Quais são os logs de identidade que você pode transmitir para um ponto de extremidade?

Usando as configurações de diagnóstico do Microsoft Entra, você pode rotear logs de atividade para vários pontos de extremidade para retenção de longo prazo e insights de dados. Selecione os logs que deseja rotear e, em seguida, selecione o ponto de extremidade.

Este artigo descreve os logs que você pode rotear para um ponto de extremidade com as configurações de diagnóstico do Microsoft Entra.

Requisitos e opções de streaming de log

A configuração de um ponto de extremidade, como um hub de eventos ou uma conta de armazenamento, pode exigir funções e licenças diferentes. Para criar ou editar uma nova configuração de diagnóstico, você precisa de um usuário que seja um Administrador de Segurança para o locatário do Microsoft Entra.

Para ajudar a decidir qual opção de roteamento de log é melhor para você, consulte Como acessar logs de atividades. O processo geral e os requisitos para cada tipo de ponto final são abordados nos seguintes artigos:

• Enviar logs para um espaço de trabalho do Log Analytics para integrar com os logs do Azure Monitor
• Arquivar registos numa conta de armazenamento
• Transmitir logs para um hub de eventos
• Enviar para uma solução de parceiro

Opções do registo de atividades

Os logs a seguir podem ser roteados para um ponto de extremidade para armazenamento, análise ou monitoramento.

Registos de auditoria

O AuditLogs relatório captura alterações em aplicativos, grupos, usuários e licenças em seu locatário do Microsoft Entra. Depois de rotear seus logs de auditoria, você pode filtrar ou analisar por data/hora, o serviço que registrou o evento e quem fez a alteração. Para obter mais informações, consulte Logs de auditoria.

Registos de início de sessão

O SignInLogs envio dos logs de entrada interativos, que são logs gerados pelo login dos usuários. Os logs de entrada são gerados quando os usuários fornecem seu nome de usuário e senha em uma tela de entrada do Microsoft Entra ou quando passam por um desafio de MFA. Para obter mais informações, consulte Entradas de usuário interativas.

Logs de entrada não interativos

São NonInteractiveUserSIgnInLogs entradas feitas em nome de um usuário, como por um aplicativo cliente. O dispositivo ou cliente usa um token ou código para autenticar ou acessar um recurso em nome de um usuário. Para obter mais informações, consulte Entradas de usuário não interativas.

Logs de entrada da entidade de serviço

Se precisar de rever a atividade de início de sessão para aplicações ou entidades de serviço, poderá ServicePrincipalSignInLogs ser uma boa opção. Nesses cenários, certificados ou segredos de cliente são usados para autenticação. Para obter mais informações, consulte Entradas da entidade de serviço.

Logs de entrada de identidade gerenciados

O ManagedIdentitySignInLogs fornecem informações semelhantes aos logs de entrada da entidade de serviço, mas para identidades gerenciadas, onde o Azure gerencia os segredos. Para obter mais informações, consulte Entradas de identidade gerenciadas.

Registos de aprovisionamento

Se sua organização provisionar usuários por meio de um aplicativo que não seja da Microsoft, como Workday ou ServiceNow, convém exportar os ProvisioningLogs relatórios. Para obter mais informações, consulte Logs de provisionamento.

Registos de início de sessão do AD FS

A atividade de início de sessão para aplicações dos Serviços Federados do Ative Directory (AD FS) é capturada nestes relatórios de Utilização e perceção. Você pode exportar o relatório para monitorar a ADFSSignInLogs atividade de entrada para aplicativos AD FS. Para obter mais informações, consulte Logs de entrada do AD FS.

Utilizadores de risco

Os RiskyUsers logs identificam os usuários que estão em risco com base em suas atividades de entrada. Este relatório faz parte da Proteção de ID do Microsoft Entra e usa dados de entrada da ID do Microsoft Entra. Para obter mais informações, consulte O que é a Proteção de ID do Microsoft Entra?.

Eventos de risco do usuário

Os UserRiskEvents logs fazem parte da Proteção de ID do Microsoft Entra. Esses logs capturam detalhes sobre eventos de entrada arriscados. Para obter mais informações, consulte Como investigar o risco.

Logs de tráfego de acesso à rede

Os NetworkAccessTrafficLogs estão associados ao Microsoft Entra Internet Access e Microsoft Entra Private Access. Os logs são visíveis no Microsoft Entra ID, mas selecionar essa opção não adiciona novos logs ao seu espaço de trabalho, a menos que sua organização esteja usando o Microsoft Entra Internet Access e o Microsoft Entra Private Access para proteger o acesso aos recursos corporativos. Para obter mais informações, consulte O que é o Acesso Seguro Global?.

Entidades de serviço arriscadas

Os RiskyServicePrincipals logs fornecem informações sobre entidades de serviço que o Microsoft Entra ID Protection detetou como arriscadas. O risco da entidade de serviço representa a probabilidade de uma identidade ou conta ser comprometida. Esses riscos são calculados de forma assíncrona usando dados e padrões de fontes internas e externas de inteligência de ameaças da Microsoft. Essas fontes podem incluir pesquisadores de segurança, profissionais de aplicação da lei e equipes de segurança da Microsoft. Para obter mais informações, consulte Protegendo identidades de carga de trabalho.

Eventos de risco da entidade de serviço

O ServicePrincipalRiskEvents fornece detalhes sobre os eventos de entrada arriscados para entidades de serviço. Esses logs podem incluir quaisquer eventos suspeitos identificados relacionados às contas da entidade de serviço. Para obter mais informações, consulte Protegendo identidades de carga de trabalho.

Logs de auditoria enriquecidos do Microsoft 365

Os EnrichedOffice365AuditLogs estão associados aos logs enriquecidos que você pode habilitar para o Microsoft Entra Internet Access. Selecionar essa opção não adiciona novos logs ao seu espaço de trabalho, a menos que sua organização esteja usando o Microsoft Entra Internet para proteger o acesso ao tráfego do Microsoft 365 e você tenha ativado os logs enriquecidos. Para obter mais informações, consulte Como usar os logs do Microsoft 365 enriquecidos com acesso seguro global.

Logs de atividades do Microsoft Graph

O MicrosoftGraphActivityLogs fornece aos administradores visibilidade total de todas as solicitações HTTP que acessam os recursos do locatário por meio da API do Microsoft Graph. Você pode usar esses logs para identificar atividades que uma conta de usuário comprometida realizou em seu locatário ou para investigar comportamentos problemáticos ou inesperados para aplicativos cliente, como volumes extremos de chamadas. Encaminhe esses logs para o mesmo espaço de trabalho do Log Analytics com SignInLogs para fazer referência cruzada de detalhes de solicitações de token para logs de entrada. Para obter mais informações, consulte Acessar logs de atividades do Microsoft Graph.

Logs de integridade da rede remota

O RemoteNetworkHealthLogs fornece informações sobre a integridade da sua rede remota configurada através do Acesso Seguro Global. Selecionar essa opção não adiciona novos logs ao seu espaço de trabalho, a menos que sua organização esteja usando o Microsoft Entra Internet Access e o Microsoft Entra Private Access para proteger o acesso aos recursos corporativos. Para obter mais informações, consulte Logs de integridade da rede remota.

Logs de auditoria de atributos de segurança personalizados

Os CustomSecurityAttributeAuditLogs são configurados na seção Atributos de segurança personalizados das configurações de diagnóstico. Esses logs capturam alterações em atributos de segurança personalizados em seu locatário do Microsoft Entra. Para exibir esses logs nos logs de auditoria do Microsoft Entra, você precisa da função Leitor de Log de Atributos . Para rotear esses logs para um ponto de extremidade, você precisa da função Administrador de Log de Atributos e do Administrador de Segurança.