Quais são as opções de integração de logs de atividades do Microsoft Entra?
Usando as Configurações de diagnóstico no Microsoft Entra ID, você pode rotear logs de atividades para vários pontos de extremidade para retenção de dados e insights de longo prazo. Você pode arquivar logs para armazenamento, rotear para ferramentas de Gerenciamento de Eventos e Informações de Segurança (SIEM) e integrar logs com logs do Azure Monitor.
Com essas integrações, você pode habilitar visualizações avançadas, monitoramento e alertas sobre os dados conectados. Este artigo descreve os usos recomendados para cada tipo de integração ou método de acesso. Considerações de custo para enviar logs de atividades do Microsoft Entra para vários pontos de extremidade também são abordadas.
Relatórios com suporte
Os seguintes logs podem ser integrados a um dos muitos pontos de extremidade:
- O relatório de atividade de logs de auditoria dá acesso ao histórico de todas as tarefas executadas em seu locatário.
- Com o relatório de atividade de entrada, você pode ver quando os usuários tentam entrar em seus aplicativos ou solucionar problemas de erros de entrada.
- Com os logs de provisionamento, você pode monitorar quais usuários foram atualizados e excluídos em todos os seus aplicativos de terceiros.
- Os logs de usuários suspeitos ajudam a monitorar alterações no nível de risco do usuário e na atividade de correção.
- Com os logs de detecção de risco, você pode monitorar as detecções de risco do usuário e analisar tendências na atividade de risco detectada em sua organização.
Opções de integração
Para ajudar a escolher o método certo para integrar os logs de atividades do Microsoft Entra para armazenamento ou análise, pense na tarefa geral que você está tentando realizar. Agrupamos as opções em três categorias principais:
- Solução de problemas
- Armazenamento de longo prazo
- Análise e monitoramento
Solução de problemas básicos
Se você estiver executando tarefas de solução de problemas básicas, mas não precisa reter os logs por mais de 30 dias, recomendamos usar o centro de administração do Microsoft Entra ou as APIs do Microsoft Graph para acessar os logs de atividades. Você pode filtrar os logs para o seu cenário e exportá-los ou baixá-los conforme necessário.
Se você estiver executando tarefas de solução de problemas e precisa reter os logs por mais de 30 dias, examine as opções de armazenamento de longo prazo.
Armazenamento de longo prazo
Se você estiver executando tarefas de solução de problemas e precisa reter os logs por mais de 30 dias, poderá exportar seus logs para uma conta de armazenamento do Azure. Esta opção é ideal se você não planeja consultar esses dados com frequência.
Se você precisar consultar os dados que está retendo por mais de 30 dias, dê uma olhada nas opções de análise e monitoramento.
Análise e monitoramento
Se o cenário exigir que você retenha dados por mais de 30 dias e você planeja consultar esses dados regularmente, existem algumas opções para integrar seus dados a ferramentas SIEM para análise e monitoramento.
Se você tiver uma ferramenta SIEM não Microsoft, recomendamos configurar um namespace dos Hubs de Eventos e um hub de eventos pelo qual você pode transmitir seus dados. Com um hub de eventos, você pode transmitir logs para uma das ferramentas SIEM com suporte.
Se você não planeja usar uma ferramenta SIEM de terceiros, recomendamos enviar seus logs de atividades do Microsoft Entra para os logs do Azure Monitor. Com essa integração, você poderá consultar seus logs de atividades em um workspace do Log Analytics. Além dos logs do Azure Monitor, o Microsoft Sentinel fornece detecção de segurança quase em tempo real e busca de ameaças. Se você decidir integrar as ferramentas do SIEM posteriormente, poderá transmitir os logs de atividades do Microsoft Entra junto com seus outros dados do Azure por meio de um hub de eventos.
Considerações de custo
Há um custo para enviar dados para um workspace do Log Analytics, arquivar dados em uma conta de armazenamento ou transmitir logs para um hub de eventos. A quantidade de dados e o custo incorridos podem variar significativamente dependendo do tamanho do locatário, do número de políticas em uso e até mesmo da hora do dia. Alterar uma configuração de diagnóstico existente pode incorrer em novos encargos.
Como o tamanho e o custo para enviar logs para um ponto de extremidade são difíceis de prever, a maneira mais precisa de determinar os custos esperados é rotear seus logs para um ponto de extremidade por um dia ou dois. Com esse instantâneo, você pode obter uma previsão precisa para os custos esperados. Você também pode obter uma estimativa de seus custos baixando uma amostra de seus logs e multiplicando-a adequadamente para obter uma estimativa de um dia.
Outras considerações sobre o envio de logs de Microsoft Entra para os logs do Azure Monitor são abordadas nos seguintes artigos sobre detalhes de custos do Azure Monitor:
- Opções e cálculos de custo dos logs do Azure Monitor
- Custo e uso do Azure Monitor
- Otimizar custos no Azure Monitor
O Azure Monitor fornece a opção de excluir eventos inteiros, campos ou partes de campos ao ingerir logs do Microsoft Entra ID. Saiba mais sobre esse recurso de economia de custos na Transformação de coleta de dados no Azure Monitor.
Estimar custos
Para estimar os custos para sua organização, você pode estimar o tamanho diário do log ou o custo diário para integrar seus logs a um ponto de extremidade.
Os seguintes fatores podem afetar os custos para sua organização:
- Eventos de log de auditoria usam cerca de 2 KB de armazenamento de dados
- Eventos de log de entrada usam, em média, 11,5 KB de armazenamento de dados
- Um locatário com cerca de 100.000 usuários poderia incorrer em cerca de 1,5 milhão de eventos por dia
- Eventos são colocados em lotes com intervalos de cinco minutos, aproximadamente, e enviados como uma única mensagem que contém todos os eventos nesse período de tempo
Tamanho diário do log
Para estimar o tamanho diário do log, colete uma amostra de seus logs, ajuste a amostra para refletir o tamanho e as configurações do locatário e aplique essa amostra à calculadora de preços do Azure.
Se você não tiver baixado os logs do centro de administração do Microsoft Entra anteriormente, examine o artigo Como baixar logs no Microsoft Entra ID. Dependendo do tamanho da sua organização, talvez seja necessário escolher um tamanho de amostra diferente para iniciar sua estimativa. Os seguintes tamanhos de amostra são um bom lugar para começar:
- 1.000 registros
- Para locatários grandes, 15 minutos de inícios de sessão
- Para locatários pequenos a médios, 1 hora de inícios de sessão
Você também deve considerar a distribuição geográfica e os horários de pico de seus usuários ao capturar sua amostra de dados. Se sua organização estiver baseada em uma região, é provável que as entradas atinjam o pico ao mesmo tempo. Ajuste o tamanho da amostra e o momento da captura da amostra conforme necessário.
Com a amostra de dados capturados, multiplique adequadamente para descobrir o tamanho do arquivo em um dia.
Estimar o custo diário
Para ter uma ideia de quanto uma integração de log pode custar para sua organização, você pode habilitar uma integração por um ou dois dias. Use essa opção se o orçamento permitir o aumento temporário.
Para habilitar uma integração de log, siga as etapas no artigo Integrar logs de atividades com os logs do Azure Monitor. Se possível, crie um novo grupo de recursos para os logs e o ponto de extremidade que você deseja experimentar. Ter um grupo de recursos dedicado facilita a exibição da análise de custo e a sua exclusão subsequente ao terminar.
Com a integração habilitada, navegue até portal do Azure>Gerenciamento de Custos>Análise de custos. Há várias maneiras de analisar os custos. Este início rápido do Gerenciamento de Custos deve ajudar você a começar. Os números na captura de tela a seguir são usados apenas como exemplo e não se destinam a refletir valores reais.
Verifique se você está usando seu novo grupo de recursos como o escopo. Explore os custos diários e as previsões para ter uma ideia de quanto sua integração de log pode custar.
Calcular os custos estimados
Na página de aterrissagem da calculadora de preços do Azure, você pode estimar os custos de vários produtos.
Após obter uma estimativa dos GB/dia que serão enviados para um ponto de extremidade, insira esse valor na calculadora de preços do Azure. Os números na captura de tela a seguir são usados apenas como exemplo e não se destinam a refletir os preços reais.