Интеграция журналов Microsoft Entra с журналами Azure Monitor

С помощью параметров диагностики в идентификаторе Microsoft Entra можно интегрировать журналы с Azure Monitor, чтобы действие входа и аудит изменений в клиенте можно анализировать вместе с другими данными Azure.

В этой статье приведены инструкции по интеграции журналов Microsoft Entra с Azure Monitor.

Используйте интеграцию журналов действий Microsoft Entra и Azure Monitor для выполнения следующих задач:

  • Сравните журналы входа Microsoft Entra с журналами безопасности, опубликованными Microsoft Defender для облака.
  • устранять узкие места производительности на странице входа в приложение, сопоставляя данные о производительности приложений из Azure Application Insights.
  • Анализ рискованных пользователей и журналов обнаружения рисков защиты идентификации для обнаружения угроз в вашей среде.
  • Определите входы из приложений, которые по-прежнему используют библиотеку проверки подлинности Active Directory (ADAL) для проверки подлинности. Узнайте о плане завершения поддержки ADAL.

Примечание.

Интеграция журналов Microsoft Entra с Azure Monitor автоматически включает соединитель данных Microsoft Entra в Microsoft Sentinel.

Необходимые компоненты

Для использования этой функции необходимо иметь следующее.

  • Клиент Microsoft Entra ID P1 или P2.

  • По крайней мере роль администратора безопасности в клиенте Microsoft Entra.

Создание рабочей области Log Analytics

Рабочая область Log Analytics позволяет собирать данные на основе различных требований, таких как географическое расположение данных, границ подписки или доступ к ресурсам. Узнайте, как создать рабочую область Log Analytics.

Ищете, как настроить рабочую область Log Analytics для ресурсов Azure за пределами идентификатора Microsoft Entra? Ознакомьтесь со статьей о сборе и просмотре журналов ресурсов Azure Monitor .

Отправка журналов в Azure Monitor

Выполните следующие действия, чтобы отправить журналы из идентификатора Microsoft Entra в журналы Azure Monitor. Ищете, как настроить рабочую область Log Analytics для ресурсов Azure за пределами идентификатора Microsoft Entra? Ознакомьтесь со статьей о сборе и просмотре журналов ресурсов Azure Monitor .

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

  2. Перейдите к параметрам диагностики мониторинга удостоверений и работоспособности>>. Вы также можете выбрать параметры экспорта на странице "Журналы аудита" или "Вход".

  3. Выберите + Добавить параметр диагностики, чтобы создать новую интеграцию или выберите параметр "Изменить" для существующей интеграции.

  4. Укажите Имя параметра диагностики. Если вы редактировать существующую интеграцию, вы не можете изменить имя.

  5. Выберите категории журналов, которые требуется потоковой передачи. Описание каждой категории журнала см. в разделе "Что такое журналы удостоверений", которые можно передавать в конечную точку.

  6. В разделе "Сведения о назначении" установите флажок "Отправить в рабочую область Log Analytics".

  7. Выберите соответствующую рабочую область Подписки и Log Analytics в меню.

  8. Выберите кнопку Сохранить.

    Снимок экрана: параметры диагностика с некоторыми сведениями о назначении.

    Если журналы не отображаются в выбранном месте назначения через 15 минут, выйдите и вернитесь в Azure, чтобы обновить журналы.