O que é monitoramento e integridade do Microsoft Entra?
Os recursos de monitoramento e integridade do Microsoft Entra fornecem uma visão abrangente da atividade relacionada à identidade em seu ambiente. Estes dados permitem-lhe:
- Determine como seus usuários utilizam seus aplicativos e serviços.
- Detete riscos potenciais que afetam a saúde do seu ambiente.
- Solucione problemas que impedem que os usuários realizem o trabalho.
- Obtenha informações vendo eventos de auditoria de alterações no diretório do Microsoft Entra.
Os logs de entrada e auditoria compreendem os logs de atividade por trás de muitos relatórios do Microsoft Entra, que podem ser usados para analisar, monitorar e solucionar problemas de atividade em seu locatário. Rotear seus registros de atividades para uma solução de análise e monitoramento fornece mais informações sobre a integridade e a segurança do seu locatário.
Este artigo descreve os tipos de logs de atividade disponíveis no Microsoft Entra ID, os relatórios que usam os logs e os serviços de monitoramento disponíveis para ajudá-lo a analisar os dados.
Registros de atividades de identidade
Os registos de atividades ajudam-no a compreender o comportamento dos utilizadores na sua organização. Há três tipos de logs de atividade no Microsoft Entra ID:
Os logs de auditoria incluem o histórico de todas as tarefas executadas em seu locatário.
Os logs de entrada capturam as tentativas de entrada de seus usuários e aplicativos cliente.
Os logs de provisionamento fornecem informações sobre usuários provisionados em seu locatário por meio de um serviço de terceiros.
Os logs de atividade podem ser exibidos no portal do Azure ou usando a API do Microsoft Graph. Os logs de atividades também podem ser roteados para vários endpoints para armazenamento ou análise. Para saber mais sobre todas as opções para visualizar os logs de atividades, consulte Como acessar os logs de atividades.
Registos de auditoria
Os logs de auditoria fornecem registros das atividades do sistema para fins de conformidade. Estes dados permitem-lhe abordar cenários comuns, tais como:
- Um utilizador no meu inquilino obteve acesso a um grupo de administração. Quem lhe deu acesso?
- Quero saber a lista de utilizadores que iniciam sessão numa aplicação específica porque integrei recentemente a aplicação e quero saber se está a correr bem.
- Quero saber quantas redefinições de senha estão acontecendo no meu locatário.
Registos de início de sessão
Os registos de início de sessão permitem-lhe encontrar respostas a perguntas como:
- O que é o padrão de início de sessão de um utilizador?
- Quantos utilizadores iniciaram sessão ao longo de uma semana?
- Qual é o estado destes inícios de sessão?
Registos de aprovisionamento
Você pode usar os logs de provisionamento para encontrar respostas a perguntas como:
- Quais grupos foram criados com sucesso no ServiceNow?
- Quais usuários foram removidos com êxito da Adobe?
- Quais usuários do Workday foram criados com êxito no Ative Directory?
Relatórios de identidade
A revisão dos dados nos logs de atividades do Microsoft Entra pode fornecer informações úteis para os administradores de TI. Para simplificar o processo de revisão de dados em cenários-chave, criamos vários relatórios sobre cenários comuns que usam os logs de atividades.
- A Proteção de Identidade utiliza dados de início de sessão para criar relatórios sobre utilizadores arriscados e atividades de início de sessão.
- As atividades relacionadas aos seus aplicativos, como a entidade de serviço e a atividade de credenciais do aplicativo, são usadas para criar relatórios em Uso e insights.
- As pastas de trabalho do Microsoft Entra fornecem uma maneira personalizável de exibir e analisar os logs de atividades.
- Use as recomendações do Microsoft Entra para monitorar e melhorar a segurança do seu locatário.
- O Microsoft Entra Health captura a obtenção do contrato de nível de serviço global e os sinais de integridade para vários cenários-chave.
Monitoramento de identidade e integridade do locatário
Revisar os logs de atividades do Microsoft Entra é o primeiro passo para manter e melhorar a integridade e a segurança do seu locatário. Você precisa analisar os dados, monitorar cenários de risco e determinar onde pode fazer melhorias. O monitoramento do Microsoft Entra fornece as ferramentas necessárias para ajudá-lo a tomar decisões informadas.
O monitoramento dos logs de atividades do Microsoft Entra requer o roteamento dos dados de log para uma solução de monitoramento e análise. Os pontos de extremidade incluem logs do Azure Monitor, o Microsoft Sentinel ou uma ferramenta de gerenciamento de eventos e informações de segurança (SIEM) de terceiros de solução de terceiros.
- Transmita logs para um hub de eventos para integração com ferramentas SIEM de terceiros.
- Integre logs com logs do Azure Monitor.
- Analise logs com logs do Azure Monitor e Log Analytics.
Casos de utilização
A forma como utiliza os registos, relatórios e serviços de monitorização disponíveis depende das necessidades da sua organização. Para priorizar melhor os casos de uso e as soluções, pode ser útil ver como essas soluções estão relacionadas entre si, como diferem e como podem ser usadas juntas.
Considerações
- Retenção - Retenção de logs: armazene logs de auditoria e logs de entrada do Microsoft Entra por mais de 30 dias
- Analytics - Os logs podem ser pesquisados com ferramentas analíticas
- Informações operacionais e de segurança - Forneça acesso ao uso do aplicativo, erros de entrada, uso de autoatendimento, tendências e assim por diante.
- Integração SIEM - Integre e transmita logs de entrada e logs de auditoria do Microsoft Entra para sistemas SIEM
Com o monitoramento do Microsoft Entra, você pode rotear os logs de atividades do Microsoft Entra e retê-los para relatórios e análises de longo prazo para obter insights do ambiente e integrá-los às ferramentas SIEM. Use o fluxograma de decisão a seguir para ajudar a selecionar uma arquitetura.
Para obter uma visão geral de como acessar, armazenar e analisar logs de atividades, consulte Como acessar logs de atividades.