为帮助了解 Microsoft Entra 域服务托管域的状态,你可以启用安全审核事件。 然后可以使用 Azure Monitor 工作簿查看这些安全审核事件,工作簿可将文本、分析查询和参数合并到丰富的交互式报表。 域服务包括安全概述和帐户活动的工作簿模板,使你能够深入了解审核事件并管理你的环境。
本文介绍如何使用 Azure Monitor 工作簿来查看域服务中的安全审核事件。
需有以下资源和特权才能完成本文:
- 一个有效的 Azure 订阅。
- 如果你没有 Azure 订阅,请创建一个帐户。
- 与订阅关联的 Microsoft Entra 租户,可以与本地目录或仅限云的目录同步。
- 在 Microsoft Entra 租户中启用和配置的 Microsoft Entra 域服务托管域。
- 请根据需要完成创建并配置 Microsoft Entra 域服务托管域的教程。
- 为托管域启用的安全审核事件,可将数据流式传输到 Log Analytics 工作区。
- 如果需要,请为域服务启用安全审核。
如果在域服务中启用安全审核事件,则可能很难分析和确定托管域中的问题。 通过 Azure Monitor,你可以聚合这些安全审核事件并查询数据。 通过 Azure Monitor 工作簿,你可以可视化此数据,从而更快、更轻松地确定问题。
工作簿模板是特选的报表,可供多个用户和团队灵活重复使用。 打开工作簿模板时,将加载 Azure Monitor 环境中的数据。 可以在不影响组织中其他用户的情况下使用模板,并且可以根据模板保存自己的工作簿。
域服务包含以下两个工作簿模板:
- 安全概述报表
- 帐户活动报表
有关如何编辑和管理工作簿的详细信息,请参阅 Azure Monitor 工作簿概述。
为了帮助你更好地了解使用情况和确定潜在的安全威胁,安全概述报表汇总了登录数据,并标识了你可能想要检查的帐户。 可以查看特定日期范围内的事件,并向下钻取到特定的登录事件,例如错误的密码尝试或帐户被禁用的位置。
若要访问安全概述报表的工作簿模板,请完成以下步骤:
在 Azure 门户中搜索并选择“Microsoft Entra 域服务”。
选择你的托管域,例如 aaddscontoso.com
从左侧菜单中选择“监视”>“工作簿”
选择“安全概述报表”。
从工作簿顶部的下拉菜单中,选择 Azure 订阅,然后选择一个 Azure Monitor 工作区。
选择“时间范围”,如“过去 7 天”,如以下示例屏幕截图所示:
也可更改“平铺视图”和“图表视图”选项,以根据需要分析和可视化数据 。
若要向下钻取到特定的事件类型,请选择“登录结果”卡片之一,例如“帐户已锁定”,如以下示例中所示:
然后图表下面的安全概述报表的下半部分将细分所选的活动类型。 可以按右侧包含的用户名进行筛选,如以下示例报表所示:
为帮助你排查特定用户帐户的问题,帐户活动报表将细分详细的审核事件日志信息。 可以检查在登录时是否提供了错误的用户名或密码,以及登录尝试的来源。
若要访问帐户活动报表的工作簿模板,请完成以下步骤:
在 Azure 门户中搜索并选择“Microsoft Entra 域服务”。
选择你的托管域,例如 aaddscontoso.com
从左侧菜单中选择“监视”>“工作簿”
选择“帐户活动报表”。
从工作簿顶部的下拉菜单中,选择 Azure 订阅,然后选择一个 Azure Monitor 工作区。
选择“时间范围”,例如“最近 30 天”,然后选择希望“平铺视图”显示数据的方式。
可以按“帐户用户名”(如 felix)进行筛选,如以下示例报表所示:
图表下面的区域显示各个登录事件以及活动结果和源工作站等信息。 此信息可帮助确定重复的登录事件源,这些事件可能会导致帐户锁定或指示潜在攻击。
与安全概述报表一样,也可向下钻取到报表顶部的不同磁贴,进而根据需要可视化和分析数据。
域服务提供的两个模板工作簿适合于开始进行数据分析。 如果需要在数据查询和调查中获得更精确的信息,可以保存自己的工作簿并编辑查询。
- 若要保存某个工作簿模板的副本,请选择“编辑”>“另存为”>“共享报表”,然后提供一个名称并保存。
- 从你自己的模板副本中,选择“编辑”以进入编辑模式。 可以选择报表中任何部分旁边的蓝色“编辑”按钮,并对其进行更改。
Azure Monitor 工作簿中的所有图表和表都是使用 Kusto 查询生成的。 有关如何创建查询的详细信息,请参阅 Azure Monitor 日志查询和 Kusto 查询教程。
如果需要调整密码和锁定策略,请参阅托管域中的密码和帐户锁定策略。