Quais são os logs de identidade que você pode fazer streaming para um ponto de extremidade?
Usando as configurações de diagnóstico do Microsoft Entra, é possível rotear os logs de atividades para vários pontos de extremidade para retenção de longo prazo e insights de dados. Selecione os logs que você quer rotear e, a seguir, selecione o ponto de extremidade.
Este artigo descreve os logs que você pode rotear para um ponto de extremidade com as configurações de diagnóstico do Microsoft Entra.
Requisitos e opções de streaming de log
A configuração de um ponto de extremidade, como, por exemplo, um hub de eventos ou uma conta de armazenamento, pode requerer diferentes funções e licenças. Para criar ou editar uma nova configuração de diagnóstico, você precisa de um usuário que seja um Administrador da segurança para o locatário do Microsoft Entra.
Para ajudar você a decidir qual opção de roteamento de logs é melhor no seu caso, confira Como acessar logs de atividade. O processo e os requisitos de modo geral para cada tipo de ponto de extremidade são abordados nos artigos a seguir:
- Enviar logs a um workspace do Log Analytics para integração com os logs do Azure Monitor
- Arquivar logs em uma conta de armazenamento
- Transmitir logs para um hub de eventos
- Enviar para uma solução de parceiro
Opções de log de atividade
Os logs a seguir podem ser roteados para um ponto de extremidade para fins de armazenamento, análise ou monitoramento.
Logs de auditoria
O relatório AuditLogs
captura as alterações em aplicativos, grupos, usuários e licenças do seu locatário do Microsoft Entra. Após ter roteado seus logs de auditoria, você pode filtrar ou analisar, por data/hora, o serviço que registrou o evento e quem fez a alteração. Para obter mais informações, confira Logs de auditoria.
Logs de entrada
Os SignInLogs
enviam os logs de entrada interativos, que são logs gerados quando seus usuários fazem login. Os logs de início de sessão são gerados quando usuários fornecem seu nome de usuário e senha em uma tela de início de sessão do Microsoft Entra ou passam por um desafio de MFA. Para obter mais informações, confira Logins interativos de usuário.
Logs de entrada não interativos
Os NonInteractiveUserSIgnInLogs
são entradas feitas em nome de um usuário, como, por exemplo, por um aplicativo cliente. O aplicativo ou cliente usa um token ou código para autenticar ou acessar um recurso em nome de um usuário. Para obter mais informações, confira Logins não interativos de usuário.
Logs de entrada de entidades de serviço
Se você precisar rever a atividade de início de sessão em aplicativos ou entidades de serviço, os ServicePrincipalSignInLogs
podem ser uma boa opção. Nessas situações, certificados ou segredos do cliente são usados para a autenticação. Para saber mais, confira Logins de entidades de serviço.
Logs de entrada de identidades gerenciadas
Os ManagedIdentitySignInLogs
fornecem insights semelhantes aos dos logs de entrada de entidades de serviço, mas para identidades gerenciadas, cujos segredos são gerenciados pelo Azure. Para obter mais informações, confira Logins de identidades gerenciadas.
Logs de provisionamento
Se a sua organização provisionar usuários por meio de um aplicativo que não seja da Microsoft, como o Workday ou o ServiceNow, convém exportar os relatórios ProvisioningLogs
. Para saber mais, confira Logs de provisionamento.
Logs de entrada do AD FS
A atividade de entrada para aplicativos dos Serviços Federados do Active Directory (AD FS) é capturada nesse relatório de Uso e Insights. Você pode exportar o relatório de ADFSSignInLogs
para monitorar a atividade de entrada para aplicativos do AD FS. Para obter mais informações, confira Logs de entrada do AD FS.
Usuários de risco
Os logs de RiskyUsers
identificam usuários que representam risco com base em sua atividade de entrada. Este relatório faz parte do Microsoft Entra ID Protection e usa os dados de entrada do Microsoft Entra ID. Para obter mais informações, confira O que é o Microsoft Entra ID Protection?.
Eventos de risco de usuários
Os logs de UserRiskEvents
fazem parte do Microsoft Entra ID Protection. Esses logs capturam detalhes sobre eventos de entrada arriscados. Para obter mais informações, confira Como investigar riscos.
Logs de tráfego do acesso à rede
Os NetworkAccessTrafficLogs
estão associados ao Acesso à Internet do Microsoft Entra e ao Acesso Privado do Microsoft Entra. Os logs ficam visíveis no Microsoft Entra ID, mas a seleção dessa opção não adiciona novos logs ao seu workspace, a menos que sua organização esteja usando o Acesso à Internet do Microsoft Entra e o Acesso Privado do Microsoft Entra para proteger o acesso aos seus recursos corporativos. Para obter mais informações, confira O que é Acesso Seguro Global?.
Entidades de serviço de risco
Os logs de RiskyServicePrincipals
fornecem informações sobre entidades de serviço que o Microsoft Entra ID Protection detecta como arriscadas. Um risco de entidade de serviço representa a probabilidade de que uma determinada identidade ou conta estejam comprometidas. Esses riscos são calculados de forma assíncrona, usando dados e padrões detectados pelas fontes de inteligência de ameaças internas e externas da Microsoft. Essas fontes podem incluir pesquisadores de segurança, profissionais da polícia e equipes de segurança da Microsoft. Para obter mais informações, confira Proteção de identidades de carga de trabalho.
Eventos de risco de entidades de serviço
O ServicePrincipalRiskEvents
fornece detalhes sobre os eventos de entrada arriscados para entidades de serviço. Esses logs podem incluir quaisquer eventos suspeitos identificados relacionados às contas da entidade de serviço. Para obter mais informações, confira Proteção de identidades de carga de trabalho.
Logs de auditoria enriquecidos do Microsoft 365
Os EnrichedOffice365AuditLogs
estão associados aos logs enriquecidos que você pode habilitar para o Acesso à Internet do Microsoft Entra. Selecionar essa opção não adiciona novos logs ao seu workspace, a menos que sua organização esteja usando o Acesso à Internet do Microsoft Entra para proteger o acesso ao seu tráfego do Microsoft 365 e você tenha habilitado os enriquecidos. Para obter mais informações, confira Como usar os logs enriquecidos do Microsoft 365 com Acesso Seguro Global.
Logs de atividade do Microsoft Graph
O MicrosoftGraphActivityLogs
fornece aos administradores visibilidade total de todas as solicitações HTTP que acessam os recursos do seu locatário por meio da API do Microsoft Graph. Você pode usar esses logs para identificar as atividades que uma conta de usuário comprometida realizou no seu locatário ou para investigar comportamentos problemáticos ou inesperados de aplicativos cliente, como volumes extremos de chamadas. Encaminhe esses logs para o mesmo workspace do Log Analytics com SignInLogs
a fim de obter detalhes de referência cruzada das solicitações de token para logs de entrada. Para obter mais informações, confira Acessar os logs de atividades do Microsoft Graph.
Logs de integridade de rede remota
O RemoteNetworkHealthLogs
fornece informações sobre a integridade da rede remota configurada por meio do Acesso Seguro Global. Selecionar esta opção não adiciona novos logs ao seu workspace, a menos que a sua organização esteja usando o Acesso à Internet do Microsoft Entra e o Acesso Privado do Microsoft Entra para proteger o acesso aos seus recursos corporativos. Para obter mais informações, confira Logs de integridade da rede remota.
Logs de auditoria de atributos de segurança personalizados
Os CustomSecurityAttributeAuditLogs
são configurados na seção Atributos de segurança personalizados das configurações de diagnóstico. Esses logs capturam alterações em atributos de segurança personalizados em seu locatário do Microsoft Entra. Para exibir esses logs nos logs de auditoria do Microsoft Entra, você precisa da função Leitor de Log de Atributos. Para rotear esses logs para um ponto de extremidade, você precisa da função Administrador de Log de Atributos e Administrador de Segurança.