Partilhar via


Quais são as opções de integração do log de atividades do Microsoft Entra?

Usando as configurações de diagnóstico no Microsoft Entra ID, você pode rotear logs de atividade para vários pontos de extremidade para retenção de dados e insights de longo prazo. Você pode arquivar logs para armazenamento, rotear para ferramentas de Gerenciamento de Informações de Segurança e Eventos (SIEM) e integrar logs com logs do Azure Monitor.

Com essas integrações, você pode habilitar visualizações avançadas, monitoramento e alertas sobre os dados conectados. Este artigo descreve os usos recomendados para cada tipo de integração ou método de acesso. Considerações de custo para enviar logs de atividades do Microsoft Entra para vários pontos de extremidade também são abordadas.

Relatórios suportados

Os logs a seguir podem ser integrados com um dos muitos pontos de extremidade:

  • O relatório de atividade de logs de auditoria dá acesso ao histórico de todas as tarefas executadas em seu locatário.
  • Com o relatório de atividade de início de sessão, pode ver quando os utilizadores tentam iniciar sessão nas suas aplicações ou resolver erros de início de sessão.
  • Com os logs de provisionamento, você pode monitorar quais usuários foram, atualizados e excluídos em todos os seus aplicativos não-Mirosoft.
  • Os logs de usuários arriscados ajudam a monitorar as alterações no nível de risco do usuário e na atividade de correção.
  • Com os logs de deteções de risco, você pode monitorar as deteções de risco do usuário e analisar tendências na atividade de risco detetada em sua organização.

Opções de integração

Para ajudar a escolher o método certo para integrar os logs de atividades do Microsoft Entra para armazenamento ou análise, pense na tarefa geral que você está tentando realizar. As opções estão agrupadas em três categorias principais:

  • Resolução de Problemas
  • Armazenamento a longo prazo
  • Análise e monitorização

Resolução de problemas básicos

Se você estiver executando tarefas básicas de solução de problemas, mas não precisar reter os logs por mais de 30 dias, recomendamos usar o centro de administração do Microsoft Entra ou as APIs do Microsoft Graph para acessar os logs de atividades. Você pode filtrar os logs do seu cenário e exportá-los ou baixá-los conforme necessário.

Se você estiver executando tarefas de solução de problemas e precisar reter os logs por mais de 30 dias, dê uma olhada nas opções de armazenamento de longo prazo.

Armazenamento a longo prazo

Se você estiver executando tarefas de solução de problemas e precisar reter os logs por mais de 30 dias, exporte seus logs para uma conta de armazenamento do Azure. Essa opção é ideal para que você não planeje consultar esses dados com frequência ou precise armazenar os logs para fins de conformidade.

Se você precisar consultar os dados que está retendo por mais de 30 dias, dê uma olhada nas opções de análise e monitoramento.

Análise e monitorização

Se o seu cenário exige que você retenha dados por mais de 30 dias e planeja consultar esses dados regularmente, você tem algumas opções para integrar seus dados com ferramentas SIEM para análise e monitoramento.

Se você usar uma ferramenta que não seja do Microsoft SIEM, recomendamos configurar um namespace de Hubs de Eventos e um hub de eventos onde você possa transmitir seus dados. Com um hub de eventos, você pode transmitir logs para uma das ferramentas SIEM suportadas.

Se você não planeja usar uma ferramenta SIEM de terceiros, recomendamos enviar seus logs de atividade do Microsoft Entra para os logs do Azure Monitor. Com essa integração, você pode consultar seus registros de atividades em um espaço de trabalho do Log Analytics. Depois que seus logs forem integrados aos logs do Azure Monitor, você poderá consultar com o Log Analytics e configurar Pastas de Trabalho para análise e alertas adicionais. Recomendamos configurar um espaço de trabalho para armazenamento de logs e um espaço de trabalho diferente para integrar com o Log Analytics e pastas de trabalho.

Além dos logs do Azure Monitor, o Microsoft Sentinel fornece deteção de segurança quase em tempo real e caça a ameaças. Se você decidir integrar com ferramentas SIEM mais tarde, poderá transmitir seus logs de atividade do Microsoft Entra junto com seus outros dados do Azure por meio de um hub de eventos.

Considerações de custos

Há um custo para enviar dados para um espaço de trabalho do Log Analytics, arquivar dados em uma conta de armazenamento ou transmitir logs para um hub de eventos. A quantidade de dados e o custo incorrido podem variar significativamente dependendo do tamanho do locatário, do número de políticas em uso e até mesmo da hora do dia. Alterar uma configuração de diagnóstico existente pode incorrer em novas cobranças.

Como o tamanho e o custo do envio de logs para um ponto de extremidade é difícil de prever, a maneira mais precisa de determinar os custos esperados é rotear os logs para um ponto de extremidade por um ou dois dias. Com esse instantâneo, você pode obter uma previsão precisa para os custos esperados. Você também pode obter uma estimativa de seus custos baixando uma amostra de seus logs e multiplicando de acordo para obter uma estimativa para um dia.

Outras considerações para enviar logs do Microsoft Entra para logs do Azure Monitor são abordadas nos seguintes artigos de detalhes de custo do Azure Monitor:

O Azure Monitor fornece a opção de excluir eventos inteiros, campos ou partes de campos ao ingerir logs da ID do Microsoft Entra. Saiba mais sobre esse recurso de economia de custos em Transformação de coleta de dados no Azure Monitor.

Estimativa dos seus custos

Para estimar os custos para sua organização, você pode estimar o tamanho diário do log ou o custo diário para integrar seus logs com um ponto de extremidade.

Os seguintes fatores podem afetar os custos para a sua organização:

  • Os eventos de log de auditoria usam cerca de 2 KB de armazenamento de dados
  • Os eventos de log de entrada usam, em média, 11,5 KB de armazenamento de dados
  • Um inquilino de cerca de 100.000 usuários poderia incorrer em cerca de 1,5 milhão de eventos por dia
  • Os eventos são agrupados em intervalos de cerca de 5 minutos e enviados como uma única mensagem que contém todos os eventos dentro desse período de tempo

Tamanho diário do log

Para estimar o tamanho do log diário, reúna uma amostra de seus logs, ajuste o exemplo para refletir o tamanho e as configurações do locatário e aplique esse exemplo à calculadora de preços do Azure.

Se você ainda não baixou logs do centro de administração do Microsoft Entra, consulte o artigo Como baixar logs no Microsoft Entra ID . Dependendo do tamanho da sua organização, talvez seja necessário escolher um tamanho de amostra diferente para iniciar sua estimativa. Os seguintes tamanhos de amostra são um bom ponto de partida:

  • 1000 registos
  • Para grandes inquilinos, 15 minutos de login
  • Para inquilinos pequenos e médios, 1 hora de início de sessão

Você também deve considerar a distribuição geográfica e as horas de pico de seus usuários ao capturar sua amostra de dados. Se sua organização estiver baseada em uma região, é provável que os logins atinjam o pico ao mesmo tempo. Ajuste o tamanho da amostra e quando capturar a amostra de acordo.

Com a amostra de dados capturada, multiplique de acordo para descobrir o tamanho do arquivo por um dia.

Estimar o custo diário

Para ter uma ideia de quanto uma integração de log pode custar para sua organização, você pode habilitar uma integração por um ou dois dias. Use esta opção se o seu orçamento permitir o aumento temporário.

Para habilitar uma integração de log, siga as etapas no artigo Integrar logs de atividade com logs do Azure Monitor. Se possível, crie um novo grupo de recursos para os logs e o ponto de extremidade que você deseja experimentar. Ter um grupo de recursos dedicado facilita a visualização da análise de custos e, em seguida, a exclusão quando terminar.

Com a integração habilitada, navegue até Análise de custos de gerenciamento de>custos do portal>do Azure. Existem várias formas de analisar os custos. Este guia de início rápido de Gerenciamento de Custos deve ajudá-lo a começar. Os números na captura de tela a seguir são usados para fins de exemplo e não se destinam a refletir os valores reais.

Captura de tela de um detalhamento de análise de custos como um gráfico de pizza.

Certifique-se de que está a utilizar o seu novo grupo de recursos como âmbito. Explore os custos diários e as previsões para ter uma ideia de quanto sua integração de log pode custar.

Calcular custos estimados

Na página inicial da calculadora de preços do Azure, você pode estimar os custos de vários produtos.

Depois de ter uma estimativa para o GB/dia que será enviado para um ponto de extremidade, insira esse valor na calculadora de preços do Azure. Os valores na captura de tela a seguir são usados para fins de exemplo e não se destinam a refletir os preços reais.

Captura de ecrã da calculadora de preços do Azure, com 8 GB/Dia utilizado como exemplo.