Quais são as opções de integração do log de atividades do Microsoft Entra?
Usando Configurações de Diagnóstico no Microsoft Entra ID, é possível rotear logs de atividade para vários endereços de destino para retenção de dados e obtenção de insights a longo prazo. Você pode arquivar logs para armazenamento, rotear para ferramentas de Gerenciamento de Informações de Segurança e Eventos (SIEM) e integrar logs com logs do Azure Monitor.
Com essas integrações, você pode habilitar visualizações avançadas, monitoramento e alertas sobre os dados conectados. Este artigo descreve os usos recomendados para cada tipo de integração ou método de acesso. Considerações de custo para o envio de logs de atividades do Microsoft Entra para diversos endpoints também são abordadas.
Relatórios suportados
Os logs a seguir podem ser integrados com um dos muitos endereços de destino.
- O relatório de atividades dos registos de auditoria permite-lhe aceder ao histórico de todas as tarefas efetuadas no seu locatário.
- Com o relatório de atividade de início de sessão, pode ver quando os utilizadores tentam iniciar sessão nas suas aplicações ou resolver erros de início de sessão.
- Com os logs de provisionamento , pode monitorizar quais utilizadores foram criados, atualizados e removidos em todas as suas aplicações não Microsoft.
- Os logs de usuários arriscados ajudam a monitorar as alterações no nível de risco do usuário e na atividade de correção.
- Com os logs de deteções de risco, você pode monitorar as deteções de risco do usuário e analisar tendências na atividade de risco detetada em sua organização.
Opções de integração
Para ajudar a escolher o método certo para integrar os logs de atividades do Microsoft Entra para armazenamento ou análise, pense na tarefa geral que você está tentando realizar. As opções estão agrupadas em três categorias principais:
- Resolução de Problemas
- Armazenamento a longo prazo
- Análise e monitorização
Resolução de problemas básicos
Se você estiver executando tarefas básicas de solução de problemas, mas não precisar reter os logs por mais de 30 dias, recomendamos usar o centro de administração do Microsoft Entra ou as APIs do Microsoft Graph para acessar os logs de atividades. Você pode filtrar os logs do seu cenário e exportá-los ou baixá-los conforme necessário.
Se você estiver executando tarefas de solução de problemas e precisar reter os logs por mais de 30 dias, dê uma olhada nas opções de armazenamento de longo prazo.
Armazenamento a longo prazo
Se você estiver executando tarefas de solução de problemas e precisar reter os logs por mais de 30 dias, exporte seus logs para uma conta de armazenamento do Azure. Essa opção é ideal para que você não planeje consultar esses dados com frequência ou precise armazenar os logs para fins de conformidade.
Se você precisar consultar os dados que está retendo por mais de 30 dias, dê uma olhada nas opções de análise e monitoramento.
Análise e monitorização
Se o seu cenário exige que você retenha dados por mais de 30 dias e planeja consultar esses dados regularmente, você tem algumas opções para integrar seus dados com ferramentas SIEM para análise e monitoramento.
Se você usar uma ferramenta que não seja do Microsoft SIEM, recomendamos configurar um namespace de Hubs de Eventos e um hub de eventos onde você possa transmitir seus dados. Com um hub de eventos, você pode transmitir logs para uma das ferramentas SIEM suportadas.
Se você não planeja usar uma ferramenta SIEM de terceiros, recomendamos enviar seus logs de atividade do Microsoft Entra para os logs do Azure Monitor. Com essa integração, você pode consultar seus registros de atividades em um espaço de trabalho do Log Analytics. Depois que seus logs forem integrados aos logs do Azure Monitor, você poderá consultar com o Log Analytics e configurar Pastas de Trabalho para análise e alertas adicionais. Recomendamos configurar um espaço de trabalho para armazenamento de logs e um espaço de trabalho diferente para integrar com o Log Analytics e pastas de trabalho.
Além dos logs do Azure Monitor, o Microsoft Sentinel fornece deteção de segurança quase em tempo real e caça a ameaças. Se você decidir integrar com ferramentas SIEM mais tarde, poderá transmitir seus logs de atividade do Microsoft Entra junto com seus outros dados do Azure por meio de um hub de eventos.
Considerações de custos
Há um custo para enviar dados para um espaço de trabalho do Log Analytics, arquivar dados em uma conta de armazenamento ou transmitir logs para um hub de eventos. A quantidade de dados e o custo incorrido podem variar significativamente dependendo do tamanho do locatário, do número de políticas em uso e até mesmo da hora do dia. Alterar uma configuração de diagnóstico existente pode incorrer em novas cobranças.
Como o tamanho e o custo do envio de logs para um endpoint é difícil de prever, a maneira mais precisa de determinar os custos esperados é encaminhar os logs para um endpoint por um dia ou dois. Com esse instantâneo, você pode obter uma previsão precisa para os custos esperados. Você também pode obter uma estimativa de seus custos baixando uma amostra de seus logs e multiplicando de acordo para obter uma estimativa para um dia.
Outras considerações para enviar registos do Microsoft Entra para o Azure Monitor são tratadas nos artigos seguintes sobre detalhes de custo do Azure Monitor:
- O Azure Monitor registra cálculos de custo e opções
- Custo e utilização do Azure Monitor
- Otimizar custos no Azure Monitor
O Azure Monitor fornece a opção de excluir eventos inteiros, campos ou partes de campos ao ingerir logs da ID do Microsoft Entra. Saiba mais sobre esse recurso de economia de custos em Transformação de coleta de dados no Azure Monitor.
Estimativa dos seus custos
Para estimar os custos para a sua organização, pode estimar o tamanho diário dos logs ou o custo diário para integrar os seus logs com um endpoint.
Os seguintes fatores podem afetar os custos para a sua organização:
- Os eventos de log de auditoria usam cerca de 2 KB de armazenamento de dados
- Os eventos de log de entrada usam, em média, 11,5 KB de armazenamento de dados
- Um cliente de cerca de 100.000 utilizadores poderia incorrer em cerca de 1,5 milhão de eventos por dia
- Os eventos são agrupados em intervalos de cerca de 5 minutos e enviados como uma única mensagem que contém todos os eventos dentro desse período de tempo
Tamanho diário do log
Para estimar o tamanho do log diário, reúna uma amostra dos seus logs, ajuste a amostra para refletir o tamanho e as configurações do inquilino e aplique essa amostra à calculadora de preços do Azure.
Se você ainda não baixou logs do centro de administração do Microsoft Entra, consulte o artigo Como baixar logs no Microsoft Entra ID . Dependendo do tamanho da sua organização, talvez seja necessário escolher um tamanho de amostra diferente para iniciar sua estimativa. Os seguintes tamanhos de amostra são um bom ponto de partida:
- 1 000 registos
- Para grandes inquilinos, 15 minutos de login
- Para inquilinos pequenos e médios, 1 hora de acesso
Você também deve considerar a distribuição geográfica e as horas de pico de seus usuários ao capturar sua amostra de dados. Se sua organização estiver baseada em uma região, é provável que os logins atinjam o pico ao mesmo tempo. Ajuste o tamanho da amostra e quando capturá-la, de acordo com isso.
Com a amostra de dados capturada, multiplique conforme necessário para calcular o tamanho do arquivo para um dia.
Estimar o custo diário
Para ter uma ideia de quanto uma integração de log pode custar para sua organização, você pode habilitar uma integração por um ou dois dias. Use esta opção se o seu orçamento permitir o aumento temporário.
Para habilitar uma integração de log, siga as etapas no artigo Integrar logs de atividade com logs do Azure Monitor. Se possível, crie um novo grupo de recursos para os logs e o ponto de extremidade que desejas experimentar. Ter um grupo de recursos específico facilita a visualização da análise de custos e, em seguida, a eliminação quando terminares.
Com a integração habilitada, navegue até portal do Azure>Gestão de Custos>Análise de Custos. Existem várias formas de analisar os custos. Este guia de início rápido de Gestão de Custos deve ajudá-lo a começar. Os números na captura de tela a seguir são usados para fins de exemplo e não se destinam a refletir os valores reais.
Certifique-se de que está a utilizar o seu novo grupo de recursos como âmbito. Explore os custos diários e as previsões para ter uma ideia de quanto sua integração de log pode custar.
Calcular custos estimados
Na página inicial da calculadora de preços do Azure, você pode estimar os custos de vários produtos.
Depois de ter uma estimativa para o GB/dia que será enviado para um ponto de extremidade, insira esse valor na calculadora de preços do Azure. Os valores na captura de tela a seguir são usados para fins de exemplo e não se destinam a refletir os preços reais.
