Como aceder aos registos de atividade no Microsoft Entra ID
Os dados coletados em seus logs do Microsoft Entra permitem que você avalie muitos aspetos do seu locatário do Microsoft Entra. Para cobrir uma ampla gama de cenários, o Microsoft Entra ID fornece várias opções para acessar seus dados de registro de atividades. Como administrador de TI, você precisa entender os casos de uso pretendidos para essas opções, para que possa selecionar o método de acesso certo para seu cenário.
Você pode acessar logs de atividade e relatórios do Microsoft Entra usando os seguintes métodos:
- Transmita logs de atividades para um hub de eventos para integração com outras ferramentas
- Acessar logs de atividades por meio da API do Microsoft Graph
- Integrar logs de atividade com logs do Azure Monitor
- Monitore a atividade em tempo real com o Microsoft Sentinel
- Exibir logs de atividades e relatórios no portal do Azure
- Exportar logs de atividades para armazenamento e consultas
Cada um desses métodos fornece recursos que podem ser alinhados com determinados cenários. Este artigo descreve esses cenários, incluindo recomendações e detalhes sobre relatórios relacionados que usam os dados nos logs de atividades. Explore as opções neste artigo para saber mais sobre esses cenários para que você possa escolher o método certo.
Pré-requisitos
- Um locatário do Microsoft Entra em funcionamento com a licença apropriada do Microsoft Entra associada a ele.
- Para obter uma lista completa dos requisitos de licença, consulte Monitoramento e licenciamento de integridade do Microsoft Entra.
- Os logs de auditoria estão disponíveis para recursos que você licenciou.
- O Leitor de Relatórios é a função menos privilegiada necessária para acessar os logs de atividades.
- O Administrador de Segurança é a função menos privilegiada necessária para definir as definições de diagnóstico.
- Para consentir com as permissões necessárias para exibir logs com o Microsoft Graph, você precisa do Administrador de Função Privilegiada.
- Para obter uma lista completa de funções, consulte Função menos privilegiada por tarefa.
As licenças necessárias variam de acordo com a capacidade de monitoramento e integridade.
Funcionalidade | Microsoft Entra ID Gratuito | Microsoft Entra ID P1 ou P2 / Microsoft Entra Suite |
---|---|---|
Registos de auditoria | Sim | Sim |
Registos de início de sessão | Sim | Sim |
Registos de aprovisionamento | Não | Sim |
Atributos de segurança personalizados | Sim | Sim |
Saúde | Não | Sim |
Logs de atividades do Microsoft Graph | Não | Sim |
Utilização e informações | Não | Sim |
Ver registos através do centro de administração do Microsoft Entra
Para investigações pontuais com um escopo limitado, o centro de administração do Microsoft Entra geralmente é a maneira mais fácil de encontrar os dados de que você precisa. A interface do usuário para cada um desses relatórios fornece opções de filtro que permitem que você encontre as entradas necessárias para resolver seu cenário.
Os dados capturados nos logs de atividades do Microsoft Entra são usados em muitos relatórios e serviços. Você pode revisar os logs de entrada, auditoria e provisionamento para cenários únicos ou usar relatórios para examinar padrões e tendências. Os dados dos logs de atividade ajudam a preencher os relatórios de Proteção de Identidade, que fornecem deteções de risco relacionadas à segurança da informação que o Microsoft Entra ID pode detetar e relatar. Os logs de atividades do Microsoft Entra também preenchem relatórios de Uso e insights, que fornecem detalhes de uso para os aplicativos do seu locatário.
Utilizações recomendadas
Os relatórios disponíveis no portal do Azure fornecem uma ampla gama de recursos para monitorar atividades e uso em seu locatário. A lista de usos e cenários a seguir não é exaustiva, portanto, explore os relatórios para suas necessidades.
- Pesquise a atividade de início de sessão de um utilizador ou acompanhe a utilização de uma aplicação.
- Analise os detalhes sobre alterações de nome de grupo, registro de dispositivo e redefinições de senha com logs de auditoria.
- Use os relatórios de Proteção de Identidade para monitorar usuários em risco, identidades de carga de trabalho arriscadas e entradas arriscadas.
- Analise a taxa de sucesso de entrada no relatório de atividade do aplicativo Microsoft Entra (visualização) em Uso e informações para garantir que seus usuários possam acessar os aplicativos em uso em seu locatário.
- Compare os diferentes métodos de autenticação que seus usuários preferem com o relatório Métodos de autenticação de Uso e insights.
Passos rápidos
Use as etapas básicas a seguir para acessar os relatórios no centro de administração do Microsoft Entra.
- Logs de atividades do Microsoft Entra
- Relatórios de Proteção de ID do Microsoft Entra
- Relatórios de uso e insights
- Navegue até Monitoramento de identidade>& integridade>Logs/de auditoria Logs/de entrada Logs de provisionamento.
- Ajuste o filtro de acordo com as suas necessidades.
Os logs de auditoria podem ser acessados diretamente da área do centro de administração do Microsoft Entra onde você está trabalhando. Por exemplo, se você estiver na seção Grupos ou Licenças do Microsoft Entra ID, poderá acessar os logs de auditoria dessas atividades específicas diretamente dessa área. Quando você acessa os logs de auditoria dessa maneira, as categorias de filtro são definidas automaticamente. Se você estiver em Grupos, a categoria de filtro de log de auditoria será definida como GroupManagement.
Transmita logs para um hub de eventos para integração com ferramentas SIEM
O streaming de seus registros de atividades para um hub de eventos é necessário para integrar seus logs de atividades com ferramentas de Gerenciamento de Informações e Eventos de Segurança (SIEM), como Splunk e SumoLogic. Antes de transmitir logs para um hub de eventos, você precisa configurar um namespace de Hubs de Eventos e um hub de eventos em sua assinatura do Azure.
Utilizações recomendadas
As ferramentas SIEM que você pode integrar com seu hub de eventos podem fornecer recursos de análise e monitoramento. Se você já estiver usando essas ferramentas para ingerir dados de outras fontes, poderá transmitir seus dados de identidade para análise e monitoramento mais abrangentes. Recomendamos transmitir seus logs de atividades para um hub de eventos para os seguintes tipos de cenários:
- Você precisa de uma plataforma de streaming de big data e um serviço de ingestão de eventos para receber e processar milhões de eventos por segundo.
- Você está procurando transformar e armazenar dados usando um provedor de análise em tempo real ou adaptadores de lote/armazenamento.
Passos rápidos
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
- Crie um namespace e um hub de eventos de Hubs de Eventos.
- Navegue até Monitoramento de identidade>& configurações de diagnóstico de integridade>.
- Escolha os logs que deseja transmitir, selecione a opção Transmitir para um hub de eventos e preencha os campos.
Seu fornecedor de segurança independente deve fornecer instruções sobre como ingerir dados dos Hubs de Eventos do Azure em sua ferramenta.
Acessar logs com a API do Microsoft Graph
A API do Microsoft Graph fornece um modelo de programação unificado que você pode usar para acessar dados para seus locatários do Microsoft Entra ID P1 ou P2. Ele não requer que um administrador ou desenvolvedor configure uma infraestrutura extra para dar suporte ao seu script ou aplicativo.
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Utilizações recomendadas
Usando o Microsoft Graph Explorer, você pode executar consultas para ajudá-lo com os seguintes tipos de cenários:
- Exiba as atividades do locatário, como quem fez uma alteração em um grupo e quando.
- Marque um evento de entrada do Microsoft Entra como seguro ou confirmado comprometido.
- Recupere uma lista de entradas de aplicativos dos últimos 30 dias.
Nota
O Microsoft Graph permite que você acesse dados de vários serviços que impõem seus próprios limites de limitação. Para obter mais informações sobre a limitação do log de atividades, consulte Limites de limitação específicos do serviço Microsoft Graph.
Passos rápidos
- Configure os pré-requisitos.
- Inicie sessão no Graph Explorer.
- Defina o método HTTP e a versão da API.
- Adicione uma consulta e selecione o botão Executar consulta .
Integrar logs com logs do Azure Monitor
Com a integração de logs do Azure Monitor, você pode habilitar visualizações avançadas, monitoramento e alertas sobre os dados conectados. O Log Analytics fornece recursos aprimorados de consulta e análise para logs de atividades do Microsoft Entra. Para integrar os logs de atividade do Microsoft Entra aos logs do Azure Monitor, você precisa de um espaço de trabalho do Log Analytics. A partir daí, você pode executar consultas por meio do Log Analytics.
Utilizações recomendadas
A integração de logs do Microsoft Entra com logs do Azure Monitor fornece um local centralizado para consultar logs. Recomendamos a integração de logs com o Azure Monitor para os seguintes tipos de cenários:
- Compare os logs de entrada do Microsoft Entra com os logs publicados por outros serviços do Azure.
- Correlacione os logs de entrada com os insights do Aplicativo do Azure.
- Logs de consulta usando parâmetros de pesquisa específicos.
Passos rápidos
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
- Crie um espaço de trabalho do Log Analytics.
- Navegue até Monitoramento de identidade>& configurações de diagnóstico de integridade>.
- Escolha os logs que deseja transmitir, selecione a opção Enviar para o espaço de trabalho do Log Analytics e preencha os campos.
- Navegue até Identity>Monitoring & health>Log Analytics e comece a consultar os dados.
Monitorar eventos com o Microsoft Sentinel
O envio de logs de entrada e auditoria para o Microsoft Sentinel fornece ao seu centro de operações de segurança deteção de segurança quase em tempo real e caça a ameaças. O termo caça a ameaças refere-se a uma abordagem proativa para melhorar a postura de segurança do seu ambiente. Ao contrário da proteção clássica, a caça a ameaças tenta identificar proativamente ameaças potenciais que podem prejudicar o seu sistema. Os dados do seu registo de atividades podem fazer parte da sua solução de caça a ameaças.
Utilizações recomendadas
Recomendamos o uso dos recursos de deteção de segurança em tempo real do Microsoft Sentinel se sua organização precisar de análises de segurança e inteligência de ameaças. Use o Microsoft Sentinel se precisar:
- Colete dados de segurança em toda a sua empresa.
- Detete ameaças com vasta inteligência sobre ameaças.
- Investigue incidentes críticos guiados por IA.
- Responda rapidamente e automatize a proteção.
Passos rápidos
- Saiba mais sobre os pré-requisitos, funções e permissões.
- Estimar custos potenciais.
- Integrado ao Microsoft Sentinel.
- Colete dados do Microsoft Entra.
- Comece a caçar ameaças.
Exportar logs para armazenamento e consultas
A solução certa para o seu armazenamento a longo prazo depende do seu orçamento e do que planeia fazer com os dados. Você tem três opções:
- Arquivar logs no Armazenamento do Azure
- Baixar logs para armazenamento manual
- Integrar logs com logs do Azure Monitor
O Armazenamento do Azure é a solução certa se você não estiver planejando consultar seus dados com frequência. Para obter mais informações, consulte Arquivar logs de diretório em uma conta de armazenamento.
Se você planeja consultar os logs com frequência para executar relatórios ou executar análises nos logs armazenados, deve integrar seus dados aos logs do Azure Monitor.
Se o seu orçamento estiver apertado e você precisar de um método barato para criar um backup de longo prazo de seus logs de atividades, você pode baixar manualmente seus logs. A interface do usuário dos logs de atividade no portal fornece uma opção para baixar os dados como JSON ou CSV. Uma compensação do download manual é que ele requer mais interação manual. Se você estiver procurando uma solução mais profissional, use o Armazenamento do Azure ou o Azure Monitor.
Utilizações recomendadas
Recomendamos configurar uma conta de armazenamento para arquivar seus registros de atividades para os cenários de governança e conformidade em que o armazenamento de longo prazo é necessário.
Se você quiser armazenar a longo prazo e executar consultas nos dados, revise a seção sobre a integração de seus logs de atividade com os Logs do Azure Monitor.
Recomendamos baixar e armazenar manualmente seus registros de atividades se você tiver restrições orçamentárias.
Passos rápidos
Use as etapas básicas a seguir para arquivar ou baixar seus registros de atividades.
- Arquivar registos de atividades numa conta de armazenamento
- Baixar manualmente os registros de atividades
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
- Criar uma conta de armazenamento.
- Navegue até Monitoramento de identidade>& configurações de diagnóstico de integridade>.
- Escolha os logs que deseja transmitir, selecione a opção Arquivar em uma conta de armazenamento e preencha os campos.