåller stegen för att integrera Microsoft Entra-loggar med Azure Monitor.

Använd integreringen av Microsoft Entra-aktivitetsloggar och Azure Monitor för att utföra följande uppgifter:

  • Jämför dina Inloggningsloggar för Microsoft Entra med säkerhetsloggar som publicerats av Microsoft Defender för molnet.
  • Felsöka flaskhalsar i prestanda på programmets inloggningssida genom att korrelera programprestandadata från Azure Application Insights.
  • Analysera loggarna Identity Protection-riskfyllda användare och riskidentifieringar för att identifiera hot i din miljö.
  • Identifiera inloggningar från program som fortfarande använder ADAL (Active Directory Authentication Library) för autentisering. Lär dig mer om ADAL-supportplanen.

Kommentar

Genom att integrera Microsoft Entra-loggar med Azure Monitor aktiveras automatiskt Microsoft Entra-dataanslutningen i Microsoft Sentinel.

Förutsättningar

Om du vill använda den här funktionen behöver du:

  • En Microsoft Entra ID P1- eller P2-klientorganisation.

  • Minst säkerhetsadministratörsrollen i Microsoft Entra-klientorganisationen.

Skapa en Log Analytics-arbetsyta

Med en Log Analytics-arbetsyta kan du samla in data baserat på en mängd olika krav, till exempel geografisk plats för data, prenumerationsgränser eller åtkomst till resurser. Lär dig hur du skapar en Log Analytics-arbetsyta.

Letar du efter hur du konfigurerar en Log Analytics-arbetsyta för Azure-resurser utanför Microsoft Entra-ID? Läs artikeln Samla in och visa resursloggar för Azure Monitor.

Skicka loggar till Azure Monitor

Använd följande steg för att skicka loggar från Microsoft Entra-ID till Azure Monitor-loggar. Letar du efter hur du konfigurerar Log Analytics-arbetsyta för Azure-resurser utanför Microsoft Entra-ID? Läs artikeln Samla in och visa resursloggar för Azure Monitor.

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

  1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.

  2. Bläddra till Inställningar för identitetsövervakning>och hälsodiagnostik.> Du kan också välja Exportera inställningar från sidan Granskningsloggar eller Inloggningar .

  3. Välj + Lägg till diagnostikinställning för att skapa en ny integrering eller välj Redigera inställning för en befintlig integrering.

  4. Ange ett namn på diagnostikinställningen. Om du redigerar en befintlig integrering kan du inte ändra namnet.

  5. Välj de loggkategorier som du vill strömma. En beskrivning av varje loggkategori finns i Vilka identitetsloggar kan du strömma till en slutpunkt.

  6. Under Målinformation markerar du kryssrutan Skicka till Log Analytics-arbetsyta .

  7. Välj lämplig prenumerations - och Log Analytics-arbetsyta från menyerna.

  8. Klicka på knappen Spara.

    Skärmbild av diagnostikinställningarna med viss målinformation som visas.

    Om du inte ser loggar som visas i det valda målet efter 15 minuter loggar du ut och tillbaka till Azure för att uppdatera loggarna.

Relaterat innehåll