Compartilhar via


Quais são as opções de integração de logs de atividades do Microsoft Entra?

Usando as Configurações de diagnóstico no Microsoft Entra ID, você pode rotear logs de atividades para vários pontos de extremidade para retenção de dados e insights de longo prazo. Você pode arquivar logs para armazenamento, rotear para ferramentas de Gerenciamento de Eventos e Informações de Segurança (SIEM) e integrar logs com logs do Azure Monitor.

Com essas integrações, você pode habilitar visualizações avançadas, monitoramento e alertas sobre os dados conectados. Este artigo descreve os usos recomendados para cada tipo de integração ou método de acesso. Considerações de custo para enviar logs de atividades do Microsoft Entra para vários pontos de extremidade também são abordadas.

Relatórios com suporte

Os seguintes logs podem ser integrados a um dos muitos pontos de extremidade:

Opções de integração

Para ajudar a escolher o método certo para integrar os logs de atividades do Microsoft Entra para armazenamento ou análise, pense na tarefa geral que você está tentando realizar. Agrupamos as opções em três categorias principais:

  • Solução de problemas
  • Armazenamento de longo prazo
  • Análise e monitoramento

Solução de problemas básicos

Se você estiver executando tarefas de solução de problemas básicas, mas não precisa reter os logs por mais de 30 dias, recomendamos usar o centro de administração do Microsoft Entra ou as APIs do Microsoft Graph para acessar os logs de atividades. Você pode filtrar os logs para o seu cenário e exportá-los ou baixá-los conforme necessário.

Se você estiver executando tarefas de solução de problemas e precisar reter os logs por mais de 30 dias, examine as opções de armazenamento de longo prazo.

Armazenamento de longo prazo

Se você estiver executando tarefas de solução de problemas e precisa reter os logs por mais de 30 dias, poderá exportar seus logs para uma conta de armazenamento do Azure. Essa opção é ideal se você não planeja consultar esses dados com frequência ou precisa armazenar os logs para fins de conformidade.

Se você precisar consultar os dados que está retendo por mais de 30 dias, dê uma olhada nas opções de análise e monitoramento.

Análise e monitoramento

Se o cenário exigir que você retenha dados por mais de 30 dias e você planeja consultar esses dados regularmente, existem algumas opções para integrar seus dados a ferramentas SIEM para análise e monitoramento.

Se você usar uma ferramenta SIEM que não seja da Microsoft, recomendamos configurar um namespace dos Hubs de Eventos e um hub de eventos em que você possa transmitir seus dados. Com um hub de eventos, você pode transmitir logs para uma das ferramentas SIEM com suporte.

Se você não planeja usar uma ferramenta SIEM de terceiros, recomendamos enviar seus logs de atividades do Microsoft Entra para os logs do Azure Monitor. Com essa integração, você poderá consultar seus logs de atividades em um workspace do Log Analytics. Depois que os logs estiverem integrados aos logs do Azure Monitor, você poderá consultar com o Log Analytics e configurar pastas de trabalho para análise e alertas adicionais. Recomendamos configurar um workspace para armazenamento de logs e um workspace diferente para integração com o Log Analytics e as Pastas de Trabalho.

Além dos logs do Azure Monitor, o Microsoft Sentinel fornece detecção de segurança quase em tempo real e busca de ameaças. Se você decidir integrar as ferramentas do SIEM posteriormente, poderá transmitir os logs de atividades do Microsoft Entra junto com seus outros dados do Azure por meio de um hub de eventos.

Considerações de custo

Há um custo para enviar dados para um workspace do Log Analytics, arquivar dados em uma conta de armazenamento ou transmitir logs para um hub de eventos. A quantidade de dados e o custo incorridos podem variar significativamente dependendo do tamanho do locatário, do número de políticas em uso e até mesmo da hora do dia. Alterar uma configuração de diagnóstico existente pode incorrer em novos encargos.

Como o tamanho e o custo para enviar logs para um ponto de extremidade são difíceis de prever, a maneira mais precisa de determinar os custos esperados é rotear seus logs para um ponto de extremidade por um dia ou dois. Com esse instantâneo, você pode obter uma previsão precisa para os custos esperados. Você também pode obter uma estimativa de seus custos baixando uma amostra de seus logs e multiplicando-a adequadamente para obter uma estimativa de um dia.

Outras considerações sobre o envio de logs de Microsoft Entra para os logs do Azure Monitor são abordadas nos seguintes artigos sobre detalhes de custos do Azure Monitor:

O Azure Monitor fornece a opção de excluir eventos inteiros, campos ou partes de campos ao ingerir logs do Microsoft Entra ID. Saiba mais sobre esse recurso de economia de custos na Transformação de coleta de dados no Azure Monitor.

Estimar custos

Para estimar os custos para sua organização, você pode estimar o tamanho diário do log ou o custo diário para integrar seus logs a um ponto de extremidade.

Os seguintes fatores podem afetar os custos para sua organização:

  • Eventos de log de auditoria usam cerca de 2 KB de armazenamento de dados
  • Eventos de log de entrada usam, em média, 11,5 KB de armazenamento de dados
  • Um locatário de cerca de 100.000 usuários poderia incorrer em cerca de 1,5 milhão de eventos por dia
  • Eventos são colocados em lotes com intervalos de cinco minutos, aproximadamente, e enviados como uma única mensagem que contém todos os eventos nesse período de tempo

Tamanho diário do log

Para estimar o tamanho diário do log, colete uma amostra de seus logs, ajuste a amostra para refletir o tamanho e as configurações do locatário e aplique essa amostra à calculadora de preços do Azure.

Se você não tiver baixado os logs do centro de administração do Microsoft Entra anteriormente, examine o artigo Como baixar logs no Microsoft Entra ID. Dependendo do tamanho da sua organização, talvez seja necessário escolher um tamanho de amostra diferente para iniciar sua estimativa. Os seguintes tamanhos de amostra são um bom lugar para começar:

  • 1.000 registros
  • Para locatários grandes, 15 minutos de inícios de sessão
  • Para locatários pequenos a médios, 1 hora de entradas

Você também deve considerar a distribuição geográfica e os horários de pico de seus usuários ao capturar sua amostra de dados. Se sua organização estiver baseada em uma região, é provável que as entradas atinjam o pico ao mesmo tempo. Ajuste o tamanho da amostra o momento da captura da amostra adequadamente.

Com a amostra de dados capturados, multiplique adequadamente para descobrir o tamanho do arquivo em um dia.

Estimar o custo diário

Para ter uma ideia de quanto uma integração de log pode custar para sua organização, você pode habilitar uma integração por um ou dois dias. Use essa opção se o orçamento permitir o aumento temporário.

Para habilitar uma integração de log, siga as etapas no artigo Integrar logs de atividades com os logs do Azure Monitor. Se possível, crie um novo grupo de recursos para os logs e o ponto de extremidade que você deseja experimentar. Ter um grupo de recursos dedicado facilita a exibição da análise de custo e a sua exclusão subsequente ao terminar.

Com a integração habilitada, navegue até portal do Azure>Gerenciamento de Custos>Análise de custos. Há várias maneiras de analisar custos. Este início rápido do Gerenciamento de Custos deve ajudar você a começar. Os números na captura de tela a seguir são usados apenas como exemplo e não se destinam a refletir valores reais.

Captura de tela de um detalhamento de análise de custo como um gráfico de pizza.

Verifique se você está usando seu novo grupo de recursos como o escopo. Explore os custos diários e as previsões para ter uma ideia de quanto sua integração de log pode custar.

Calcular os custos estimados

Na página de aterrissagem da calculadora de preços do Azure, você pode estimar os custos de vários produtos.

Após obter uma estimativa dos GB/dia que serão enviados para um ponto de extremidade, insira esse valor na calculadora de preços do Azure. Os números na captura de tela a seguir são usados apenas como exemplo e não se destinam a refletir os preços reais.

Captura de tela da calculadora de preços do Azure, com 8 GB/dia usado como exemplo.