이 자습서에서는 다음 방법을 알아봅니다.
- 사용자 지정 통합 문서 만들기
- 기존 통합 문서 템플릿에 쿼리 추가
필수 조건
Log Analytics를 사용하여 활동 로그를 분석하려면 다음 역할 및 요구 사항이 필요합니다.
Azure Monitor에 대한 적절한 역할:
- 모니터링 리더기
- Log Analytics 판독기
- 모니터링 기여자
- Log Analytics 기여자
Microsoft Entra ID에 대한 적절한 역할:
- 보고서 뷰어
- 보안 판독기
- 글로벌 독자
- 보안 관리자
Log Analytics 작업 영역을 아직 만들지 않은 경우 Log Analytics 작업 영역 구성 자습서를 완료합니다.
사용자 지정 통합 문서 만들기
KQL(Kusto Query Language)을 사용하여 데이터를 쿼리하는 것 외에도 추가 분석 및 경고를 위한 사용자 지정 통합 문서를 만들 수 있습니다. 통합 문서를 만들거나 업데이트할 권한이 가장 낮은 역할은 보안 관리자 역할입니다.
Entra ID>에서 모니터링 및 상태>통합 문서를 탐색하십시오.
빠른 시작 섹션에서 비어 있음을 선택합니다.
추가 메뉴에서 텍스트 추가를 선택합니다.
텍스트 상자에
# Client apps used in the past week를 입력하고 편집 완료를 선택합니다.
텍스트 창 아래에서 추가 메뉴를 열고 쿼리 추가를 선택합니다.
쿼리 텍스트 상자에서
SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed를 입력합니다.쿼리 실행을 선택합니다.
도구 모음의 시각화 메뉴에서 원형 차트를 선택합니다.
페이지 상단에서 편집 완료를 선택합니다.
저장 아이콘을 선택하여 통합 문서를 저장합니다.
표시되는 대화 상자에서 제목을 입력하고 리소스 그룹을 선택한 다음 적용을 선택합니다.
통합 문서 템플릿에 쿼리 추가
통합 문서에 Kusto 쿼리를 추가할 수 있습니다. 이 예제는 적용된 조건부 액세스 정책을 사용하여 성공 및 실패한 로그인의 배포를 보여 주는 쿼리를 기반으로 합니다. 통합 문서를 만들거나 업데이트할 권한이 가장 낮은 역할은 보안 관리자 역할입니다.
Entra ID>에서 모니터링 및 상태>통합 문서를 탐색하십시오.
조건부 액세스 섹션에서 조건부 액세스 인사이트 및 보고를 선택합니다.
도구 모음에서 편집을 선택합니다.
도구 모음에서 편집 단추 옆의 점 3개를 선택한 다음 추가를 선택하고 쿼리를 추가합니다.
쿼리 텍스트 상자에서
SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus를 입력합니다.쿼리 실행을 선택합니다.
시간 범위 메뉴에서 쿼리에서 설정을 선택합니다.
시각화 메뉴에서 막대형 차트를 선택합니다.
고급 설정을 선택합니다.
차트 제목 필드에서
Conditional Access status over the last 20 days를 입력하고 편집 완료를 선택합니다.
조건부 액세스 성공 및 실패 차트에는 테넌트에 대한 색상별 스냅샷이 표시됩니다.