Zelfstudie: Een aangepaste werkmap maken voor Microsoft Entra-id

In deze zelfstudie leert u het volgende:

  • Een aangepaste werkmap maken
  • Een query toevoegen aan een bestaande werkmapsjabloon

Vereiste voorwaarden

Als u activiteitenlogboeken wilt analyseren met Log Analytics, hebt u de volgende rollen en vereisten nodig:

Als u nog geen Log Analytics-werkruimte hebt gemaakt, voltooit u de zelfstudie Log Analytics-werkruimte configureren .

Een aangepaste werkmap maken

Naast het opvragen van de gegevens met Kusto Query Language (KQL), kunt u een aangepaste werkmap maken voor verdere analyse en waarschuwingen. De minst bevoorrechte rol voor het maken of bijwerken van een werkmap is de rol Beveiligingsbeheerder .

  1. Blader naar Entra ID>Monitoring en gezondheid>Werkboeken.

  2. Selecteer Leeg in de sectie Quickstart.

    Schermopname van de lege werkmap in de sectie Snel starten.

  3. Selecteer Tekst toevoegen in het menu Toevoegen.

    Schermopname van de menuoptie Tekst toevoegen.

  4. Typ # Client apps used in the past week en selecteer Klaar bewerken in het tekstvak.

    Schermopname van de tekst en de knop Gereed bewerken.

  5. Open onder het tekstvenster het menu Toevoegen en selecteer Query toevoegen.

    Schermopname van de menuoptie Query toevoegen.

  6. Voer in het tekstvak voor de query het volgende in: SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed

  7. Selecteer Query uitvoeren.

    Schermopname van de knop Query uitvoeren.

  8. Selecteer cirkeldiagram in het menu Visualisatie in de werkbalk.

    Schermopname van de menuoptie Cirkeldiagram.

  9. Selecteer Klaar met bewerken boven aan de pagina.

  10. Selecteer het pictogram Opslaan om uw werkmap op te slaan.

  11. Voer in het dialoogvenster dat wordt weergegeven een titel in, selecteer een resourcegroep en selecteer Toepassen.

Een query toevoegen aan een werkmapsjabloon

U kunt Kusto-query's toevoegen aan uw werkmap. Het voorbeeld is gebaseerd op een query waarin de distributie van geslaagde en mislukte aanmeldingen met toegepast beleid voor voorwaardelijke toegang wordt weergegeven. De minst bevoorrechte rol voor het maken of bijwerken van een werkmap is de rol Beveiligingsbeheerder .

  1. Blader naar Entra ID>Monitoring en gezondheid>Werkboeken.

  2. Selecteer inzichten en rapportage voor voorwaardelijke toegang in de sectie Voorwaardelijke toegang.

    Schermafbeelding met de optie Voorwaardelijke toegang in Insights en Reporting.

  3. Selecteer Bewerken op de werkbalk.

    Schermafbeelding met de knop Bewerken.

  4. Selecteer in de werkbalk de drie puntjes naast de knop Bewerken en klik op Toevoegen, en daarna op Query toevoegen.

    Werkmapquery toevoegen

  5. Voer in het tekstvak voor de query het volgende in: SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus

  6. Selecteer Query uitvoeren.

    Schermopname van de knop Query uitvoeren om deze query uit te voeren.

  7. Selecteer Instellen in query in het menu Tijdsbereik.

  8. Selecteer Staafdiagram in het menu Visualisatie.

  9. Selecteer Geavanceerde instellingen.

    Schermopname van de opties voor tijdsbereik, visualisatie en geavanceerde instellingen.

  10. Voer in het veld GrafiektitelConditional Access status over the last 20 days in en selecteer Gereed met bewerken.

    Titel van grafiek instellen

In het diagram voor geslaagde en mislukte voorwaardelijke toegang wordt een momentopname met kleurcode van uw tenant weergegeven.

Verwante inhoud

  • Last updated on