Segurança Operacional do Azure

Introdução

Descrição geral

Sabemos que a segurança é um trabalho na nuvem e como é importante que você encontre informações precisas e oportunas sobre a segurança do Azure. Uma das melhores razões para utilizar o Azure para as suas aplicações e serviços é tirar partido da vasta gama de ferramentas e capacidades de segurança disponíveis. Essas ferramentas e recursos ajudam a tornar possível criar soluções seguras na plataforma segura do Azure. O Windows Azure deve fornecer confidencialidade, integridade e disponibilidade dos dados do cliente, ao mesmo tempo em que permite uma responsabilidade transparente.

Para ajudar os clientes a entender melhor a matriz de controles de segurança implementados no Microsoft Azure do ponto de vista operacional do cliente e da Microsoft, este white paper, "Segurança Operacional do Azure", foi escrito para fornecer uma visão abrangente da segurança operacional disponível com o Windows Azure.

Plataforma Azure

O Azure é uma plataforma de serviço de nuvem pública que suporta uma ampla seleção de sistemas operacionais, linguagens de programação, estruturas, ferramentas, bancos de dados e dispositivos. Ele pode executar contêineres Linux com integração Docker; criar aplicativos com JavaScript, Python, .NET, PHP, Java e Node.js; criar back-ends para dispositivos iOS, Android e Windows. O serviço Azure Cloud suporta as mesmas tecnologias em que milhões de programadores e profissionais de TI já confiam e confiam.

Quando você cria ou migra ativos de TI para um provedor de serviços de nuvem pública, confia nas habilidades dessa organização para proteger seus aplicativos e dados com os serviços e os controles que eles fornecem para gerenciar a segurança de seus ativos baseados em nuvem.

A infraestrutura do Azure foi projetada desde a instalação até aplicativos para hospedar milhões de clientes simultaneamente e fornece uma base confiável sobre a qual as empresas podem atender aos seus requisitos de segurança. Além disso, o Azure fornece uma ampla variedade de opções de segurança configuráveis e a capacidade de controlá-las para que você possa personalizar a segurança para atender aos requisitos exclusivos das implantações da sua organização. Este documento ajudará você a entender como os recursos de segurança do Azure podem ajudá-lo a atender a esses requisitos.

Abstract

A Segurança Operacional do Azure refere-se aos serviços, controlos e funcionalidades disponíveis para os utilizadores protegerem os seus dados, aplicações e outros ativos no Microsoft Azure. A Segurança Operacional do Azure baseia-se numa estrutura que incorpora o conhecimento adquirido através de várias capacidades exclusivas da Microsoft, incluindo o Microsoft Security Development Lifecycle (SDL), o programa Microsoft Security Response Center e uma profunda consciência do cenário de ameaças de cibersegurança.

Este white paper descreve a abordagem da Microsoft à Segurança Operacional do Azure na plataforma de nuvem do Microsoft Azure e abrange os seguintes serviços:

1. Azure Monitor

2. Microsoft Defender para Cloud

3. Azure Monitor

4. Observador da Rede do Azure

5. Análise de armazenamento do Azure

6. Microsoft Entra ID

Logs do Monitor do Microsoft Azure

Os logs do Microsoft Azure Monitor são a solução de gerenciamento de TI para a nuvem híbrida. Usados sozinhos ou para estender sua implantação existente do System Center, os logs do Azure Monitor oferecem a máxima flexibilidade e controle para o gerenciamento baseado em nuvem de sua infraestrutura.

Com os logs do Azure Monitor, você pode gerenciar qualquer instância em qualquer nuvem, incluindo local, Azure, AWS, Windows Server, Linux, VMware e OpenStack, a um custo mais baixo do que as soluções da concorrência. Criados para o mundo que prioriza a nuvem, os logs do Azure Monitor oferecem uma nova abordagem para gerenciar sua empresa que é a maneira mais rápida e econômica de atender a novos desafios de negócios e acomodar novas cargas de trabalho, aplicativos e ambientes de nuvem.

Serviços do Azure Monitor

A funcionalidade principal dos logs do Azure Monitor é fornecida por um conjunto de serviços executados no Azure. Cada serviço proporciona uma função de gestão específica e pode combinar serviços para alcançar cenários de gestão diferentes.

Serviço	Description
Registos do Azure Monitor	Monitorizar e analisar a disponibilidade e o desempenho de diferentes recursos, incluindo computadores e máquinas virtuais.
Automatização	Automatizar processos manuais e impor configurações para computadores e máquinas virtuais.
Backup	Faça backup e restaure dados críticos.
Recuperação de sites	Providenciar elevada disponibilidade para aplicações críticas.

Registos do Azure Monitor

Os logs do Azure Monitor fornecem serviços de monitoramento coletando dados de recursos gerenciados em um repositório central. Estes dados podem incluir dados de eventos ou de desempenho ou dados personalizados fornecidos através da API. Depois de recolhidos, os dados estão disponíveis para alertas, análises e exportação.

Esse método permite consolidar dados de várias fontes, para que você possa combinar dados de seus serviços do Azure com seu ambiente local existente. Também separa claramente a recolha dos dados das ações tomadas em relação aos mesmos, para que todas as ações estejam disponíveis para todos os tipos de dados.

O serviço Azure Monitor gerencia seus dados baseados em nuvem com segurança usando os seguintes métodos:

• segregação de dados
• Retenção de dados
• Segurança física
• Gestão de Incidentes
• conformidade
• Certificações de Normas de Segurança

Azure Backup

O Backup do Azure fornece serviços de backup e restauração de dados e faz parte do conjunto de produtos e serviços do Azure Monitor. Protege os dados de aplicação e mantém-nos durante anos sem qualquer investimento de capital e com um mínimo de custos operacionais. Ele pode fazer backup de dados de servidores Windows físicos e virtuais, além de cargas de trabalho de aplicativos, como SQL Server e SharePoint. Ele também pode ser usado pelo System Center Data Protection Manager (DPM) para replicar dados protegidos para o Azure para redundância e armazenamento de longo prazo.

Os dados protegidos no Azure Backup são armazenados num cofre de cópias de segurança localizado numa região geográfica específica. Os dados são replicados na mesma região e, dependendo do tipo de cofre, também podem ser replicados para outra região, para uma maior resiliência.

Soluções de Gestão

O Azure Monitor é a solução de gestão de TI baseada na nuvem da Microsoft que o ajuda a gerir e proteger a sua infraestrutura local e na nuvem.

As Soluções de Gerenciamento são conjuntos pré-empacotados de lógicas que implementam um cenário de gerenciamento específico usando um ou mais serviços do Azure Monitor. Estão disponíveis diferentes soluções da Microsoft e de parceiros que pode adicionar facilmente à sua subscrição do Azure para aumentar o valor do seu investimento no Azure Monitor. Como parceiro, pode criar as suas próprias soluções para suportar as suas aplicações e serviços e fornecê-las aos utilizadores através do Azure Marketplace ou de modelos de início rápido.

Um bom exemplo de uma solução que usa vários serviços para fornecer funcionalidade adicional é a solução de Gerenciamento de Atualizações. Esta solução usa o agente de logs do Azure Monitor para Windows e Linux para coletar informações sobre as atualizações necessárias em cada agente. Ele grava esses dados no repositório de logs do Azure Monitor, onde você pode analisá-los com um painel incluído.

Quando você cria uma implantação, runbooks na Automação do Azure são usados para instalar as atualizações necessárias. Todo este processo é gerido no portal e não tem de se preocupar com os detalhes subjacentes.

Microsoft Defender para a Cloud

O Microsoft Defender for Cloud ajuda a proteger seus recursos do Azure. Ele fornece monitoramento de segurança integrado e gerenciamento de políticas em suas assinaturas do Azure. Dentro do serviço, você pode definir políticas não apenas em relação às suas assinaturas do Azure, mas também em relação aos Grupos de Recursos, para que possa ser mais granular.

Recomendações e políticas de segurança

Uma política de segurança define o conjunto de controlos que são recomendados para recursos dentro da subscrição especificada ou do grupo de recursos.

No Defender for Cloud, você define políticas de acordo com os requisitos de segurança da sua empresa e o tipo de aplicativos ou sensibilidade dos dados.

As políticas habilitadas no nível de assinatura se propagam automaticamente para todos os grupos de recursos dentro da assinatura, conforme mostrado no diagrama à direita:

Recolha de dados

O Defender for Cloud coleta dados de suas máquinas virtuais (VMs) para avaliar seu estado de segurança, fornecer recomendações de segurança e alertá-lo sobre ameaças. Quando você acessa o Defender for Cloud pela primeira vez, a coleta de dados é habilitada em todas as VMs da sua assinatura. A coleta de dados é recomendada, mas você pode desativar a coleta de dados na política do Defender for Cloud.

Origens de dados

• O Microsoft Defender for Cloud analisa dados das seguintes fontes para fornecer visibilidade sobre seu estado de segurança, identificar vulnerabilidades e recomendar mitigações e detetar ameaças ativas:

• Serviços do Azure: utiliza informações sobre a configuração dos serviços do Azure que implementou através da comunicação com o fornecedor de recursos desses serviços.

• Tráfego de Rede: utiliza metadados de tráfego de rede de amostragem da infraestrutura da Microsoft, tais como porta/IP de origem/destino, tamanho do pacote e protocolo de rede.

• Soluções de Parceiros: utiliza alertas de segurança das soluções de parceiros integradas, tais como firewalls e soluções antimalware.

• As suas Máquinas Virtuais: utiliza informações de configuração e informações sobre eventos de segurança, tais como eventos do Windows e registos de auditoria, registos do IIS, mensagens do syslog e ficheiros de informação de falha de sistema das suas máquinas virtuais.

Proteção de dados

Para ajudar os clientes a prevenir, detetar e responder a ameaças, o Microsoft Defender for Cloud coleta e processa dados relacionados à segurança, incluindo informações de configuração, metadados, logs de eventos, arquivos de despejo de falhas e muito mais. A Microsoft respeita diretrizes rigorosas de conformidade e segurança, desde a codificação à operação de um serviço.

• Segregação de dados: os dados são mantidos separados de forma lógica em cada componente em todo o serviço. Todos os dados são etiquetados por organização. Este tipo de etiquetagem persiste por todo o ciclo de vida dos dados e é imposto em cada camada do serviço.

• Acesso a dados: para fornecer recomendações de segurança e investigar possíveis ameaças à segurança, o pessoal da Microsoft pode acessar informações coletadas ou analisadas pelos serviços do Azure, incluindo arquivos de despejo de falha, eventos de criação de processos, instantâneos de disco de VM e artefatos, que podem incluir involuntariamente Dados do Cliente ou dados pessoais de suas máquinas virtuais. Aderimos aos Termos e à Declaração de Privacidade do Microsoft Online Services, que afirmam que a Microsoft não utiliza os Dados do Cliente nem deriva informações dos mesmos para qualquer publicidade ou fins comerciais semelhantes.

• Utilização de dados: a Microsoft utiliza os padrões e as informações sobre ameaças presentes em vários inquilinos para melhorar as nossas capacidades de prevenção e deteção. Fazemo-lo em conformidade com os compromissos de privacidade descritos na nossa Declaração de Privacidade.

Localização de dados

O Microsoft Defender for Cloud coleta cópias efêmeras de seus arquivos de despejo de memória e os analisa em busca de evidências de tentativas de exploração e comprometimentos bem-sucedidos. O Microsoft Defender for Cloud executa essa análise dentro do mesmo Geo do espaço de trabalho e exclui as cópias efêmeras quando a análise é concluída. Os artefactos das máquinas são armazenados centralmente na mesma região que as VMs.

• Suas contas de armazenamento: uma conta de armazenamento é especificada para cada região onde as máquinas virtuais estão sendo executadas. Isto permite-lhe armazenar dados na mesma região que a máquina virtual a partir da qual os dados são recolhidos.

• Microsoft Defender for Cloud Storage: as informações sobre alertas de segurança, incluindo alertas de parceiros, recomendações e estado de funcionamento da segurança, são armazenadas centralmente, atualmente nos Estados Unidos. Estas informações podem incluir informações de configuração relacionadas e eventos de segurança recolhidos das suas máquinas virtuais, conforme necessário para lhe fornecer o alerta de segurança, recomendação ou estado de funcionamento de segurança.

Azure Monitor

A solução de Segurança e Auditoria de logs do Azure Monitor permite que a TI monitore ativamente todos os recursos, o que pode ajudar a minimizar o impacto de incidentes de segurança. Os logs do Azure Monitor Segurança e Auditoria têm domínios de segurança que podem ser usados para monitorar recursos. O domínio de segurança fornece acesso rápido a opções, para monitoramento de segurança os seguintes domínios são abordados em mais detalhes:

• Avaliação de software maligno
• Avaliação de atualização
• Identidade e Acesso.

O Azure Monitor fornece ponteiros para informações sobre tipos específicos de recursos. Ele oferece visualização, consulta, roteamento, alerta, dimensionamento automático e automação em dados da infraestrutura do Azure (Log de Atividades) e de cada recurso individual do Azure (Logs de Diagnóstico).

As aplicações na nuvem são complexas com muitas partes móveis. O monitoramento fornece dados para garantir que seu aplicativo permaneça ativo e em execução em um estado íntegro. Também o ajuda a evitar potenciais problemas ou a resolver problemas anteriores.

Além disso, você pode usar dados de monitoramento para obter informações detalhadas sobre seu aplicativo. Esse conhecimento pode ajudá-lo a melhorar o desempenho ou a capacidade de manutenção do aplicativo ou automatizar ações que, de outra forma, exigiriam intervenção manual.

Registo de Atividades do Azure

É um log que fornece informações sobre as operações que foram executadas em recursos em sua assinatura. O Log de Atividades era anteriormente conhecido como "Logs de Auditoria" ou "Logs Operacionais", pois relata eventos do plano de controle para suas assinaturas.

Usando o registro de atividades, você pode determinar o 'o quê, quem e quando' para quaisquer operações de gravação (PUT, POST, DELETE) tomadas nos recursos em sua assinatura. Você também pode entender o status da operação e outras propriedades relevantes. O Log de Atividades não inclui operações de leitura (GET) ou operações para recursos que usam o modelo Classic.

Logs de diagnóstico do Azure

Esses logs são emitidos por um recurso e fornecem dados ricos e frequentes sobre a operação desse recurso. O conteúdo destes registos varia consoante o tipo de recurso.

Por exemplo, os logs do sistema de eventos do Windows são uma categoria de Log de Diagnóstico para VMs e os logs de blob, tabela e fila são categorias de Logs de Diagnóstico para contas de armazenamento.

Os Logs de Diagnóstico diferem do Log de Atividades (anteriormente conhecido como Log de Auditoria ou Log Operacional). O registro de atividades fornece informações sobre as operações que foram executadas em recursos em sua assinatura. Os registos de diagnóstico fornecem informações aprofundadas sobre as operações executadas pelo próprio recurso.

Métricas

O Azure Monitor permite que você consuma telemetria para obter visibilidade sobre o desempenho e a integridade de suas cargas de trabalho no Azure. O tipo mais importante de dados de telemetria do Azure são as métricas (também chamadas de contadores de desempenho) emitidas pela maioria dos recursos do Azure. O Azure Monitor fornece várias maneiras de configurar e consumir essas métricas para monitoramento e solução de problemas. As métricas são uma fonte valiosa de telemetria e permitem que você execute as seguintes tarefas:

• Acompanhe o desempenho do seu recurso (como uma VM, site ou aplicativo lógico) plotando suas métricas em um gráfico de portal e fixando esse gráfico em um painel.

• Seja notificado de um problema que afeta o desempenho do seu recurso quando uma métrica ultrapassa um determinado limite.

• Configure ações automatizadas, como dimensionamento automático de um recurso ou disparo de um runbook quando uma métrica ultrapassar um determinado limite.

• Execute análises avançadas ou relatórios sobre tendências de desempenho ou uso do seu recurso.

• Arquive o histórico de desempenho ou integridade do seu recurso para fins de conformidade ou auditoria.

Diagnóstico do Azure

É a capacidade dentro do Azure que permite a coleta de dados de diagnóstico em um aplicativo implantado. Você pode usar a extensão de diagnóstico de várias fontes diferentes. Atualmente, há suporte para Funções Web e de Trabalho do Serviço de Nuvem do Azure, Máquinas Virtuais do Azure que executam o Microsoft Windows e Service Fabric. Outros serviços do Azure têm seus próprios diagnósticos separados.

Observador de Rede do Azure

Auditar a segurança da sua rede é vital para detetar vulnerabilidades de rede e garantir a conformidade com o seu modelo de governança regulatória e de segurança de TI. Com o modo de exibição Grupo de Segurança, você pode recuperar o Grupo de Segurança de Rede configurado e as regras de segurança, além das regras de segurança efetivas. Com a lista de regras aplicadas, você pode determinar as portas que estão abertas e avaliar a vulnerabilidade da rede.

O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de rede no, para e do Azure. As ferramentas de diagnóstico e visualização de rede disponíveis com o Observador de Rede ajudam-no a compreender, diagnosticar e obter informações sobre a sua rede no Azure. Este serviço inclui captura de pacotes, próximo salto, verificação de fluxo IP, visualização de grupo de segurança, logs de fluxo NSG. O monitoramento em nível de cenário fornece uma visão de ponta a ponta dos recursos de rede, em contraste com o monitoramento de recursos de rede individuais.

Atualmente, o Network Watcher tem os seguintes recursos:

• Logs de auditoria- As operações realizadas como parte da configuração de redes são registradas. Esses logs podem ser exibidos no portal do Azure ou recuperados usando ferramentas da Microsoft, como o Power BI ou ferramentas de terceiros. Os logs de auditoria estão disponíveis por meio do portal, PowerShell, CLI e API REST. Para obter mais informações sobre logs de auditoria, consulte Operações de auditoria com o Gerenciador de recursos. Os logs de auditoria estão disponíveis para operações feitas em todos os recursos da rede.

• O fluxo IP verifica - Verifica se um pacote é permitido ou negado com base nas informações de fluxo de parâmetros de pacote de 5 tuplas (IP de destino, IP de origem, Porta de destino, Porta de origem e Protocolo). Se o pacote for negado por um Grupo de Segurança de Rede, a regra e o Grupo de Segurança de Rede que negou o pacote serão retornados.

• Próximo salto - Determina o próximo salto para pacotes que estão sendo roteados na Malha de Rede do Azure, permitindo que você diagnostique quaisquer rotas definidas pelo usuário mal configuradas.

• Exibição de grupo de segurança - Obtém as regras de segurança efetivas e aplicadas que são aplicadas em uma VM.

• Log de fluxo NSG - Os logs de fluxo para grupos de segurança de rede permitem capturar logs relacionados ao tráfego que são permitidos ou negados pelas regras de segurança no grupo. O fluxo é definido por uma informação de 5 tuplas – IP de origem, IP de destino, Porta de origem, Porta de destino e Protocolo.

Análise do Armazenamento do Azure

O Storage Analytics pode armazenar métricas que incluem estatísticas de transações agregadas e dados de capacidade sobre solicitações a um serviço de armazenamento. As transações são relatadas no nível de operação da API e no nível de serviço de armazenamento, e a capacidade é relatada no nível de serviço de armazenamento. Os dados de métricas podem ser usados para analisar o uso do serviço de armazenamento, diagnosticar problemas com solicitações feitas em relação ao serviço de armazenamento e melhorar o desempenho de aplicativos que usam um serviço.

O Azure Storage Analytics executa o registro em log e fornece dados de métricas para uma conta de armazenamento. Pode utilizar estes dados para rastrear pedidos, analisar tendências de utilização e diagnosticar problemas relacionados com a sua conta de armazenamento. O registro em log do Storage Analytics está disponível para os serviços Blob, Fila e Tabela. A Análise de Armazenamento regista informações detalhadas sobre os pedidos com êxito e com falha feitos a um serviço de armazenamento.

Estas informações podem ser utilizadas para monitorizar os pedidos individuais e diagnosticar problemas num serviço de armazenamento. As solicitações são registradas com base no melhor esforço. As entradas de log são criadas somente se houver solicitações feitas no ponto de extremidade do serviço. Por exemplo, se uma conta de armazenamento tiver atividade em seu ponto de extremidade Blob, mas não em seus pontos de extremidade Tabela ou Fila, somente os logs pertencentes ao serviço Blob serão criados.

Para usar o Storage Analytics, você deve habilitá-lo individualmente para cada serviço que deseja monitorar. Você pode habilitá-lo no portal do Azure; para obter detalhes, consulte Monitorar uma conta de armazenamento no portal do Azure. Você também pode habilitar o Storage Analytics programaticamente por meio da API REST ou da biblioteca do cliente. Use a operação Definir Propriedades do Serviço para habilitar o Storage Analytics individualmente para cada serviço.

Os dados agregados são armazenados em um blob conhecido (para registro) e em tabelas conhecidas (para métricas), que podem ser acessadas usando o serviço Blob e as APIs do serviço Tabela.

O Storage Analytics tem um limite de 20 TB para a quantidade de dados armazenados que é independente do limite total da sua conta de armazenamento. Todos os logs são armazenados em blobs de bloco em um contêiner chamado $logs, que são criados automaticamente quando o Storage Analytics está habilitado para uma conta de armazenamento.

As seguintes ações executadas pelo Storage Analytics são faturáveis:

• Solicitações para criar blobs para registro em log
• Solicitações para criar entidades de tabela para métricas.

Nota

Para obter mais informações sobre políticas de cobrança e retenção de dados, consulte Análise de armazenamento e faturamento. Para obter um desempenho ideal, você deseja limitar o número de discos altamente utilizados conectados à máquina virtual para evitar uma possível limitação. Se todos os discos não estiverem sendo altamente utilizados ao mesmo tempo, a conta de armazenamento poderá suportar um número maior de discos.

Nota

Para obter mais informações sobre limites de conta de armazenamento, consulte Destinos de escalabilidade para contas de armazenamento padrão.

Os seguintes tipos de solicitações autenticadas e anônimas são registrados.

Autenticado	Anónimo
Pedidos com êxito	Pedidos com êxito
Pedidos falhados, incluindo tempo limite, limitação, rede, autorização e outros erros	Solicitações usando uma Assinatura de Acesso Compartilhado (SAS), incluindo solicitações com falha e bem-sucedidas
Solicitações usando uma Assinatura de Acesso Compartilhado (SAS), incluindo solicitações com falha e bem-sucedidas	Erros de tempo limite para o cliente e o servidor
Pedidos de dados de análise	Pedidos GET falhados com código de erro 304 (Não Modificado)
As solicitações feitas pelo próprio Storage Analytics, como criação ou exclusão de logs, não são registradas. Uma lista completa dos dados registrados está documentada nos tópicos Operações registradas e mensagens de status do Storage Analytics e Formato de log do Storage Analytics.	Todas as outras solicitações anônimas com falha não são registradas. Uma lista completa dos dados registrados está documentada no Storage Analytics Logged Operations and Status Messages e Storage Analytics Log Format.

Microsoft Entra ID

O Microsoft Entra ID também inclui um conjunto completo de recursos de gerenciamento de identidade, incluindo autenticação multifator, registro de dispositivo, gerenciamento de senhas de autoatendimento, gerenciamento de grupo de autoatendimento, gerenciamento privilegiado de contas, controle de acesso baseado em função, monitoramento de uso de aplicativos, auditoria avançada e monitoramento e alertas de segurança.

• Melhore a segurança do aplicativo com a autenticação multifator e o Acesso Condicional do Microsoft Entra.

• Monitore o uso de aplicativos e proteja sua empresa contra ameaças avançadas com relatórios e monitoramento de segurança.

O Microsoft Entra ID inclui relatórios de segurança, atividade e auditoria para o seu diretório. O Relatório de auditoria do Microsoft Entra ajuda os clientes a identificar ações privilegiadas que ocorreram em sua ID do Microsoft Entra. As ações privilegiadas incluem alterações de elevação (por exemplo, criação de função ou redefinições de senha), alteração de configurações de política (por exemplo, diretivas de senha) ou alterações na configuração de diretório (por exemplo, alterações nas configurações de federação de domínio).

Os relatórios fornecem o registro de auditoria para o nome do evento, o ator que executou a ação, o recurso de destino afetado pela alteração e a data e hora (em UTC). Os clientes podem recuperar a lista de eventos de auditoria para sua ID do Microsoft Entra por meio do portal do Azure, conforme descrito em Exibir seus logs de auditoria. Aqui está uma lista dos relatórios incluídos:

Relatórios de segurança	Relatórios de atividade	Relatórios de auditoria
Inícios de sessão de fontes desconhecidas	Utilização da aplicação: resumo	Relatório de auditoria de diretório
Inícios de sessão após várias falhas	Utilização da aplicação: detalhado
Inícios de sessão de várias localizações geográficas	Dashboard de aplicações
Inícios de sessão de endereços IP com atividade suspeita	Erros de aprovisionamento de contas
Atividades irregulares de início de sessão	Dispositivos de utilizadores individuais
Inícios de sessão de dispositivos possivelmente infetados	Atividade de utilizadores individuais
Utilizadores com atividade anómala de início de sessão	Relatório de atividade de grupos
	Relatório de atividade de registo de reposição de palavra-passe
	Atividade de reposição de palavra-passe

Os dados desses relatórios podem ser úteis para seus aplicativos, como sistemas SIEM, auditoria e ferramentas de business intelligence. As APIs de relatório do Microsoft Entra ID fornecem acesso programático aos dados por meio de um conjunto de APIs baseadas em REST. Você pode chamar essas APIs de várias linguagens e ferramentas de programação.

Os eventos no relatório de auditoria do Microsoft Entra são retidos por 180 dias.

Nota

Para obter mais informações sobre retenção em relatórios, consulte Políticas de retenção de relatórios do Microsoft Entra.

Para clientes interessados em armazenar seus eventos de auditoria por períodos de retenção mais longos, a API de relatórios pode ser usada para extrair regularmente eventos de auditoria para um armazenamento de dados separado.

Resumo

Este artigo resume a proteção da sua privacidade e a proteção dos seus dados, ao mesmo tempo que fornece software e serviços que o ajudam a gerir a infraestrutura de TI da sua organização. A Microsoft reconhece que, quando confia os seus dados a terceiros, essa confiança requer uma segurança rigorosa. A Microsoft respeita diretrizes rigorosas de conformidade e segurança, desde a codificação à operação de um serviço. Proteger e proteger os dados é uma prioridade na Microsoft.

Este artigo explica

• Como os dados são coletados, processados e protegidos no pacote do Azure Monitor.

• Analise rapidamente eventos em várias origens de dados. Identifique riscos de segurança e compreenda o âmbito e o impacto das ameaças e ataques para reduzir os danos provocados por falhas na segurança.

• Identifique padrões de ataque ao ver o tráfego IP malicioso de saída e os tipos de ameaças maliciosas. Entenda a postura de segurança de todo o seu ambiente, independentemente da plataforma.

• Capture todos os dados de log e eventos necessários para uma auditoria de segurança ou conformidade. Reduza o tempo e os recursos necessários para fornecer uma auditoria de segurança com um conjunto de dados de eventos e logs completo, pesquisável e exportável.

• Colete eventos relacionados à segurança, auditoria e análise de violações para acompanhar de perto seus ativos:
• Postura de segurança
• Questão notável
• Ameaças de sínteses

Passos Seguintes

• Design e segurança operacional

A Microsoft projeta seus serviços e software com segurança em mente para ajudar a garantir que sua infraestrutura de nuvem seja resiliente e defendida de ataques.

• Logs do Azure Monitor | Segurança e Conformidade

Use os dados e a análise de segurança da Microsoft para executar uma deteção de ameaças mais inteligente e eficaz.

• Planejamento e operações do Microsoft Defender for Cloud Um conjunto de etapas e tarefas que você pode seguir para otimizar o uso do Defender for Cloud com base nos requisitos de segurança e no modelo de gerenciamento de nuvem da sua organização.